您可以通过比较他们在 issue 中给出的站点、sha1 和 md5 总和来验证签署公共版本的 couchdb 贡献者是否认为此二进制文件对 Windows 用户是正确的。单独的 sha1 或 md5 都不是安全的,但我认为很难找到同时适用于两者的攻击。
此外,如果您下载 gpg 签名、二进制文件和https://downloads.apache.org/couchdb/KEYS,您可以使用 apache 下载站点上识别的相同密钥验证此签名者是否为同一签名者。使用他们的信任类似于豆腐,你信任带有 https 的通道并且它信任这个密钥,所以现在你信任另一个通道上的密钥。
在 linux/mac 上,这看起来像:
(verify you obtain keys over ssl from apache, then:)
$ gpg --import KEYS.txt
...
gpg: key CDE711289384AE37: "**** (CODE SIGNING KEY) <****@apache.org>"
(download a sig and file from official downloads.apache.org site and verify + add your "tofu" trust in this key)
$ gpg --trusted-key CDE711289384AE37 --verify apache-couchdb-3.1.1.tar.gz.asc
(your gpg now trusts this key for new binaries)
$ gpg --verify apache-couchdb-3.1.0.msi.asc
(If the official KEYS file changes you would want to delete this trust and do the same process again:)
$ gpg --delete-key CDE711289384AE37
和 windows gpg 应该看起来相似,可能用/
代替--
等。