PGP，Pretty Good Privacy

是一种公钥加密算法

PGP常被用来加密和签名通信数据

我们可以使用PGP来验证我们从 站上下载下来的软件没有被篡改

然后我们需要检查该公钥的指纹以确保它是正确的公钥

然后将正确的公钥导入到PGP的keyring中

然后下载软件的签名文件

然后使用公钥验证软件的签名，如果签名正确，那么就说明软件没有被篡改

下面是一个例子：验证VeraCrypt（一款加密软件）的签名

软件代码托管地址

软件官

首先下载二进制文件

然后下载PGP公钥和软件的签名文件

我们需要先将我们下载的公钥导入到PGP的keyring中

记住上面的keyid

然后检测一下公钥的指纹是否和 站上的一致

我发现这个指纹和官 给出的并不一致，而且谷歌浏览器提示我该 站存在危险，所以公钥很有可能是被篡改了

针对这个地方，我跟我的同事探讨了一下，然后我进入软件的官 ，在上面我看到了新的公钥指纹5069A233D55A0EEB174A5FC3821ACD02680D16DE，这个和我们上面下载的公钥的指纹是一致的，所以结论就是代码托管 站上提供的公钥指纹是16年的老公钥，而给出的公钥链接是18年的新公钥

还有一种方法去下载公钥，我们可以直接去PGP的服务器上下载公钥，根据 站上提供的公钥ID进行下载

配置文件，在这里可以更改PGP服务器地址

这个的指纹和 站上提供的就是一样的

最后使用导入进去的公钥进行验证