CouchDB 3.1 安装程序 - 未知发布者

CouchDB 3.1 Installer - unknown publisher

我刚去 https://couchdb.apache.org/ 获取最新的 CouchDB 二进制文件(从 2.2 升级)。

但是,下载 link 将我重定向到一个名为 Neighbourhoodie 的组织 - 一家 CouchDB 服务和咨询公司(这出乎意料,但可以理解,因为我知道安装可能是从镜像提供的)。

当我 运行 安装程序时,我收到来自 Windows 的警告,该二进制文件来自 'Unknown Publisher'.

我在 CouchDB 站点上找不到可以提出此类问题的联系点。

意外的重定向加上未知发布者让我很紧张 - 我怎么知道继续升级是安全的?

您可以验证签署 public 版本的 couchdb 贡献者是否相信这个二进制文件对于 windows 用户是正确的,方法是比较他们提供的站点、sha1 和 md5 总和 in an issue。单独使用 sha1 或 md5 都不安全,但我认为很难找到同时适用于两者的攻击。

此外,如果您下载 gpg 签名、二进制文件和 https://downloads.apache.org/couchdb/KEYS,您可以使用 apache 下载站点上识别的相同密钥验证此签名者是否为同一签名者。使用他们的信任类似于豆腐,你用https信任通道,它信任这个密钥,所以现在你信任另一个通道上的密钥。

在 linux/mac 上看起来像:

(verify you obtain keys over ssl from apache, then:)
$ gpg --import KEYS.txt
  ...
  gpg: key CDE711289384AE37: "**** (CODE SIGNING KEY) <****@apache.org>"

(download a sig and file from official downloads.apache.org site and verify + add your "tofu" trust in this key)
$ gpg --trusted-key CDE711289384AE37 --verify apache-couchdb-3.1.1.tar.gz.asc

(your gpg now trusts this key for new binaries)
$ gpg --verify apache-couchdb-3.1.0.msi.asc

(If the official KEYS file changes you would want to delete this trust and do the same process again:)
$ gpg --delete-key CDE711289384AE37

和 windows gpg 应该看起来相似,也许用 / 代替 --,等等