Fedora использует GPG-ключи для подписи пакетов RPM и файлов контрольных сумм ISO. Они перечисляют используемые ключи (включая отпечатки пальцев) на веб-странице. Веб-страница доставляется через https.
Например, файл контрольной суммы для Fedora-16-i386-DVD.iso
подписывается ключом A82BA4B7
. Проверка того, кто подписал открытый ключ, приводит к разочаровывающему списку:
Введите биты / идентификатор ключа кр. время exp время ключ expi паб 4096R / A82BA4B7 2011-07-25 UID Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Кажется, никто из сообщества Fedora не подписал эти важные ключи!
Почему? ;) (Почему Fedora не использует сеть доверия?) Или я что-то упустил?
Сравните это, например, с Debian - их текущий ключ автоматической подписи ftp подписан 473041FA
7 разработчиками .
Редактировать: Почему этот материал имеет значение?
Наличие такого важного ключа, подписанного реальными людьми (в настоящее время он никем не подписан!), Создало определенную степень уверенности в том, что это настоящий ключ, а не тот, который был создан злоумышленником, загруженным 5 минут назад на веб-сервер. Этот уровень доверия или доверия требует, чтобы вы могли отслеживать подписывающие отношения в сети доверия (для людей, которым вы уже доверяете). И вероятность того, что вы сможете это сделать, увеличивается, когда разные люди подписывают его (в настоящее время вероятность равна нулю).
Вы можете сравнить это доверие с серфингом https://mybank.example.net
и получить предупреждение о подтверждении сертификации - тогда вы все равно введете детали своей транзакции или подумаете «подождите минуту!», Остановите и исследуете проблему?
Ответы:
Иногда владельцы ключей подписывают не-человеческие ключи "sig1" (например, ключи репо).
со страницы руководства;
Я считаю, что это может повысить ценность, поскольку эти подписи не используются для повышения доверия, они предназначены только для ручной проверки / подтверждения.
Проблема любого, кто подписывает нечеловеческий / псевдонимный ключ, состоит в том, что мы не знаем, кто будет контролировать ключ через ... время. Большинство людей не хотят подписывать по этой причине.
Кроме того, в настоящее время Fedora относительно быстро заменяет ключ и публикует новый отпечаток на своем веб-сайте, и всем, кто подписался, отозвать подписи.
Что может быть более практичным;
Но ... как уже было сказано, с подписью или без нее, gpg-отпечатки ключей репо устанавливаются при установке ОС ... это проверяет все будущие обновления. Это добавляет мир безопасности.
источник
Я не могу говорить с конкретным обоснованием разработчиков Fedora, но если вы не доверяете ключам подписи, это не имеет значения.
Нельзя слепо доверять ключу лица, не встретившись лицом к лицу и не обменявшись ключами или не получив подписанный ключ от третьей стороны, которой абсолютно доверяешь.
Поскольку сообщество пользователей Fedora относительно велико по сравнению с сообществом разработчиков Fedora, широкое распространение и рациональное доверие подписывающих лиц маловероятно для широкой публики, хотя это добавило бы некоторую ценность для небольшого числа людей, способных должным образом доверять подписывающим сторонам. ).
В случае SSL этот безопасный обмен ключами уже состоялся - он выполняется от вашего имени вашим браузером или поставщиком ОС. Общие (и выпускающие) открытые ключи Common Certificate Authority предварительно заполнены в вашей базе данных доверия SSL. Как и корневые сертификаты SSL, ключи подписи для различных репозиториев ОС поставляются вместе с дистрибутивом. Таким образом, нет оснований утверждать, что эти корневые сертификаты SSL более или менее надежны, чем ключи подписи GPG, распространяемые с вашей ОС.
Подписание пакетов GPG по-прежнему дает существенную выгоду даже без подписанного ключа. Вы можете быть уверены, что ваши пакеты пришли из того же источника, вы можете быть уверены, что ключ подписи изменился в любой момент после установки и т. Д. Вы также можете посмотреть другие места, где ключ может быть опубликован, и проверить, не отличается ли он.
Это дает вам возможность сказать: «если бы я был рутирован с помощью подписанного пакета, все остальные, использующие Fedora, тоже рутированы», тогда как с неподписанными пакетами параноидальный ум всегда должен спрашивать «что, если кто-то сидит между мной и зеркалирование в сети и вставка вредоносного кода в любой *. {rpm, deb, txz}? ".
источник