git-scm上提供的gpg公钥分发方式似乎不可以防止内容伪造吧?

发布于 2022-09-02 13:37:21 字数 759 浏览 37 评论 0

https://git-scm.com/book/zh/v2/%E5%88%86%E5%B8%83%E5%BC%8F-Git-%E7%BB%B4%E6%8A%A4%E9%A1%B9%E7%9B%AE#为发布打标签

维护者执行:

gpg -a --export <keyid> | git hash-object -w --stdin | git -a maintainer-pgp-pub -m 'Run "git show maintainer-pgp-pub | gpg --import" to import the PGP public key'

这样确实做到了,公钥分发,接收者只需要

git show maintainer-pgp-pub | gpg --import
git verfy-tag <signed-version>

便可导入公钥并验证。

那么问题来了,如果内容被伪造了,公钥密钥到内容都是伪造者生成的一套,那么验证依然通过。只能靠发布公钥指纹在站点上可以防止这点,既然如此,直接在站点发布公钥岂不是更好?验证什么的,没有意义啦!

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文