เหตุใดคีย์ Fedora GPG จึงไม่ลงชื่อ

Fedora ใช้ GPG-keys สำหรับการลงนามแพ็คเกจ RPM และไฟล์ ISO checksum พวกเขาแสดงรายการปุ่มที่ใช้งาน (รวมถึงลายนิ้วมือ) บนหน้าเว็บ หน้าเว็บถูกส่งผ่าน https

ตัวอย่างเช่นไฟล์การตรวจสอบสำหรับการลงนามด้วยกุญแจFedora-16-i386-DVD.iso การตรวจสอบผู้ที่ลงนามกุญแจสาธารณะส่งผลให้รายชื่อน่าผิดหวังA82BA4B7

พิมพ์บิต / keyID cr คีย์เวลาหมดอายุของเวลาหมดอายุ

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

ดูเหมือนว่าไม่มีใครในชุมชน Fedora ลงนามกุญแจสำคัญเหล่านี้!

ทำไม? ;) (เพราะเหตุใด Fedora จึงไม่ใช้เว็บที่ไว้ใจได้) หรือฉันขาดอะไรไป?

เปรียบเทียบเช่นนี้กับDebian - กุญแจสำคัญในการลงนาม FTP อัตโนมัติปัจจุบันของพวกเขา473041FA มีการลงนามโดย 7 นักพัฒนา

แก้ไข:ทำไมเรื่องนี้สำคัญ

การมีกุญแจสำคัญที่ลงนามโดยคนจริง (ปัจจุบันยังไม่ได้ลงนามโดยใคร!) สร้างความมั่นใจในระดับหนึ่งว่าเป็นกุญแจจริงและไม่ใช่กุญแจที่สร้างโดยผู้โจมตีที่เพิ่งอัพโหลดไปยังเว็บเซิร์ฟเวอร์เมื่อ 5 นาทีก่อน ระดับของความเชื่อมั่นหรือความไว้วางใจนี้ต้องการให้คุณสามารถติดตามความสัมพันธ์การลงนามในเว็บของความไว้วางใจ (กับคนที่คุณไว้วางใจแล้ว) และความน่าจะเป็นที่คุณสามารถทำได้นั้นเพิ่มขึ้นเมื่อคนอื่น ๆ เซ็นชื่อ (ปัจจุบันความน่าจะเป็นเป็นศูนย์)

คุณสามารถเปรียบเทียบสิ่งที่เชื่อถือได้นี้กับการท่องไปhttps://mybank.example.netและรับการเตือนการตรวจสอบใบรับรองจากนั้นคุณจะยังคงป้อนรายละเอียดธุรกรรมของคุณหรือคุณคิดว่า 'รอสักครู่!' หยุดและตรวจสอบปัญหาหรือไม่

บางครั้งผู้ถือกุญแจจะเซ็นกุญแจที่ไม่ใช่ของมนุษย์ "sig1" (เช่นคีย์ repo)

จากหน้าคน;

1 หมายความว่าคุณเชื่อว่ากุญแจนั้นเป็นของผู้ที่อ้างว่าเป็นเจ้าของ แต่คุณไม่สามารถหรือไม่ได้ยืนยันรหัสเลย สิ่งนี้มีประโยชน์สำหรับการยืนยันแบบ "ตัว" ซึ่งคุณได้ลงนามในคีย์ของผู้ใช้นามแฝง

ฉันเชื่อว่าสิ่งนี้สามารถเพิ่มมูลค่าได้เนื่องจากลายเซ็นเหล่านี้ไม่ได้ใช้เพื่อส่งเสริมความไว้วางใจ แต่มีไว้สำหรับการตรวจสอบด้วยตนเอง / รับประกันอีกครั้ง

ปัญหากับทุกคนที่ลงชื่อกุญแจที่ไม่ใช่มนุษย์ / นามแฝงคือเราไม่รู้ว่าใครจะเป็นผู้ควบคุมกุญแจในเวลา ... คนส่วนใหญ่ไม่ต้องการลงชื่อด้วยเหตุผลนี้

นอกจากนี้ในปัจจุบันมันค่อนข้างเร็วสำหรับ Fedora ที่จะเปลี่ยนคีย์และเผยแพร่ลายนิ้วมือใหม่บนเว็บไซต์ของพวกเขามันจะใช้เวลาสักครู่สำหรับทุกคนที่ลงนามเพื่อยกเลิกลายเซ็น

สิ่งที่อาจเป็นประโยชน์ได้มากขึ้น

• บางคนรับสิทธิ์การเป็นเจ้าของคีย์ที่ fedora (คีย์ที่ไม่ใช้นามแฝง)
• ทีมงานที่ทุ่มเทใกล้กับกุญแจที่สัญลักษณ์ของ fedora / เพิกถอนกุญแจ
• หน้าเว็บที่มีลายนิ้วมือปัจจุบันมีการลงนามโดยใครบางคนใน wot

แต่ ... ดังที่ได้กล่าวไปแล้วไม่ว่าจะมีลายเซ็นหรือไม่ก็ตามลายนิ้วมือ gpg ของปุ่มซื้อคืนจะถูกติดตั้งเมื่อคุณติดตั้งระบบปฏิบัติการ ... สิ่งนี้จะตรวจสอบการอัพเดทในอนาคตทั้งหมด นี่เป็นการเพิ่มโลกของความปลอดภัย

ฉันไม่สามารถพูดกับเหตุผลเฉพาะของผู้พัฒนา Fedora ได้ แต่ถ้าคุณเชื่อใจในการเซ็นชื่อก็ไม่ได้สร้างความแตกต่าง

เราไม่ควรเชื่อกุญแจของแต่ละคนโดยไม่ได้รับกุญแจโดยไม่ต้องพบกันและแลกเปลี่ยนกุญแจหรือได้รับกุญแจเซ็นสัญญาจากบุคคลที่สามที่เชื่อถืออย่างแน่นอน

การที่ชุมชนผู้ใช้ Fedora นั้นค่อนข้างใหญ่เมื่อเทียบกับชุมชนผู้พัฒนา Fedora การกระจายอย่างกว้างขวางและความไว้วางใจอย่างมีเหตุผลของผู้ลงนามนั้นไม่น่าเป็นที่สาธารณชนทั่วไปถึงแม้ว่ามันจะเป็นการเพิ่มคุณค่าให้กับคนจำนวนไม่มากนัก )

ในกรณีของ SSL การแลกเปลี่ยนกุญแจที่ปลอดภัยนี้ได้เกิดขึ้นแล้ว - จะดำเนินการในนามของคุณโดยเบราว์เซอร์หรือผู้จำหน่ายระบบปฏิบัติการของคุณ คีย์สาธารณะผู้ออกใบรับรองทั่วไป (และการออก) คีย์สาธารณะจะมาพร้อมกับฐานข้อมูล SSL trust db ของคุณล่วงหน้า เช่นเดียวกับ SSL root certs คีย์การลงชื่อสำหรับที่เก็บ OS ต่างๆมาพร้อมกับการแจกจ่าย ดังนั้นจึงไม่มีพื้นฐานที่จะกล่าวว่าใบรับรองรูท SSL เหล่านี้เชื่อถือได้มากกว่าหรือน้อยกว่าคีย์การลงนาม GPG ที่แจกจ่ายกับระบบปฏิบัติการของคุณ

การลงนามในแพคเกจของ GPG ยังคงให้ประโยชน์อย่างมากแม้ว่าจะไม่มีรหัสที่เซ็นชื่อก็ตาม คุณสามารถมั่นใจได้ว่าแพคเกจของคุณมาจากแหล่งเดียวกันคุณสามารถมั่นใจได้ว่าคีย์การเซ็นชื่อมีการเปลี่ยนแปลงจุดใด ๆ ตั้งแต่การติดตั้ง ฯลฯ คุณยังสามารถดูสถานที่อื่น ๆ ที่อาจมีการเผยแพร่คีย์และตรวจสอบว่ามันแตกต่างกันหรือไม่

สิ่งนี้มีผลต่อการทำให้คุณสามารถพูดว่า "ถ้าฉันรูทผ่านแพ็คเกจที่เซ็นชื่อแล้วทุกคนที่ใช้ Fedora ก็รูทด้วย" ในขณะที่แพ็คเกจที่ไม่ได้ลงนามจิตใจหวาดระแวงต้องถามเสมอว่า "ถ้ามีใครนั่งอยู่ระหว่างฉันกับ มิเรอร์บนเครือข่ายและการส่งรหัสที่เลวร้ายลงในใด ๆ *. {rpm, deb, txz}? "