【发布时间】:2019-11-21 21:27:23
【问题描述】:
我在哪里可以获得用于签署 Python 安装文件的 GPG/PGP public key 的副本?
密钥指纹是"FC624643487034E5"。 (gpg --verify python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe)
签名在download那里。
这是signature。
有很多.asc签名文件。应该有人将密钥上传到主线密钥服务器,否则签名将一文不值。
https://www.python.org/ftp/python/3.8.0/
例如,RedHat 会发布他们的安全团队密钥: https://access.redhat.com/security/team/key/
验证签名可能有点矫枉过正,但供应链攻击是真实存在的。看看Android发生了什么: https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/
谢谢...
【问题讨论】: