为什么 ubuntu 开源包有 gpg 密钥?

为什么 ubuntu 开源包有 gpg 密钥?

我理解gpg密钥用于“签署”你的数据,正如他们的网站上提到的那样(https://www.gnupg.org/

但是为什么有些开源软件包要求我安装 gpg 密钥呢?这是为了保护什么?

谢谢。

答案1

它保护软件包免遭篡改。安装程序会验证软件包签名是否有效,以及是否由您配置为系统信任的密钥之一生成。

当您使用 apt-key 添加密钥时,您信任该密钥来验证软件。这意味着第三方无法向您提供修改过的软件包 - 它验证软件包是由控制相应私钥的人制作的。

这意味着您不必信任操作 Ubuntu 镜像的人;您可以验证他们没有提供恶意软件,因为他们无法使用您信任的密钥对软件包进行签名。

相关内容