Почему ключи Fedora GPG не подписаны?

15

Fedora использует GPG-ключи для подписи пакетов RPM и файлов контрольных сумм ISO. Они перечисляют используемые ключи (включая отпечатки пальцев) на веб-странице. Веб-страница доставляется через https.

Например, файл контрольной суммы для Fedora-16-i386-DVD.isoподписывается ключом A82BA4B7. Проверка того, кто подписал открытый ключ, приводит к разочаровывающему списку:

Введите биты / идентификатор ключа кр. время exp время ключ expi

паб 4096R / A82BA4B7 2011-07-25            

UID Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Кажется, никто из сообщества Fedora не подписал эти важные ключи!

Почему? ;) (Почему Fedora не использует сеть доверия?) Или я что-то упустил?

Сравните это, например, с Debian - их текущий ключ автоматической подписи ftp подписан 473041FA 7 разработчиками .

Редактировать: Почему этот материал имеет значение?

Наличие такого важного ключа, подписанного реальными людьми (в настоящее время он никем не подписан!), Создало определенную степень уверенности в том, что это настоящий ключ, а не тот, который был создан злоумышленником, загруженным 5 минут назад на веб-сервер. Этот уровень доверия или доверия требует, чтобы вы могли отслеживать подписывающие отношения в сети доверия (для людей, которым вы уже доверяете). И вероятность того, что вы сможете это сделать, увеличивается, когда разные люди подписывают его (в настоящее время вероятность равна нулю).

Вы можете сравнить это доверие с серфингом https://mybank.example.netи получить предупреждение о подтверждении сертификации - тогда вы все равно введете детали своей транзакции или подумаете «подождите минуту!», Остановите и исследуете проблему?

maxschlepzig
источник
что ты надеешься увидеть? Какую дополнительную выгоду вы почувствуете, получив больше подписантов? Не неловко здесь, а просто пытаюсь понять, что тебе нужно.
Рори Олсоп
@RoryAlsop, обновил вопрос, чтобы дать некоторую мотивацию.
maxschlepzig
SSL-сертификаты далеки от совершенства . (Я уверен, что есть и другие отчеты; это как раз то, что я нашел с помощью очень быстрого поиска и сканирования в моих недавних личных архивах блогов.)
CVn
1
@ MichaelKjörling, никто не утверждает, что SSL-сертификаты (или текущие версии / реализации TLS) идеальны. Пожалуйста, уточните, как ваш комментарий связан с проблемой, описанной в вопросе.
maxschlepzig
3
Я заядлый пользователь Fedora, а я с тобой макс. Я не был шокирован, когда я скачал ключ для Tails, и он не был подписан, но Fedora собрана тоннами компетентных и даже многих честных людей (многие из которых являются сотрудниками RHT). Довольно странно. Наверное, лучше спросить об этом в одном из чатов IRC. Или у федорафорума или аскфедора .
RSA

Ответы:

3

Иногда владельцы ключей подписывают не-человеческие ключи "sig1" (например, ключи репо).

со страницы руководства;

1 означает, что вы считаете, что ключ принадлежит человеку, который утверждает, что владеет им, но вы не могли или не проверяли ключ вообще. Это полезно для проверки личности, когда вы подписываете ключ псевдонимного пользователя.

Я считаю, что это может повысить ценность, поскольку эти подписи не используются для повышения доверия, они предназначены только для ручной проверки / подтверждения.

Проблема любого, кто подписывает нечеловеческий / псевдонимный ключ, состоит в том, что мы не знаем, кто будет контролировать ключ через ... время. Большинство людей не хотят подписывать по этой причине.

Кроме того, в настоящее время Fedora относительно быстро заменяет ключ и публикует новый отпечаток на своем веб-сайте, и всем, кто подписался, отозвать подписи.

Что может быть более практичным;

  • кто-то вступает во владение ключом в fedora (не псевдонимный ключ)
  • специальная команда рядом с ключом в fedora подписывает / отзывает ключ.
  • веб-страница с текущим отпечатком подписана кем-то в wot.

Но ... как уже было сказано, с подписью или без нее, gpg-отпечатки ключей репо устанавливаются при установке ОС ... это проверяет все будущие обновления. Это добавляет мир безопасности.

mikejonesey
источник
2

Я не могу говорить с конкретным обоснованием разработчиков Fedora, но если вы не доверяете ключам подписи, это не имеет значения.

Нельзя слепо доверять ключу лица, не встретившись лицом к лицу и не обменявшись ключами или не получив подписанный ключ от третьей стороны, которой абсолютно доверяешь.

Поскольку сообщество пользователей Fedora относительно велико по сравнению с сообществом разработчиков Fedora, широкое распространение и рациональное доверие подписывающих лиц маловероятно для широкой публики, хотя это добавило бы некоторую ценность для небольшого числа людей, способных должным образом доверять подписывающим сторонам. ).

В случае SSL этот безопасный обмен ключами уже состоялся - он выполняется от вашего имени вашим браузером или поставщиком ОС. Общие (и выпускающие) открытые ключи Common Certificate Authority предварительно заполнены в вашей базе данных доверия SSL. Как и корневые сертификаты SSL, ключи подписи для различных репозиториев ОС поставляются вместе с дистрибутивом. Таким образом, нет оснований утверждать, что эти корневые сертификаты SSL более или менее надежны, чем ключи подписи GPG, распространяемые с вашей ОС.

Подписание пакетов GPG по-прежнему дает существенную выгоду даже без подписанного ключа. Вы можете быть уверены, что ваши пакеты пришли из того же источника, вы можете быть уверены, что ключ подписи изменился в любой момент после установки и т. Д. Вы также можете посмотреть другие места, где ключ может быть опубликован, и проверить, не отличается ли он.

Это дает вам возможность сказать: «если бы я был рутирован с помощью подписанного пакета, все остальные, использующие Fedora, тоже рутированы», тогда как с неподписанными пакетами параноидальный ум всегда должен спрашивать «что, если кто-то сидит между мной и зеркалирование в сети и вставка вредоносного кода в любой *. {rpm, deb, txz}? ".

Марпа
источник
1
Это могло бы работать, если бы не было так много ненадежных ЦС ...
SamB