我在哪里可以获得用于签署Python安装文件的GPG/PGP public key的副本?
关键指纹是"FC624643487034E5"。 (gpg --verify python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe)
签名在download中。
这是signature。
.asc签名文件很多。有人应该将密钥上载到主线密钥服务器,否则签名就一文不值。https://www.python.org/ftp/python/3.8.0/
例如,RedHat发布其安全团队密钥:https://access.redhat.com/security/team/key/
验证签名可能是过分杀伤性的,但是供应链攻击是真实的。看看Android发生了什么:https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/
谢谢...
您可以在这里找到Python版本二进制文件的公钥:Download Python | Python.org,查找OpenPGP Public Keys部分。
您正在查看的特定键(FC624643487034E5)属于与Windows二进制发行版相关联的Steve Dower。这是在keybase.io上托管的史蒂夫公钥的直接链接:7ed10b6531d7c8e1bc296021fc624643487034e5