1

我刚刚去https://couchdb.apache.org/获取最新的 CouchDB 二进制文件(从 2.2 升级)。

但是,下载链接将我重定向到一个名为 Neighbourhoodie 的组织 - 一家 CouchDB 服务和咨询公司(这是出乎意料的,但可以理解,因为我知道安装可能来自镜像)。

当我运行安装程序时,我收到了来自 Windows 的警告,指出二进制文件来自“未知发布者”。

我在 CouchDB 网站上找不到联系点来提出这样的问题。

意外的重定向加上未知的发布者让我很紧张 - 我怎么知道继续升级是安全的?

4

1 回答 1

0

您可以通过比较他们在 issue 中给出的站点、sha1 和 md5 总和来验证签署公共版本的 couchdb 贡献者是否认为此二进制文件对 Windows 用户是正确的。单独的 sha1 或 md5 都不是安全的,但我认为很难找到同时适用于两者的攻击。

此外,如果您下载 gpg 签名、二进制文件和https://downloads.apache.org/couchdb/KEYS,您可以使用 apache 下载站点上识别的相同密钥验证此签名者是否为同一签名者。使用他们的信任类似于豆腐,你信任带有 https 的通道并且它信任这个密钥,所以现在你信任另一个通道上的密钥。

在 linux/mac 上,这看起来像:

(verify you obtain keys over ssl from apache, then:)
$ gpg --import KEYS.txt
  ...
  gpg: key CDE711289384AE37: "**** (CODE SIGNING KEY) <****@apache.org>"

(download a sig and file from official downloads.apache.org site and verify + add your "tofu" trust in this key)
$ gpg --trusted-key CDE711289384AE37 --verify apache-couchdb-3.1.1.tar.gz.asc

(your gpg now trusts this key for new binaries)
$ gpg --verify apache-couchdb-3.1.0.msi.asc

(If the official KEYS file changes you would want to delete this trust and do the same process again:)
$ gpg --delete-key CDE711289384AE37

和 windows gpg 应该看起来相似,可能用/代替--等。

于 2020-09-22T20:52:51.380 回答