为什么不签名Fedora GPG密钥？

Fedora使用GPG密钥对RPM软件包和ISO校验和文件进行签名。他们列出了网页上正在使用的密钥（包括指纹）。该网页通过https交付。

例如，校验和文件为Fedora-16-i386-DVD.iso与密钥签名A82BA4B7。检查谁签署了公钥会导致令人失望的列表：

键入bits / keyID cr。time exp时间密钥到期

酒吧4096R / A82BA4B7 2011-07-25            

乌伊费多拉（16） 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Fedora社区似乎没有人签署过这些重要密钥！

为什么？;）（为什么Fedora不使用信任网络？）还是我遗漏了某些东西？

例如，将此与Debian进行比较-他们当前的自动ftp签名密钥473041FA 是由7个开发人员签名的。

编辑：为什么这些东西很重要？

由真正的人签名这样一个重要的密钥（目前还没有任何人签名！）可以一定程度地确信它是真正的密钥，而不是由5分钟前上传到Web服务器的攻击者创建的密钥。这种信任度或信任度要求您可以在信任网络中（已经信任的人）跟踪签名关系。当不同的人签名时，您这样做的可能性会增加（当前的可能性为零）。

您可以将这种信任的事物与浏览https://mybank.example.net并获得认证验证警告进行比较-然后您是否仍然输入交易明细，还是会认为“等一下！”，停止并调查问题？

有时，密钥持有者确实会签署非人类密钥“ sig1”（例如回购密钥）。

从手册页；

1表示您认为该密钥是由声称拥有它的人拥有的，但您没有，或者根本没有验证密钥。这对于“角色”验证非常有用，在此验证中，您可以使用匿名用户的密钥。

我相信这可以增加价值，因为这些签名不用于增进信任，它们仅用于手动验证/重新保证。

任何人签署非人类/假名密钥的问题是，我们不知道谁会在...时间内控制该密钥。出于这个原因，大多数人都不想签名。

此外，目前Fedora更换密钥并在其网站上发布新指纹的速度相对较快，所有已签名的人都需要一段时间才能撤消签名。

什么可能更实用；

• 有人在fedora取得了密钥的所有权（非匿名密钥）
• 在fedora的钥匙旁有一支敬业的团队来签名/撤消钥匙。
• 具有当前指纹的网页是由wot中的某人签名的。

但是...正如已经说过的那样，无论是否带有签名，在安装操作系统时都会安装回购密钥的gpg指纹...这将验证所有将来的更新。这增加了安全性。

我不能说说Fedora开发人员的具体原理，但是除非您相信签名密钥，否则它不会有所作为。

没有面对面和交换过的密钥，或者从未完全信任的第三方那里收到了签名的密钥，就不应盲目地信任一个人的密钥。

与Fedora开发人员社区相比，由于Fedora用户社区相对较大，因此签名者的广泛分布和合理信任对于一般公众而言不太可能，尽管这将为少数能够正确信任签名人的人增加一些价值。 ）。

对于SSL，此安全密钥交换已经进行过-由您的浏览器或OS供应商代表您执行。“公共证书颁发机构”根（和颁发）公共密钥预先填充在SSL信任数据库中。与SSL根证书非常相似，该发行版附带了用于各种OS存储库的签名密钥。因此，没有理由说这些SSL根证书比随您的OS分发的GPG签名密钥更受信任。

即使没有签名密钥，GPG包签名仍可提供巨大的好处。您可以放心，您的软件包来自同一来源，可以确保自安装以来签名密钥是否已更改，等等。您还可以查看可能发布密钥的其他位置，并检查其是否不同。

这样做的净效果是使您能够说“如果我是通过已签名的软件包扎根的，则其他使用Fedora的人也已扎根”，而对于未签名的软件包，偏执狂的头脑总​​是要问：“如果有人坐在我和计算机之间，那该怎么办？镜像到网络上，并将有害代码滑入任何*。{rpm，deb，txz}？”。