官方 Python GPG 签名密钥 - 它在哪里? - gpg:使用 RSA 密钥 FC624643487034E5
Official Python GPG Signing Key - Where is it? - gpg: using RSA key FC624643487034E5
我在哪里可以获得用于签署 Python 安装文件的 GPG/PGP public key 的副本?
关键指纹是"FC624643487034E5"。 (gpg --verify python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe)
download 处有签名。
这是signature.
有很多 .asc 个签名文件。有人应该将密钥上传到主线密钥服务器,否则签名将毫无价值。
https://www.python.org/ftp/python/3.8.0/
例如,RedHat 发布了他们的安全团队密钥:
https://access.redhat.com/security/team/key/
验证签名可能有点矫枉过正,但供应链攻击是真实存在的。看看 Android 发生了什么:
https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/
谢谢...
您可以在此处找到 Python 发布二进制文件的 public 密钥:Download Python | Python.org,查找 OpenPGP Public Keys 部分。
您正在查看的特定密钥 (FC624643487034E5) 属于 Steve Dower,他与 Windows 二进制版本相关联。这是在 keybase.io 上托管的史蒂夫 public 密钥的直接 link:7ed10b6531d7c8e1bc296021fc624643487034e5
我在哪里可以获得用于签署 Python 安装文件的 GPG/PGP public key 的副本?
关键指纹是"FC624643487034E5"。 (gpg --verify python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe)
download 处有签名。
这是signature.
有很多 .asc 个签名文件。有人应该将密钥上传到主线密钥服务器,否则签名将毫无价值。
https://www.python.org/ftp/python/3.8.0/
例如,RedHat 发布了他们的安全团队密钥: https://access.redhat.com/security/team/key/
验证签名可能有点矫枉过正,但供应链攻击是真实存在的。看看 Android 发生了什么: https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/
谢谢...
您可以在此处找到 Python 发布二进制文件的 public 密钥:Download Python | Python.org,查找 OpenPGP Public Keys 部分。
您正在查看的特定密钥 (FC624643487034E5) 属于 Steve Dower,他与 Windows 二进制版本相关联。这是在 keybase.io 上托管的史蒂夫 public 密钥的直接 link:7ed10b6531d7c8e1bc296021fc624643487034e5