為什麼firefox更新時需要導入GPG金鑰？

Question

這是 Fedora 特有的。只有當您第一次使用 yum 更新系統時才需要執行此操作。之後，yum 應該記住這個特定的密鑰是可信的並且不再詢問。

此金鑰用於對您正在安裝的軟體包進行數位簽名，使其獲得 Fedora 開發人員的認證。這意味著，只要這是正確的金鑰，您就可以安全地避免在系統中安裝被篡改/惡意的軟體。如果有人試圖注入惡意軟體供您的電腦下載和安裝，yum 會注意到該軟體未簽名或由不受信任的金鑰簽名，並向您發出警告。

通常，你只是回答“是”，然後就忘記了。但正確的程序是先證明密鑰沒有被截獲並被其他人的惡意密鑰取代。由於它是隨您的系統一起安裝的（如訊息所述，它位於中/etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-i386），因此有理由相信密鑰來源是好的，只要您的安裝媒體也很好。

要檢查密鑰，您應該使用 GPG 獲取其指紋並將其與可信任來源進行比較：

gpg --import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-i386
gpg --fingerprint

指紋應與所列的指紋相符https://fedoraproject.org/keys。

Answer 1

這是 Fedora 特有的。只有當您第一次使用 yum 更新系統時才需要執行此操作。之後，yum 應該記住這個特定的密鑰是可信的並且不再詢問。

此金鑰用於對您正在安裝的軟體包進行數位簽名，使其獲得 Fedora 開發人員的認證。這意味著，只要這是正確的金鑰，您就可以安全地避免在系統中安裝被篡改/惡意的軟體。如果有人試圖注入惡意軟體供您的電腦下載和安裝，yum 會注意到該軟體未簽名或由不受信任的金鑰簽名，並向您發出警告。

通常，你只是回答“是”，然後就忘記了。但正確的程序是先證明密鑰沒有被截獲並被其他人的惡意密鑰取代。由於它是隨您的系統一起安裝的（如訊息所述，它位於中/etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-i386），因此有理由相信密鑰來源是好的，只要您的安裝媒體也很好。

要檢查密鑰，您應該使用 GPG 獲取其指紋並將其與可信任來源進行比較：

gpg --import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-i386
gpg --fingerprint

指紋應與所列的指紋相符https://fedoraproject.org/keys。

相關內容