Fedora używa kluczy GPG do podpisywania pakietów RPM i plików sum kontrolnych ISO. Wymieniają używane klucze (w tym odciski palców) na stronie internetowej. Strona internetowa jest dostarczana przez https.
Na przykład plik sumy kontrolnej dla Fedora-16-i386-DVD.iso
jest podpisany za pomocą klucza A82BA4B7
. Sprawdzanie, kto podpisał klucz publiczny, powoduje rozczarowanie:
Wpisz bits / keyID cr. czas wygaśnięcia klucz wygaśnięcia pub 4096R / A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Wygląda na to, że nikt ze społeczności Fedory nie podpisał tych ważnych kluczy!
Dlaczego? ;) (Dlaczego Fedora nie korzysta z sieci zaufania?) Czy coś mi brakuje?
Porównaj to np. Z Debianem - ich obecny klucz automatycznego podpisywania ftp 473041FA
jest podpisany przez 7 programistów .
Edycja: Dlaczego to ma znaczenie?
Posiadanie tak ważnego klucza podpisanego przez prawdziwych ludzi (obecnie nie jest podpisany przez nikogo!) Zapewniło pewien poziom pewności, że jest to prawdziwy klucz, a nie klucz utworzony przez atakującego, który został przesłany 5 minut temu na serwer WWW. Ten poziom zaufania lub zaufania wymaga śledzenia podpisywania relacji w sieci zaufania (dla osób, którym już ufasz). Prawdopodobieństwo, że jesteś w stanie to zrobić, wzrasta, gdy różne osoby podpiszą go (obecnie prawdopodobieństwo wynosi zero).
Możesz porównać to zaufanie z surfowaniem https://mybank.example.net
i otrzymywaniem ostrzeżenia o weryfikacji certyfikatu - czy nadal wprowadziłbyś szczegóły swojej transakcji, czy pomyślałbyś „poczekaj chwilę!”, Przestań i zbadaj problem?
Odpowiedzi:
Czasami posiadacze kluczy podpisują klucze inne niż ludzkie „sig1” (na przykład klucze repo).
ze strony podręcznika;
Uważam, że może to przynieść wartość dodaną, ponieważ te podpisy nie są wykorzystywane do promowania zaufania, są one tylko w celu ręcznej weryfikacji / ponownego zapewnienia.
Problem z tym, że ktoś podpisuje klucz nie będący człowiekiem / pseudonimem, polega na tym, że nie wiemy, kto będzie kontrolował ten klucz za ... czas. Większość ludzi nie chce podpisywać z tego powodu.
Co więcej, obecnie Fedora jest stosunkowo szybka, aby wymienić klucz i opublikować nowy odcisk palca na swojej stronie internetowej, zajęłoby to chwilę wszystkim tym, którzy podpisali umowę, aby unieważnić podpisy.
Co może być bardziej praktyczne;
Ale ... jak już powiedziano, z podpisem lub bez, odciski palców gpg kluczy repo są instalowane podczas instalacji systemu operacyjnego ... to potwierdza wszystkie przyszłe aktualizacje. To dodaje światu bezpieczeństwa.
źródło
Nie mogę mówić o konkretnym uzasadnieniu twórców Fedory, ale jeśli nie ufasz kluczom do podpisywania, nie robi to różnicy.
Nie należy ślepo ufać kluczowi osoby bez spotkania się twarzą w twarz i wymiany kluczy lub otrzymania podpisanego klucza od osoby trzeciej, której można całkowicie zaufać.
Ponieważ społeczność użytkowników Fedory jest stosunkowo duża w porównaniu ze społecznością programistów Fedory, szeroka dystrybucja i racjonalne zaufanie sygnatariuszy jest mało prawdopodobne dla ogółu społeczeństwa, choć stanowiłoby to pewną wartość dodaną dla niewielkiej liczby osób, które są w stanie odpowiednio zaufać osobom podpisującym ).
W przypadku SSL ta bezpieczna wymiana kluczy już się odbyła - jest przeprowadzana w Twoim imieniu przez przeglądarkę lub dostawcę systemu operacyjnego. Klucz publiczny (i wystawiający) wspólne urząd certyfikacji jest wstępnie wypełniony w db db SSL. Podobnie jak certyfikaty główne SSL, klucze podpisujące dla różnych repozytoriów systemów operacyjnych są dostarczane wraz z dystrybucją. Dlatego nie ma podstaw do stwierdzenia, że te certyfikaty główne SSL są mniej lub bardziej wiarygodne niż klucze podpisujące GPG dystrybuowane wraz z systemem operacyjnym.
Podpisywanie pakietów GPG nadal zapewnia znaczne korzyści, nawet bez podpisanego klucza. Możesz być pewien, że twoje pakiety pochodzą z tego samego źródła, możesz być pewien, że klucz podpisujący zmienił jakiś punkt od czasu instalacji itp. Możesz także sprawdzić inne miejsca, w których klucz może zostać opublikowany i sprawdzić, czy jest inny.
W efekcie daje to możliwość powiedzenia „gdybym został zrootowany poprzez podpisany pakiet, wszyscy inni, którzy korzystają z Fedory, również są zrootowani”, podczas gdy w przypadku niepodpisanych pakietów umysł paranoiczny zawsze musi zapytać „co, jeśli ktoś siedzi między mną a dublowanie w sieci i przesyłanie złośliwego kodu do dowolnego *. {rpm, deb, txz}? ".
źródło