为什么 Fedora GPG 密钥没有签名?

为什么 Fedora GPG 密钥没有签名?

Fedora 使用 GPG 密钥来签署 RPM 包和 ISO 校验和文件。他们列出正在使用的密钥(包括指纹)在网页上。网页通过 https 传送。

例如校验和文件forFedora-16-i386-DVD.iso是用 key 签名的A82BA4B7检查谁签署了公钥结果是令人失望的列表:

键入bits/keyID cr。过期时间 密钥过期时间

酒吧 4096R/A82BA4B7 2011-07-25            

uid Fedora (16)
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

似乎 Fedora 社区中没有人签署这些重要密钥!

为什么? ;)(为什么 Fedora 不使用信任网络?)或者我错过了什么?

比较这个例如德班- 他们当前的自动 ftp 签名密钥473041FA 已签约 7 家开发商

编辑:为什么这个东西很重要?

如此重要的密钥由真实的人签名(目前尚未由任何人签名!)建立了一定程度的信心,即它是真正的密钥,而不是由攻击者创建的密钥,刚刚在 5 分钟前上传到网络服务器。这种程度的信心或信任要求您可以在信任网络中追踪签名关系(与您已经信任的人)。当不同的人签署时,您能够这样做的概率会增加(目前概率为零)。

您可以将这种信任与冲浪https://mybank.example.net并获得认证验证警告进行比较 - 您是否仍会输入交易详细信息,或者您是否会认为“等一下!”,停下来调查该问题?

答案1

有时,密钥持有者确实会签署非人类密钥“sig1”(例如回购密钥)。

从手册页;

1 表示您相信该密钥归声称拥有该密钥的人所有,但您无法验证该密钥,或者根本没有验证该密钥。这对于“角色”验证非常有用,您可以在其中签署假名用户的密钥。

我相信这可以增加价值,因为这些签名不用于促进信任,它们仅用于手动验证/再保证。

任何人签署非人类/假名密钥的问题是,我们不知道谁将在……时间内控制该密钥。由于这个原因,大多数人都不愿意签字。

此外,目前Fedora更换密钥并在其网站上发布新指纹的速度相对较快,而所有已签名的人要撤销签名则需要一段时间。

还有什么可能更实用?

  • 有人取得了 Fedora 密钥的所有权(非假名密钥)
  • Fedora 靠近密钥的专门团队签署/撤销密钥。
  • 当前指纹的网页是由wot中的某人签名的。

但是...正如已经说过的,无论有没有签名,当您安装操作系统时都会安装存储库密钥的 gpg 指纹...这将验证所有未来的更新。这增加了一个安全的世界。

答案2

我无法说出 Fedora 开发人员的具体理由,但除非您信任签名密钥,否则没有什么区别。

在没有面对面交换密钥或从绝对信任的第三方收到签名密钥的情况下,人们不应该盲目信任个人的密钥。

由于 Fedora 用户社区与 Fedora 开发者社区相比相对较大,签名者的广泛分布和理性信任对于公众来说不太可能,尽管这会为少数能够正确信任签名者的人增加一些价值。 )。

对于 SSL,这种安全密钥交换已经发生——它是由您的浏览器或操作系统供应商代表您执行的。公共证书颁发机构根(和颁发)公钥已预先填充在您的 SSL 信任数据库中。与 SSL 根证书非常相似,各种操作系统存储库的签名密钥都随发行版一起提供。因此,没有依据说这些 SSL 根证书比随操作系统分发的 GPG 签名密钥更可信或更不可信。

即使没有签名密钥,GPG 签名包仍然可以带来巨大的好处。您可以放心,您的软件包来自同一来源,您可以确定签名密钥自安装以来是否已更改,等等。您还可以查看可能发布密钥的其他位置并检查它是否不同。

这具有的最终效果是让您能够说“如果我通过签名的软件包获得了 root 权限,那么使用 Fedora 的其他人也都获得了 root 权限”,而对于未签名的软件包,偏执的头脑必须总是问“如果有人坐在我和网络上的镜像并将恶意代码注入任何 *.{rpm,deb,txz}?”。

相关内容