Fedora verwendet GPG-Schlüssel zum Signieren von RPM-Paketen und ISO-Prüfsummendateien. Sie listen die verwendeten Schlüssel (einschließlich Fingerabdrücke) auf einer Webseite auf. Die Webseite wird über https ausgeliefert.
Zum Beispiel die Prüfsummendatei für Fedora-16-i386-DVD.iso ist mit dem Schlüssel A82BA4B7 signiert . Die Überprüfung, wer den öffentlichen Schlüssel signiert hat, führt zu einer enttäuschenden Auflistung:
Type bits/keyID cr. time exp time key expir pub 4096R/A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Es scheint, dass niemand aus der Fedora-Community diese wichtigen Schlüssel signiert hat!
Wieso den? 😉 (Warum verwendet Fedora kein Web of Trust?) Oder übersehe ich etwas?
Vergleichen Sie dies z. mit Debian – ihren aktuellen automatischen FTP-Signaturschlüssel 473041FA ist von 7 Entwicklern signiert.
Bearbeiten: Warum ist das wichtig?
Einen so wichtigen Schlüssel von echten Menschen signiert zu haben (derzeit wird er von niemandem signiert!) hat ein gewisses Maß an Vertrauen geschaffen, dass es der echte Schlüssel ist und nicht einer, der von einem Angreifer erstellt wurde, der erst vor 5 Minuten auf den Webserver hochgeladen wurde. Dieses Vertrauensniveau erfordert, dass Sie Unterschriftsbeziehungen in einem Netz des Vertrauens nachverfolgen können (zu Personen, denen Sie bereits vertrauen). Und die Wahrscheinlichkeit, dass Sie dies tun können, steigt, wenn verschiedene Personen unterschreiben (derzeit ist die Wahrscheinlichkeit null).
Sie können diese Vertrauenssache mit dem Surfen auf https://mybank.example.net vergleichen und eine Warnung zur Bestätigung der Zertifizierung erhalten – würden Sie dann trotzdem Ihre Transaktionsdetails eingeben oder würden Sie denken:„Moment mal!“, anhalten und das Problem untersuchen?
Akzeptierte Antwort:
Manchmal signieren Schlüsselinhaber nicht-menschliche Schlüssel „sig1“ (z. B. Repo-Schlüssel).
von der Manpage;
1 bedeutet, dass Sie glauben, dass der Schlüssel der Person gehört, die behauptet, ihn zu besitzen,
aber Sie konnten oder haben den Schlüssel überhaupt nicht verifiziert. Dies ist nützlich
für eine „Persona“-Verifizierung,
bei der Sie den Schlüssel eines pseudonymen Benutzers signieren.
Ich glaube, dass dies einen Mehrwert darstellen könnte, da diese Signaturen nicht zur Förderung des Vertrauens verwendet werden, sondern nur zur manuellen Überprüfung / Bestätigung dienen.
Das Problem mit jemandem, der einen nicht-menschlichen / pseudonymen Schlüssel signiert, ist, dass wir nicht wissen, wer in … der Zeit die Kontrolle über den Schlüssel haben wird. Die meisten Leute werden aus diesem Grund nicht unterschreiben wollen.
Außerdem ist es derzeit für Fedora relativ schnell, den Schlüssel zu ersetzen und einen neuen Fingerabdruck auf ihrer Website zu veröffentlichen, es würde eine Weile dauern, bis alle Unterzeichner Unterschriften widerrufen.
Was könnte praktischer sein;
- jemand übernimmt den Schlüssel bei Fedora (nicht pseudonymer Schlüssel)
- ein engagiertes Team in der Nähe des Schlüssels bei Fedora unterschreibt/widerruft den Schlüssel.
- die Webseite mit dem aktuellen Fingerabdruck ist von jemandem in wot signiert.
Aber… wie bereits gesagt wurde, mit oder ohne Signatur, gpg-Fingerabdrücke der Repo-Schlüssel werden installiert, wenn Sie das Betriebssystem installieren… dies validiert alle zukünftigen Updates. Dies fügt eine Welt der Sicherheit hinzu.