Dlaczego klucze GPG Fedory nie są podpisane?


15

Fedora używa kluczy GPG do podpisywania pakietów RPM i plików sum kontrolnych ISO. Wymieniają używane klucze (w tym odciski palców) na stronie internetowej. Strona internetowa jest dostarczana przez https.

Na przykład plik sumy kontrolnej dla Fedora-16-i386-DVD.isojest podpisany za pomocą klucza A82BA4B7. Sprawdzanie, kto podpisał klucz publiczny, powoduje rozczarowanie:

Wpisz bits / keyID cr. czas wygaśnięcia klucz wygaśnięcia

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Wygląda na to, że nikt ze społeczności Fedory nie podpisał tych ważnych kluczy!

Dlaczego? ;) (Dlaczego Fedora nie korzysta z sieci zaufania?) Czy coś mi brakuje?

Porównaj to np. Z Debianem - ich obecny klucz automatycznego podpisywania ftp 473041FA jest podpisany przez 7 programistów .

Edycja: Dlaczego to ma znaczenie?

Posiadanie tak ważnego klucza podpisanego przez prawdziwych ludzi (obecnie nie jest podpisany przez nikogo!) Zapewniło pewien poziom pewności, że jest to prawdziwy klucz, a nie klucz utworzony przez atakującego, który został przesłany 5 minut temu na serwer WWW. Ten poziom zaufania lub zaufania wymaga śledzenia podpisywania relacji w sieci zaufania (dla osób, którym już ufasz). Prawdopodobieństwo, że jesteś w stanie to zrobić, wzrasta, gdy różne osoby podpiszą go (obecnie prawdopodobieństwo wynosi zero).

Możesz porównać to zaufanie z surfowaniem https://mybank.example.neti otrzymywaniem ostrzeżenia o weryfikacji certyfikatu - czy nadal wprowadziłbyś szczegóły swojej transakcji, czy pomyślałbyś „poczekaj chwilę!”, Przestań i zbadaj problem?


co chcesz zobaczyć? Jaką wartość dodaną zyskasz dzięki większej liczbie sygnatariuszy? Nie jest tutaj niezręcznie, ale po prostu próbuje zrozumieć, czego potrzebujesz.
Rory Alsop

@RoryAlsop, zaktualizowałem pytanie, aby dać motywację.
maxschlepzig

Certyfikaty SSL są dalekie od ideału . (Jestem pewien, że istnieją inne raporty; to właśnie znalazłem dzięki bardzo szybkiemu wyszukiwaniu i skanowaniu moich ostatnich osobistych archiwów blogów.)
CV

1
@ MichaelKjörling, nikt nie twierdzi, że certyfikaty SSL (lub obecne wersje / implementacje TLS) są idealne. Wyjaśnij, w jaki sposób twój komentarz jest powiązany z problemem opisanym w pytaniu.
maxschlepzig

3
Zapalony użytkownik Fedory, a ja jestem z tobą max. Nie zszokowałem się, gdy pobrałem klucz do Tailsa i nie był podpisany, ale Fedora jest złożona przez mnóstwo kompetentnych, a nawet wielu brodaty osób (wielu z nich jest pracownikami RHT). Całkiem dziwne. Prawdopodobnie lepiej zapytać o to w jednym z czatów IRC. Lub w fedoraforum lub askfedora .
rsaw

Odpowiedzi:


3

Czasami posiadacze kluczy podpisują klucze inne niż ludzkie „sig1” (na przykład klucze repo).

ze strony podręcznika;

1 oznacza, że ​​uważasz, że klucz jest własnością osoby, która twierdzi, że jest jego właścicielem, ale nie możesz, lub w ogóle go nie zweryfikowałeś. Jest to przydatne w przypadku weryfikacji „persona”, w której podpisujesz klucz pseudonimowego użytkownika.

Uważam, że może to przynieść wartość dodaną, ponieważ te podpisy nie są wykorzystywane do promowania zaufania, są one tylko w celu ręcznej weryfikacji / ponownego zapewnienia.

Problem z tym, że ktoś podpisuje klucz nie będący człowiekiem / pseudonimem, polega na tym, że nie wiemy, kto będzie kontrolował ten klucz za ... czas. Większość ludzi nie chce podpisywać z tego powodu.

Co więcej, obecnie Fedora jest stosunkowo szybka, aby wymienić klucz i opublikować nowy odcisk palca na swojej stronie internetowej, zajęłoby to chwilę wszystkim tym, którzy podpisali umowę, aby unieważnić podpisy.

Co może być bardziej praktyczne;

  • ktoś bierze klucz na fedora (klucz niepseudonimowy)
  • dedykowany zespół blisko klucza w fedora podpisuje / odwołuje klucz.
  • strona z bieżącym odciskiem palca jest podpisana przez kogoś wot.

Ale ... jak już powiedziano, z podpisem lub bez, odciski palców gpg kluczy repo są instalowane podczas instalacji systemu operacyjnego ... to potwierdza wszystkie przyszłe aktualizacje. To dodaje światu bezpieczeństwa.


2

Nie mogę mówić o konkretnym uzasadnieniu twórców Fedory, ale jeśli nie ufasz kluczom do podpisywania, nie robi to różnicy.

Nie należy ślepo ufać kluczowi osoby bez spotkania się twarzą w twarz i wymiany kluczy lub otrzymania podpisanego klucza od osoby trzeciej, której można całkowicie zaufać.

Ponieważ społeczność użytkowników Fedory jest stosunkowo duża w porównaniu ze społecznością programistów Fedory, szeroka dystrybucja i racjonalne zaufanie sygnatariuszy jest mało prawdopodobne dla ogółu społeczeństwa, choć stanowiłoby to pewną wartość dodaną dla niewielkiej liczby osób, które są w stanie odpowiednio zaufać osobom podpisującym ).

W przypadku SSL ta bezpieczna wymiana kluczy już się odbyła - jest przeprowadzana w Twoim imieniu przez przeglądarkę lub dostawcę systemu operacyjnego. Klucz publiczny (i wystawiający) wspólne urząd certyfikacji jest wstępnie wypełniony w db db SSL. Podobnie jak certyfikaty główne SSL, klucze podpisujące dla różnych repozytoriów systemów operacyjnych są dostarczane wraz z dystrybucją. Dlatego nie ma podstaw do stwierdzenia, że ​​te certyfikaty główne SSL są mniej lub bardziej wiarygodne niż klucze podpisujące GPG dystrybuowane wraz z systemem operacyjnym.

Podpisywanie pakietów GPG nadal zapewnia znaczne korzyści, nawet bez podpisanego klucza. Możesz być pewien, że twoje pakiety pochodzą z tego samego źródła, możesz być pewien, że klucz podpisujący zmienił jakiś punkt od czasu instalacji itp. Możesz także sprawdzić inne miejsca, w których klucz może zostać opublikowany i sprawdzić, czy jest inny.

W efekcie daje to możliwość powiedzenia „gdybym został zrootowany poprzez podpisany pakiet, wszyscy inni, którzy korzystają z Fedory, również są zrootowani”, podczas gdy w przypadku niepodpisanych pakietów umysł paranoiczny zawsze musi zapytać „co, jeśli ktoś siedzi między mną a dublowanie w sieci i przesyłanie złośliwego kodu do dowolnego *. {rpm, deb, txz}? ".


1
Mogłoby to działać, gdyby nie było tylu niewiarygodnych urzędów certyfikacji ...
SamB
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.