为什么不签名Fedora GPG密钥?


15

Fedora使用GPG密钥对RPM软件包和ISO校验和文件进行签名。他们列出了网页上正在使用的密钥(包括指纹)。该网页通过https交付。

例如,校验和文件Fedora-16-i386-DVD.iso与密钥签名A82BA4B7检查谁签署了公钥会导致令人失望的列表:

键入bits / keyID cr。time exp时间密钥到期

酒吧4096R / A82BA4B7 2011-07-25            

乌伊费多拉(16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Fedora社区似乎没有人签署过这些重要密钥!

为什么?;)(为什么Fedora不使用信任网络?)还是我遗漏了某些东西?

例如,将此与Debian进行比较-他们当前的自动ftp签名密钥473041FA 是由7个开发人员签名的

编辑:为什么这些东西很重要?

由真正的人签名这样一个重要的密钥(目前还没有任何人签名!)可以一定程度地确信它是真正的密钥,而不是由5分钟前上传到Web服务器的攻击者创建的密钥。这种信任度或信任度要求您可以在信任网络中(已经信任的人)跟踪签名关系。当不同的人签名时,您这样做的可能性会增加(当前的可能性为零)。

您可以将这种信任的事物与浏览https://mybank.example.net并获得认证验证警告进行比较-然后您是否仍然输入交易明细,还是会认为“等一下!”,停止并调查问题?


您希望看到什么?您觉得拥有更多签字人会为您带来什么增值?在这里不要尴尬,而只是想了解您的需求。
罗里·阿尔索普

@RoryAlsop,更新了问题以提供一些动力。
maxschlepzig 2012年

SSL证书是 完善。(我确定还有其他报告;这些都是通过对我最近的个人博客档案的快速搜索搜索发现的。)
CVn 2012年

1
@MichaelKjörling,没有人声称SSL证书(或当前TLS修订/实现)是完美的。请阐明您的评论与问题中所述问题的关系。
maxschlepzig 2012年

3
Avid Fedora用户,我和您在一起。当我下载Tails的密钥并没有签名时,我并不感到震惊,但是Fedora是由成百上千的有能力甚至许多有胡子的人(很多是RHT的雇员)组成的。很奇怪 在IRC聊天室之一中问这个问题可能更好。或在fedoraforumaskfedora中
rsaw 2012年

Answers:


3

有时,密钥持有者确实会签署非人类密钥“ sig1”(例如回购密钥)。

从手册页;

1表示您认为该密钥是由声称拥有它的人拥有的,但您没有,或者根本没有验证密钥。这对于“角色”验证非常有用,在此验证中,您可以使用匿名用户的密钥。

我相信这可以增加价值,因为这些签名不用于增进信任,它们仅用于手动验证/重新保证。

任何人签署非人类/假名密钥的问题是,我们不知道谁会在...时间内控制该密钥。出于这个原因,大多数人都不想签名。

此外,目前Fedora更换密钥并在其网站上发布新指纹的速度相对较快,所有已签名的人都需要一段时间才能撤消签名。

什么可能更实用;

  • 有人在fedora取得了密钥的所有权(非匿名密钥)
  • 在fedora的钥匙旁有一支敬业的团队来签名/撤消钥匙。
  • 具有当前指纹的网页是由wot中的某人签名的。

但是...正如已经说过的那样,无论是否带有签名,在安装操作系统时都会安装回购密钥的gpg指纹...这将验证所有将来的更新。这增加了安全性。


2

我不能说说Fedora开发人员的具体原理,但是除非您相信签名密钥,否则它不会有所作为。

没有面对面和交换过的密钥,或者从未完全信任的第三方那里收到了签名的密钥,就不应盲目地信任一个人的密钥。

与Fedora开发人员社区相比,由于Fedora用户社区相对较大,因此签名者的广泛分布和合理信任对于一般公众而言不太可能,尽管这将为少数能够正确信任签名人的人增加一些价值。 )。

对于SSL,此安全密钥交换已经进行过-由您的浏览器或OS供应商代表您执行。“公共证书颁发机构”根(和颁发)公共密钥预先填充在SSL信任数据库中。与SSL根证书非常相似,该发行版附带了用于各种OS存储库的签名密钥。因此,没有理由说这些SSL根证书比随您的OS分发的GPG签名密钥更受信任。

即使没有签名密钥,GPG包签名仍可提供巨大的好处。您可以放心,您的软件包来自同一来源,可以确保自安装以来签名密钥是否已更改,等等。您还可以查看可能发布密钥的其他位置,并检查其是否不同。

这样做的净效果是使您能够说“如果我是通过已签名的软件包扎根的,则其他使用Fedora的人也已扎根”,而对于未签名的软件包,偏执狂的头脑总​​是要问:“如果有人坐在我和计算机之间,那该怎么办?镜像到网络上,并将有害代码滑入任何*。{rpm,deb,txz}?”。


1
如果没有那么多不可信任的CA,那可能行得通……
SamB
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.