最近我发现 TeX Live 存储库不再使用发布 PGP 密钥进行签名。使用命令时tlmgr update,它总是报告tlmgr: package repository [mirrored repo url] (not verified: not signed)
这是一个暂时的(或局部的)问题还是基础设施的永久性变化?
答案1
Barbara 表示,这是一个暂时的错误,从昨天起文件已重新签名。这是由于签名子密钥的到期期限延长所致。
我们正在采取/已经采取以下措施:
- (已经完成)
tlmgr将需要主要的存储库需要签名,如果主存储库未签名,它将拒绝工作。此更改已生效tlcritical,将在测试后推出。 - (正在进行)确保构建服务器上的签名错误将禁止推送到 CTAN 服务器
关于默认安全性的评论:我们考虑过在安装 GPG 的情况下要求签名,但初步测试对此举提出了强烈反对。现在验证已经顺利运行了一年,我们觉得至少要求一个签名的主存储库是合理的。
关于子存储库,我们目前尚未决定:首先,我们不能也不希望所有存储库都签名,这应该是可选的。问题是,如果用户没有导入公钥以进行验证,该如何处理签名的存储库。目前,我们接受此类存储库,与 Debian 一样。
希望这能澄清情况。