Fedoraは、RPMパッケージとISOチェックサムファイルに署名するためにGPGキーを使用します。使用中のキー(指紋を含む)をWebページに一覧表示します。 Webページはhttps経由で配信されます。
たとえば、Fedora-16-i386-DVD.isoのチェックサムファイル キーA82BA4B7で署名されています 。誰が公開鍵に署名したかを確認すると、残念なリストになります:
Type bits/keyID cr. time exp time key expir pub 4096R/A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Fedoraコミュニティの誰もこれらの重要なキーに署名していないようです!
なんで? 😉(Fedoraが信頼のウェブを使用しないのはなぜですか?)または何かが足りないのですか?
これを比較してください。 Debianを使用–現在の自動ftp署名キー473041FA 7人の開発者によって署名されています。
編集: なぜこれが重要なのですか?
このような重要なキーに実際の人が署名することで(現在は誰も署名していません!)、5分前にWebサーバーにアップロードしたばかりの攻撃者が作成したものではなく、実際のキーであるという一定の信頼が確立されました。このレベルの信頼または信頼には、(すでに信頼している人々に対して)信頼の網で署名関係を追跡できることが必要です。そして、あなたがそうすることができる確率は、異なる人々がそれに署名するときに増加しています(現在、確率はゼロです)。
この信頼できるものをサーフィンと比較してhttps://mybank.example.net そして、認証検証の警告を受け取ります–それでも取引の詳細を入力しますか、それとも「ちょっと待ってください」と思い、停止して問題を調査しますか?
承認された回答:
キー所有者は、人間以外のキー「sig1」(レポキーなど)に署名することがあります。
マニュアルページから;
1は、キーが所有していると主張する人がキーを所有していると信じているが、キーを確認できなかったか、まったく確認しなかったことを意味します。
これは、
「ペルソナ」の検証に役立ちます。
偽名のユーザーのキーに署名します。
これらの署名は信頼を促進するために使用されるのではなく、手動による検証/再保証のためにのみ存在するため、これは付加価値をもたらす可能性があると思います。
人間以外の/仮名のキーに署名する人の問題は、…時間内に誰がキーを管理するのかわからないことです。ほとんどの人はこの理由で署名したくないでしょう。
さらに、現時点では、Fedoraがキーを置き換えて、新しい指紋をWebサイトに公開するのは比較的高速です。署名したすべての人が、署名を取り消すにはしばらく時間がかかります。
おそらくもっと実用的かもしれないもの;
- 誰かがfedoraでキーの所有権を取得します(仮名ではないキー)
- fedoraでキーの近くにいる専任チームがキーに署名/取り消します。
- 現在の指紋が付いたウェブページは、wotの誰かによって署名されています。
しかし…すでに述べたように、署名の有無にかかわらず、OSのインストール時にリポジトリキーのgpgフィンガープリントがインストールされます…これにより、将来のすべての更新が検証されます。これにより、セキュリティの世界が追加されます。