1
2
你 create a new OpenPGP key pair GnuPG由公钥和私钥组成。您保持私钥为私有,但释放公钥(例如,通过将其上载到密钥服务器)。使用私钥执行签名。其他人(持有公钥的人)现在可以验证签名是否真的由密钥发出。 为了使其他人能够验证密钥确实是由您发出的,您应该
如果您的软件发行版附带密钥,请考虑使用另一个GnuPG主目录,而不是用户的主目录(因此您不依赖于用户特定的配置和数据)。
apt基础设施创建了一个内部密钥环,它最初随您的发行版一起提供。它包含Debian(Ubuntu,…;您选择的任何基于Debian的发行版)开发人员的所有公钥,因此可以验证所有包。
所有这些建议都要求在验证软件的GnuPG密钥环中导入“公司密钥”,并发布最终信任,以便能够根据该密钥进行验证。
在所有情况下,您仍然需要更新它,但这不是 那么糟糕 。只需共享更新的密钥(考虑使用密钥服务器网络进行更新)。对密钥的更改将自动合并,即使有人试图向您发送伪造的密钥,它也将是另一个密钥,并且不具有上述信任。 |
2
0
apt使用GPG安全,主私钥是保密的,但公钥是共享的。 |
JDChi · iText7多重签名 7 年前 |
dpilwal · itext不工作时的数字签名验证 7 年前 |
lucasdc · 如何签署嵌入时间戳并启用LTV的PDF? 7 年前 |
Lery · 使用ECDSA或DSA对预计算哈希进行签名 7 年前 |
Kirill Liubun · TLS生成证书签名的依据是什么 7 年前 |