Fedora używa kluczy GPG do podpisywania pakietów RPM i plików sum kontrolnych ISO. Wymieniają używane klucze (w tym odciski palców) na stronie internetowej. Strona internetowa jest dostarczana przez https.
Na przykład plik sumy kontrolnej dla Fedora-16-i386-DVD.iso
jest podpisany za pomocą klucza A82BA4B7
. Sprawdzanie, kto podpisał klucz publiczny, powoduje rozczarowanie:
Wpisz bits / keyID cr. czas wygaśnięcia klucz wygaśnięcia pub 4096R / A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Wygląda na to, że nikt ze społeczności Fedory nie podpisał tych ważnych kluczy!
Dlaczego? ;) (Dlaczego Fedora nie korzysta z sieci zaufania?) Czy coś mi brakuje?
Porównaj to np. Z Debianem - ich obecny klucz automatycznego podpisywania ftp 473041FA
jest podpisany przez 7 programistów .
Edycja: Dlaczego to ma znaczenie?
Posiadanie tak ważnego klucza podpisanego przez prawdziwych ludzi (obecnie nie jest podpisany przez nikogo!) Zapewniło pewien poziom pewności, że jest to prawdziwy klucz, a nie klucz utworzony przez atakującego, który został przesłany 5 minut temu na serwer WWW. Ten poziom zaufania lub zaufania wymaga śledzenia podpisywania relacji w sieci zaufania (dla osób, którym już ufasz). Prawdopodobieństwo, że jesteś w stanie to zrobić, wzrasta, gdy różne osoby podpiszą go (obecnie prawdopodobieństwo wynosi zero).
Możesz porównać to zaufanie z surfowaniem https://mybank.example.net
i otrzymywaniem ostrzeżenia o weryfikacji certyfikatu - czy nadal wprowadziłbyś szczegóły swojej transakcji, czy pomyślałbyś „poczekaj chwilę!”, Przestań i zbadaj problem?