Open phy25 opened 2 years ago
2021 年 12 月,CloudFlare 部分客户端软件 GPG 私钥遭到泄露,其后发布的一篇博客指出:
the impact of an improperly secured private key can have consequences that extend beyond the scope of one third-party repository.
简而言之,apt-key 加入的 GPG 公钥会在系统全局层面信任其签名的任意软件。apt 同时也支持按软件源验证签名,因此非系统级的第三方软件应该设置为按软件源验证签名,从而减小私钥泄露的攻击面。
apt-key
apt
经查,SJTUG 镜像的部分文档中存在使用 apt-key 的建议。以下是所有帮助中带有 apt-key 命令的项目(我查看了部分官方文档,如果其中有只对软件源本身设置验签的方法,我也顺便列出了地址):
Thanks! 我们会尽快修复。
skyzh
commented
2 years ago skyzh
commented
2 years ago
2021 年 12 月,CloudFlare 部分客户端软件 GPG 私钥遭到泄露,其后发布的一篇博客指出:
简而言之,
apt-key加入的 GPG 公钥会在系统全局层面信任其签名的任意软件。apt同时也支持按软件源验证签名,因此非系统级的第三方软件应该设置为按软件源验证签名,从而减小私钥泄露的攻击面。经查,SJTUG 镜像的部分文档中存在使用
apt-key的建议。以下是所有帮助中带有 apt-key 命令的项目(我查看了部分官方文档,如果其中有只对软件源本身设置验签的方法,我也顺便列出了地址):