使用或不使用 GPG 密钥从存储库安装软件之间的区别

使用或不使用 GPG 密钥从存储库安装软件之间的区别

好的,据我研究,要从存储库安装软件,需要使用识别密钥对文件进行签名(而不是加密)。我们获得公钥,而存储库的维护者拥有私钥。私钥用于对文件进行签名,公钥用于验证文件的真实性。

因此我们需要在系统中注册 repo 和公钥。

但在某些情况下,您只需注册 repo 而不需要公钥,就可以从这些 repo 下载软件包。

嗯,这就是我目前所理解的。

例如:要安装 MSSQL,您需要注册 repo 以及公钥。但使用 NodeJS,您只需注册 repo。

那么使用或不使用密钥有什么区别?我知道这是为了确保我从我认为应该获取的地方获取软件包,但是系统如何使用我们系统中注册的密钥来验证来自那些注册存储库的软件包?

基本上,工作流程是怎样的?这就是我想了解的。

相关内容