Minisign 0.12 版本发布：更灵活的加密依赖与改进的密钥标识

Minisign 是一个轻量级的数字签名工具，专为软件包验证而设计。它采用现代加密算法，提供了简单而强大的方式来验证文件的完整性和来源。与传统的 PGP 签名相比，Minisign 更加简洁高效，特别适合在持续集成/持续部署(CI/CD)流程中使用。

主要更新内容

1. Libsodium 成为可选依赖

在 0.12 版本中，Minisign 做出了一项重要架构调整：Libsodium 加密库从必需依赖变为可选依赖。这一变化为开发者提供了更大的灵活性：

• 当使用 Zig 工具链编译 Minisign 时，可以通过 -Dwithout-libsodium 标志来构建不依赖 Libsodium 的版本
• 这一改进特别适合嵌入式系统或资源受限环境，在这些场景下减少依赖可以显著简化部署
• 对于需要更高安全性的场景，仍然可以选择包含 Libsodium 的完整版本

2. 密钥标识的格式化改进

新版本对密钥标识的输出格式进行了优化：

• 密钥标识现在会进行零填充(zero-padding)处理
• 这一改进使得密钥标识在显示时更加规范统一
• 对于自动化脚本处理密钥标识的场景，这种标准化格式可以减少解析错误

技术背景与价值

Minisign 的设计哲学是"简单而安全"。它使用 Ed25519 算法进行签名，这是一种基于椭圆曲线的现代签名方案，相比传统 RSA 签名具有以下优势：

• 更短的密钥长度(256位 vs RSA的2048位或更长)
• 更快的签名验证速度
• 更强的安全性保障

0.12 版本的依赖灵活性改进体现了 Minisign 对"最小化依赖"原则的坚持。通过将 Libsodium 设为可选，项目可以：

1. 降低部署复杂度
2. 减少潜在的攻击面
3. 提高在特殊环境中的适应性

使用建议

对于大多数用户，建议继续使用包含 Libsodium 的完整版本，以获得最佳的安全性和功能支持。只有在确实需要减少依赖的特殊场景下，才考虑使用无 Libsodium 的版本。

开发者在使用新版本时应注意：

• 密钥标识的零填充格式变化可能需要更新现有的自动化脚本
• 跨版本操作时要注意依赖项的兼容性
• 在安全关键系统中升级前应进行充分测试

Minisign 0.12 的这些改进进一步巩固了它作为轻量级签名工具的地位，为软件供应链安全提供了更加灵活可靠的解决方案。