Fedora使用GPG密钥对RPM软件包和ISO校验和文件进行签名。他们列出了网页上正在使用的密钥(包括指纹)。该网页通过https交付。
例如,校验和文件为Fedora-16-i386-DVD.iso
与密钥签名A82BA4B7
。检查谁签署了公钥会导致令人失望的列表:
键入bits / keyID cr。time exp时间密钥到期 酒吧4096R / A82BA4B7 2011-07-25 乌伊费多拉(16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Fedora社区似乎没有人签署过这些重要密钥!
为什么?;)(为什么Fedora不使用信任网络?)还是我遗漏了某些东西?
例如,将此与Debian进行比较-他们当前的自动ftp签名密钥473041FA
是由7个开发人员签名的。
编辑:为什么这些东西很重要?
由真正的人签名这样一个重要的密钥(目前还没有任何人签名!)可以一定程度地确信它是真正的密钥,而不是由5分钟前上传到Web服务器的攻击者创建的密钥。这种信任度或信任度要求您可以在信任网络中(已经信任的人)跟踪签名关系。当不同的人签名时,您这样做的可能性会增加(当前的可能性为零)。
您可以将这种信任的事物与浏览https://mybank.example.net
并获得认证验证警告进行比较-然后您是否仍然输入交易明细,还是会认为“等一下!”,停止并调查问题?