Dlaczego klucze GPG Fedory nie są podpisane?

Fedora używa kluczy GPG do podpisywania pakietów RPM i plików sum kontrolnych ISO. Wymieniają używane klucze (w tym odciski palców) na stronie internetowej. Strona internetowa jest dostarczana przez https.

Na przykład plik sumy kontrolnej dla Fedora-16-i386-DVD.isojest podpisany za pomocą klucza A82BA4B7. Sprawdzanie, kto podpisał klucz publiczny, powoduje rozczarowanie:

Wpisz bits / keyID cr. czas wygaśnięcia klucz wygaśnięcia

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Wygląda na to, że nikt ze społeczności Fedory nie podpisał tych ważnych kluczy!

Dlaczego? ;) (Dlaczego Fedora nie korzysta z sieci zaufania?) Czy coś mi brakuje?

Porównaj to np. Z Debianem - ich obecny klucz automatycznego podpisywania ftp 473041FA jest podpisany przez 7 programistów .

Edycja: Dlaczego to ma znaczenie?

Posiadanie tak ważnego klucza podpisanego przez prawdziwych ludzi (obecnie nie jest podpisany przez nikogo!) Zapewniło pewien poziom pewności, że jest to prawdziwy klucz, a nie klucz utworzony przez atakującego, który został przesłany 5 minut temu na serwer WWW. Ten poziom zaufania lub zaufania wymaga śledzenia podpisywania relacji w sieci zaufania (dla osób, którym już ufasz). Prawdopodobieństwo, że jesteś w stanie to zrobić, wzrasta, gdy różne osoby podpiszą go (obecnie prawdopodobieństwo wynosi zero).

Możesz porównać to zaufanie z surfowaniem https://mybank.example.neti otrzymywaniem ostrzeżenia o weryfikacji certyfikatu - czy nadal wprowadziłbyś szczegóły swojej transakcji, czy pomyślałbyś „poczekaj chwilę!”, Przestań i zbadaj problem?

Czasami posiadacze kluczy podpisują klucze inne niż ludzkie „sig1” (na przykład klucze repo).

ze strony podręcznika;

1 oznacza, że ​​uważasz, że klucz jest własnością osoby, która twierdzi, że jest jego właścicielem, ale nie możesz, lub w ogóle go nie zweryfikowałeś. Jest to przydatne w przypadku weryfikacji „persona”, w której podpisujesz klucz pseudonimowego użytkownika.

Uważam, że może to przynieść wartość dodaną, ponieważ te podpisy nie są wykorzystywane do promowania zaufania, są one tylko w celu ręcznej weryfikacji / ponownego zapewnienia.

Problem z tym, że ktoś podpisuje klucz nie będący człowiekiem / pseudonimem, polega na tym, że nie wiemy, kto będzie kontrolował ten klucz za ... czas. Większość ludzi nie chce podpisywać z tego powodu.

Co więcej, obecnie Fedora jest stosunkowo szybka, aby wymienić klucz i opublikować nowy odcisk palca na swojej stronie internetowej, zajęłoby to chwilę wszystkim tym, którzy podpisali umowę, aby unieważnić podpisy.

Co może być bardziej praktyczne;

• ktoś bierze klucz na fedora (klucz niepseudonimowy)
• dedykowany zespół blisko klucza w fedora podpisuje / odwołuje klucz.
• strona z bieżącym odciskiem palca jest podpisana przez kogoś wot.

Ale ... jak już powiedziano, z podpisem lub bez, odciski palców gpg kluczy repo są instalowane podczas instalacji systemu operacyjnego ... to potwierdza wszystkie przyszłe aktualizacje. To dodaje światu bezpieczeństwa.

Nie mogę mówić o konkretnym uzasadnieniu twórców Fedory, ale jeśli nie ufasz kluczom do podpisywania, nie robi to różnicy.

Nie należy ślepo ufać kluczowi osoby bez spotkania się twarzą w twarz i wymiany kluczy lub otrzymania podpisanego klucza od osoby trzeciej, której można całkowicie zaufać.

Ponieważ społeczność użytkowników Fedory jest stosunkowo duża w porównaniu ze społecznością programistów Fedory, szeroka dystrybucja i racjonalne zaufanie sygnatariuszy jest mało prawdopodobne dla ogółu społeczeństwa, choć stanowiłoby to pewną wartość dodaną dla niewielkiej liczby osób, które są w stanie odpowiednio zaufać osobom podpisującym ).

W przypadku SSL ta bezpieczna wymiana kluczy już się odbyła - jest przeprowadzana w Twoim imieniu przez przeglądarkę lub dostawcę systemu operacyjnego. Klucz publiczny (i wystawiający) wspólne urząd certyfikacji jest wstępnie wypełniony w db db SSL. Podobnie jak certyfikaty główne SSL, klucze podpisujące dla różnych repozytoriów systemów operacyjnych są dostarczane wraz z dystrybucją. Dlatego nie ma podstaw do stwierdzenia, że ​​te certyfikaty główne SSL są mniej lub bardziej wiarygodne niż klucze podpisujące GPG dystrybuowane wraz z systemem operacyjnym.

Podpisywanie pakietów GPG nadal zapewnia znaczne korzyści, nawet bez podpisanego klucza. Możesz być pewien, że twoje pakiety pochodzą z tego samego źródła, możesz być pewien, że klucz podpisujący zmienił jakiś punkt od czasu instalacji itp. Możesz także sprawdzić inne miejsca, w których klucz może zostać opublikowany i sprawdzić, czy jest inny.

W efekcie daje to możliwość powiedzenia „gdybym został zrootowany poprzez podpisany pakiet, wszyscy inni, którzy korzystają z Fedory, również są zrootowani”, podczas gdy w przypadku niepodpisanych pakietów umysł paranoiczny zawsze musi zapytać „co, jeśli ktoś siedzi między mną a dublowanie w sieci i przesyłanie złośliwego kodu do dowolnego *. {rpm, deb, txz}? ".