OpenPGP-Verifizierung
Quell- und Binär-Executables von Python-Versionen bis einschließlich 3.13 werden vom Release Manager oder Binary Builder mit seinem OpenPGP-Schlüssel signiert. Python 3.14 und neuere Versionen verwenden ausschließlich die Sigstore-Signierung.
Signaturen für aktuell unterstützte Releases
- Thomas Wouters (Quell- und Tag-Dateien für 3.12.x und 3.13.x) (Schlüssel-ID: A821E680E5FA6305)
- Pablo Galindo Salgado (Quell- und Tag-Dateien für 3.10.x und 3.11.x) (Schlüssel-ID: 64E628F8D684696D)
- Steve Dower (Windows-Binaries) (Schlüssel-ID: FC62 4643 4870 34E5)
- Łukasz Langa (Quell- und Tag-Dateien für 3.8.x und 3.9.x) (Schlüssel-ID: B269 95E3 1025 0568)
- Ned Deily (macOS-Binaries, Quell- und Tag-Dateien für 3.7.x / 3.6.x) (Schlüssel-IDs: 2D34 7EA6 AA65 421D und FB99 2128 6F5E 1540
Signaturen für abgeschlossene Releases
- Anthony Baxter (Schlüssel-ID: 0EDD C5F2 6A45 C816)
- Georg Brandl (Schlüssel-ID: 0A5B 1018 3658 0288)
- Martin v. Löwis (Schlüssel-ID: 6AF0 53F0 7D9D C8D2)
- Ronald Oussoren (Schlüssel-ID: C9BE 28DE E6DF 025C)
- Barry Warsaw (Schlüssel-IDs: 126E B563 A74B 06BF, D986 6941 EA5B BD71 und ED9D77D5)
- Larry Hastings (Quell- und Tag-Dateien für 3.5.x) (Schlüssel-ID: 3A5C A953 F73C 700D)
- Benjamin Peterson (Quell- und Tag-Dateien für 2.7.z) (Schlüssel-ID: 04C3 67C2 18AD D4FF und A4135B38)
Überprüfung eines Releases
Sie können die öffentlichen Schlüssel einer Person von einem vertrauenswürdigen Public-Keyserver-Netzwerkserver importieren, indem Sie einen Befehl wie diesen ausführen
gpg --recv-keys [key id]
oder, in vielen Fällen, können öffentliche Schlüssel auch unter keybase.io gefunden werden. Auf den seiten für Downloads spezifischer Versionen sollten Sie einen Link sowohl zur herunterladbaren Datei als auch zu einer separaten Signaturdatei sehen. Um die Authentizität des Downloads zu überprüfen, laden Sie beide Dateien herunter und führen Sie dann diesen Befehl aus
gpg --verify Python-3.6.2.tgz.asc
Beachten Sie, dass Sie den Namen der Signaturdatei verwenden müssen und die für den zu überprüfenden Download passende verwenden sollten.
(Diese Anweisungen sind für Benutzer von GnuPG und der Unix-Kommandozeile.)