在哪里可以获得用于对 Python 安装文件进行签名的GPG/PGP public key
的副本?
密钥指纹是"FC624643487034E5"
。(GPG --Verify Python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe(
我搜索了多个密钥存储,如MIT,Ubuntu等。
签名随下载一起存在。
这是签名。
有许多.asc
签名文件。有人应该将密钥上传到主线密钥服务器,否则签名就毫无价值。 https://www.python.org/ftp/python/3.8.0/
例如,RedHat发布了他们的安全团队密钥: https://access.redhat.com/security/team/key/
验证签名可能有点矫枉过正,但供应链攻击是真实的。 看看Android发生了什么: https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/
谢谢。。。
你可以在这里找到 Python 发布二进制文件的公钥:下载 Python | Python.org,查找OpenPGP Public Keys
部分。
您正在查看的特定密钥(FC624643487034E5
(属于Steve Dower,他与Windows二进制版本有关。这是托管在keybase.io
上的 Steve 公钥的直接链接:7ed10b6531d7c8e1bc296021fc624643487034e5