Perché le chiavi GPG Fedora non sono firmate?

Fedora utilizza le chiavi GPG per la firma di pacchetti RPM e file checksum ISO. Elencano le chiavi in ​​uso (comprese le impronte digitali) su una pagina Web. La pagina Web viene fornita tramite https.

Ad esempio, il file di checksum per Fedora-16-i386-DVD.isoè firmato con chiave A82BA4B7. Controllare chi ha firmato la chiave pubblica risulta in un elenco deludente:

Digitare bit / ID chiave cr. time exp time key expir

pub 4096R / A82BA4B7 25/07/2011            

uid Fedora (16) 
sig sig3 A82BA4B7 25/07/2011 __________ __________ [selfsig]

Sembra che nessuno della comunità Fedora abbia firmato queste chiavi importanti!

Perché? ;) (Perché Fedora non usa una rete di fiducia?) O mi sto perdendo qualcosa?

Confrontalo ad esempio con Debian : la loro chiave di firma ftp automatica corrente 473041FA è firmata da 7 sviluppatori .

Modifica: perché è importante questa roba?

Avere una chiave così importante firmata da persone reali (al momento non è firmata da nessuno!) Ha stabilito un certo livello di sicurezza che è la chiave reale e non quella creata da un utente malintenzionato appena caricata 5 minuti fa sul web-server. Questo livello di fiducia richiede che sia possibile tracciare le relazioni di firma in una rete di fiducia (per le persone di cui si sta già fidando). E la probabilità che tu sia in grado di farlo è in aumento quando diverse persone lo firmano (attualmente la probabilità è zero).

Puoi confrontare questa faccenda di fiducia con la navigazione https://mybank.example.nete ottenere un avviso di verifica della certificazione: inseriresti comunque i dettagli della tua transazione o pensi di "aspettare un minuto!", Interrompere e indagare sul problema?

A volte i detentori di chiavi firmano chiavi non umane "sig1" (ad esempio chiavi repo).

dalla pagina man;

1 significa che ritieni che la chiave sia di proprietà della persona che afferma di possederla ma non puoi, o non hai verificato affatto la chiave. Ciò è utile per una verifica "persona", in cui si firma la chiave di un utente pseudonimo.

Credo che ciò possa aggiungere valore poiché queste firme non vengono utilizzate per promuovere la fiducia, sono solo lì per la verifica / rassicurazione manuale.

Il problema con chiunque firmi una chiave non umana / pseudonima è che non sappiamo chi avrà il controllo della chiave in ... tempo. Molte persone non vorranno firmare per questo motivo.

Inoltre, attualmente è relativamente veloce per Fedora sostituire la chiave e pubblicare una nuova impronta digitale sul loro sito Web, ci vorrebbe un po 'di tempo per tutti coloro che hanno firmato per revocare le firme.

Cosa potrebbe essere più pratico;

• qualcuno diventa proprietario della chiave in fedora (chiave non pseudonima)
• un team dedicato vicino alla chiave in fedora firma / revoca la chiave.
• la pagina web con l'impronta digitale corrente è firmata da qualcuno in wot.

Ma ... come è già stato detto, con o senza firma, le impronte digitali gpg delle chiavi repo vengono installate quando si installa il sistema operativo ... questo convalida tutti gli aggiornamenti futuri. Questo aggiunge un mondo di sicurezza.

Non posso parlare con la logica specifica degli sviluppatori Fedora, ma se non ti fidi delle chiavi di firma, non fa differenza.

Non si dovrebbe fidarsi ciecamente della chiave di un individuo senza aver incontrato le chiavi faccia a faccia e scambiate o senza aver ricevuto la chiave firmata da un terzo di cui ci si fida assolutamente.

Dal momento che la comunità di utenti Fedora è relativamente ampia rispetto alla comunità di sviluppatori Fedora, è improbabile per il grande pubblico un'ampia distribuzione e fiducia razionale dei firmatari, sebbene ciò aggiungerebbe un valore per il piccolo numero di persone in grado di fidarsi adeguatamente dei firmatari ).

Nel caso di SSL, questo scambio di chiavi sicuro è già avvenuto: viene eseguito per tuo conto dal tuo browser o dal fornitore del sistema operativo. Le chiavi pubbliche root (e di emissione) dell'autorità di certificazione comune sono precompilate nel db di trust SSL. Proprio come i certificati root SSL, le chiavi di firma per vari repository del sistema operativo vengono fornite con la distribuzione. Pertanto non vi è alcuna base per affermare che questi certificati radice SSL sono più o meno affidabili delle chiavi di firma GPG distribuite con il sistema operativo.

La firma GPG dei pacchetti offre comunque notevoli vantaggi anche senza una chiave firmata. Puoi essere certo che i tuoi pacchetti provengono dalla stessa fonte, puoi essere sicuro che la chiave di firma sia cambiata in qualsiasi momento dall'installazione, ecc. Puoi anche guardare in altri luoghi in cui la chiave potrebbe essere pubblicata e verificare se è diversa.

Questo ha l'effetto netto di darti la possibilità di dire "se fossi radicato tramite un pacchetto firmato, anche tutti gli altri che usano Fedora sono radicati" mentre con pacchetti non firmati una mente paranoica deve sempre chiedere "cosa succede se qualcuno è seduto tra me e il rispecchiare sulla rete e inserire codice nefasto in qualsiasi *. {rpm, deb, txz}? ".