为什么要使用来自同一来源的OpenPGP密钥验证下载的文件呢?
在安装一些依赖项时,我遇到了这个。
除了文件损坏之外,使用从同一来源下载的OpenPGP密钥验证下载时会获得什么安全性?
1 个答案:
答案 0 :(得分:1)
在同一来源提供密钥有几个原因。
首次使用信任
这个概念期望第一次访问时不会损害下载源 - 例如,在某些开发客户端的开发阶段。将密钥明确地固定到下载的密钥可以保护您在以后的阶段免受下载源的攻击,例如某些构建服务器上的无人参与构建。
获取更新的密钥副本
如果您已经知道主键的指纹(即,如上所述固定密钥),但是想要更新关于子键,认证,用户的密钥,则源代码旁边的密钥位置非常方便ID无需访问密钥服务器。许多企业构建服务器都设置了非常严格的防火墙规则,访问密钥服务器可能超出范围(但您显然可以访问构建它的源代码)。此外,您经常希望删除对第三方资源的访问权限,因为它们意味着可用性等问题的另一个来源......
特别是更新子项非常重要:good OpenPGP practice is to have a long-lasting primary key and exchanging subkeys in given intervals,或者为不同的构建服务器使用不同的子项。通过固定主键的指纹并在每次验证第三方资源时导入密钥的新副本,您可以确保拥有密钥的最新副本,包括子密钥。
验证密钥的起点
OpenPGP密钥可以通过其他密钥进行认证。导入后,可能还没有来自其他经过验证和信任的OpenPGP密钥的信任路径,但是导入密钥及其证书是查找此类路径的起点。例如,开源项目的开发人员可能会证明项目密钥。
从源存储库中获取未经验证的密钥是执行此类验证的起点。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?