.net - 我需要从 .snk 文件发布公钥吗？

Question

来自 sn.exe 实用程序和 this question 的描述我看到公钥的副本被添加到每个用强名称签名的程序集中。这足以验证程序集二进制文件未被更改。

但是如何验证给定的程序集确实是用某个给定的 key 对签名并由给定公司编译的呢？任何人都可以生成他自己的 key 对，生成一些程序集并用他的 key 对签名。我是否需要发布公钥以便那些想要验证程序集来源的人可以比较公钥？如果是这样，最好的方法是什么？

Answer 1

不，您不需要在程序集之外发布您的公钥，因为它被散列并作为 token 与客户端应用程序内的引用一起存储:

AssemblyName, Version=1.0.0.0, Culture=neutral, PublicKeyToken=bcd6707151635d07"

这提供了一种方法来确保程序集的所有 future 版本都针对相同的 key 对进行编译，因此来自相同的发布者。

有关如何使用此信息阻止其他来源冒充您的更多详细信息，请参见我的其他答案。