Phpass签名

Question

目前，我正在寻找一种加密用户密码的方法，而不是简单地使用crypt()，而是在阅读了Phpass 0.3之后决定使用这个堆叠溢出的答案。但是，当您访问Phpass主页时，它也有下载签名的选项。有两个不同的签名可用，似乎您可以创建您自己的，如果您愿意。

1]签名的目的是什么，它们是如何工作的？

2]是使用Phpass所必需的，还是仅仅是一个额外的安全层？

Answer 1

签名是用来验证下载的。解释了这里如何使用它们。

想想看，您正在下载一段软件，您将在软件中使用安全敏感、关键的功能。谁能保证您正在下载并愉快地在您的服务器上执行的内容不包含一些恶意后门？只有你对作者的信任。

作者已经对他的可下载代码进行了数字签名，并提供了一个您可以验证的公共签名。这样做的目的是下载代码，获取签名，并验证两者是否匹配。这有助于防止攻击者在下载时危及下载和插入恶意代码，或防止有人破坏服务器并将代码替换为恶意代码。

请注意，虽然作者自己说，如果服务器已经被破坏，签名也可能是。

注意:我现在推荐的是PHP的password_hash，而不是旧的Phpass库。