Чем отличается ссылка, контрольные суммы и подпись на сайте maven

Question

Я новичок в maven и хочу скачать maven, поэтому я посетил официальный сайт maven Apache и зашел в раздел загрузки, но нашел больше ссылок для скачивания, например Ссылка Checksum Signature .Я нажал на контрольную сумму и получил результат, такой как

2a803f578f341e164f6753e410413d16ab60fabe31dc491d1fe35c984a5cce696bc71f57757d4538fe7738be04065a216f3ebad4ef7e0ce1bb4c51bc36d6be86

, и когда я нажал на Подпись, я нашел результат, похожий на

-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org

iF0EABEKAB0WIQQEKynpKJlbnbljxjbHyhm3tiDXhwUCWyap+AAKCRDHyhm3tiDX
h808AJ40mPQBJN/uKagq3Dkz2A2thpXQpACfR+C1pi3JH403UgRT72UeI3S/nso=
=3apP
-----END PGP SIGNATURE-----

, так что я запутался, что мне следует загрузить, и яхочу узнать, чем отличаются эти ссылки. Снимок страницы загрузки Maven

Answer 1

Контрольная сумма, а также подпись не являются специфическими для maven!Контрольная сумма - это sha256 (алгоритм контрольной суммы), созданный на основе двоичного файла maven (ссылка на .tar.gz и т. Д.).Это будет сделано, чтобы вы могли проверить, что вы загрузили не манипулируемый двоичный файл!То же самое относится и к сигнатуре, которая была создана с довольно хорошей конфиденциальностью , чтобы позволить вам проверить неуправляемую загрузку.

Хуже всего то, что когда кто-то может сделать человека в середине атакидля бинарной загрузки он / она может также сделать человека посередине для контрольной суммы и подписи.Поэтому я хотел бы предложить только скачать maven и забыть о контрольной сумме и подписи для начинающих.