Python 版本 3.13 及更早版本的源代码和二进制可执行文件由发布经理或二进制构建者使用他们的 OpenPGP 密钥签名。Python 3.14 及更高版本将仅使用 Sigstore 签名。

当前支持版本的签名

• Thomas Wouters（3.12.x 和 3.13.x 源代码和标签）（密钥 ID：A821E680E5FA6305）
• Pablo Galindo Salgado（3.10.x 和 3.11.x 源代码和标签）（密钥 ID：64E628F8D684696D）
• Steve Dower（Windows 二进制文件）（密钥 ID：FC62 4643 4870 34E5）
• Łukasz Langa（3.8.x 和 3.9.x 源代码和标签）（密钥 ID：B269 95E3 1025 0568）
• Ned Deily（macOS 二进制文件，3.7.x / 3.6.x 源代码和标签）（密钥 ID：2D34 7EA6 AA65 421D 和 FB99 2128 6F5E 1540）

已停止支持版本的签名

• Anthony Baxter（密钥 ID：0EDD C5F2 6A45 C816）
• Georg Brandl（密钥 ID：0A5B 1018 3658 0288）
• Martin v. Löwis（密钥 ID：6AF0 53F0 7D9D C8D2）
• Ronald Oussoren（密钥 ID：C9BE 28DE E6DF 025C）
• Barry Warsaw（密钥 ID：126E B563 A74B 06BF、D986 6941 EA5B BD71 和 ED9D77D5）
• Larry Hastings（3.5.x 源代码和标签）（密钥 ID：3A5C A953 F73C 700D）
• Benjamin Peterson（2.7.z 源代码和标签）（密钥 ID：04C3 67C2 18AD D4FF 和 A4135B38）

验证发布

您可以通过运行以下命令从您信任的公钥服务器网络服务器导入某人的公钥

gpg --recv-keys [key id]

或者，在许多情况下，公钥也可以在 keybase.io 上找到。在特定版本的下载页面上，您应该会看到可下载文件和分离签名文件的链接。要验证下载的真实性，请获取这两个文件，然后运行以下命令

gpg --verify Python-3.6.2.tgz.asc

请注意，您必须使用签名文件的名称，并且应该使用与您正在验证的下载相符的那个。

（这些说明适用于 GnuPG 和 Unix 命令行用户。）