在哪里可以获得用于签署Python安装文件的GPG/PGP public key的副本?
密钥指纹为"FC624643487034E5"。 (gpg --verify python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe)
签名与download一起存在。
这是signature。
有许多.asc签名文件。有人应将密钥上载到主线密钥服务器,否则签名将毫无价值。
https://www.python.org/ftp/python/3.8.0/
RedHat会发布其安全团队密钥: https://access.redhat.com/security/team/key/
验证签名可能是过分杀伤的,但是供应链攻击是真实的。看看Android发生了什么: https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/
谢谢...
答案 0 :(得分:1)
您可以在以下位置找到Python发行版二进制文件的公钥:Download Python | Python.org,查找OpenPGP Public Keys部分。
您要查看的特定键(FC624643487034E5属于与Windows二进制发行版关联的Steve Dower。这是指向keybase.io上托管的Steve公钥的直接链接:7ed10b6531d7c8e1bc296021fc624643487034e5