Por que as chaves GPG do Fedora não são assinadas?

Navegue suas respostas
15

O Fedora usa chaves GPG para assinar pacotes RPM e arquivos ISO checksum. Eles listam as chaves em uso (incluindo impressões digitais) em uma página da web. A página da web é entregue via https.

Por exemplo, o arquivo de soma de verificação para Fedora-16-i386-DVD.iso é assinado com a chave A82BA4B7 . Verificar quem assinou a chave pública resulta em uma lista decepcionante: 

Type bits/keyID    cr. time   exp time   key expir

pub  4096R/A82BA4B7 2011-07-25            

uid Fedora (16) 
sig  sig3  A82BA4B7 2011-07-25 __________ __________ [selfsig]

Parece que ninguém da comunidade Fedora assinou estas chaves importantes!

Por quê? ;) (Por que o Fedora não usa uma rede de confiança?) Ou estou faltando alguma coisa?

Compare isso, por exemplo com Debian - sua atual chave de assinatura automática de ftp 473041FA é assinado por 7 desenvolvedores .

Editar: Por que isso importa?

Ter uma chave tão importante assinada por pessoas reais (atualmente não é assinada por ninguém!) estabeleceu um certo nível de confiança de que é a chave real e não criada por um invasor que acabou de ser enviado há 5 minutos para a Web. servidor. Esse nível de confiança ou confiança exige que você possa rastrear as relações de assinatura em uma rede de confiança (para pessoas nas quais você já está confiando). E a probabilidade que você está sendo capaz de fazer isso está aumentando quando diferentes pessoas o assinam (atualmente a probabilidade é zero).

Você pode comparar essa coisa de confiança ao navegar até https://mybank.example.net e receber um aviso de verificação de certificação. Você ainda digitaria os detalhes da sua transação ou pensaria "espere um minuto!", pare e investigue o problema?

    
por maxschlepzig 19.02.2012 / 19:40

2 respostas

4

Às vezes, os key holders assinam chaves não humanas "sig1" (por exemplo, chaves repo).

da página do manual;

1 means you believe the key is owned by the person who claims to own it but you could not, or did not verify the key at all. This is useful for a "persona" verification, where you sign the key of a pseudonymous user.

Acredito que isso possa agregar valor, pois essas assinaturas não são usadas para promover a confiança; elas estão lá apenas para verificação / resseguro manual.

O problema com qualquer um que assine uma chave não-humana / pseudônima é que não sabemos quem estará no controle da chave em ... tempo. A maioria das pessoas não vai querer assinar por esse motivo.

Além disso, atualmente é relativamente rápido para o Fedora substituir a chave e publicar uma nova impressão digital em seu site, levaria um tempo para todos aqueles que assinaram para revogar assinaturas.

O que poderia ser mais prático?

  • alguém apropria-se da chave no fedora (chave não pseudônima)
  • uma equipe dedicada perto da chave no sinal / revogar a chave.
  • a página da Web com a impressão digital atual é assinada por alguém no wot.

Mas ... como já foi dito, com ou sem assinatura, as impressões digitais de gpg das chaves de repo são instaladas quando você instala o SO ... isso valida todas as atualizações futuras. Isso adiciona um mundo de segurança.

    
por 25.10.2016 / 04:21
2

Eu não posso falar com a lógica específica dos desenvolvedores do Fedora, mas a menos que você confie nas chaves de assinatura, isso não faz diferença.

Não se deve confiar cegamente na chave de um indivíduo sem ter encontrado chaves cara a cara e trocadas ou ter recebido a chave assinada de um terceiro em quem confia totalmente.

Sendo que a comunidade de usuários do Fedora é relativamente grande em comparação com a comunidade de desenvolvedores do Fedora, a distribuição ampla e a confiança racional dos signatários é improvável para o público em geral, embora agregue algum valor para o pequeno número de pessoas capazes de confiar signatário (s).

No caso do SSL, essa troca de chave segura já ocorreu - ela é executada em seu nome pelo seu navegador ou fornecedor do sistema operacional. As chaves públicas de raiz (e de emissão) da Autoridade de Certificação Comum são pré-preenchidas em seu db de confiança SSL. Muito parecido com SSL root certs, as chaves de assinatura para vários repositórios do sistema operacional vêm com a distribuição. Portanto, não há base para dizer que esses certificados raiz SSL são mais ou menos confiáveis do que as chaves de assinatura GPG distribuídas com o seu sistema operacional.

A assinatura de pacotes GPG ainda oferece benefícios substanciais, mesmo sem uma chave assinada. Você pode ter certeza de que seus pacotes vieram da mesma fonte, você pode ter certeza se a chave de assinatura mudou em algum ponto desde a instalação, etc. Você também pode procurar em outros lugares a chave pode ser publicada e verificar se é diferente.

Isto tem o efeito líquido de dar a você a capacidade de dizer "se eu estivesse enraizado via um pacote assinado, todos os outros usando o Fedora também estão enraizados", enquanto que com pacotes não assinados uma mente paranóica deve sempre perguntar "e se alguém estiver sentado entre eu e o espelho na rede e transformando código nefasto em qualquer *. {rpm, deb, txz}? ".

    
por 27.03.2012 / 22:13

Tags

Existe uma maneira de ajustar a formatação da data / hora na tela de login e na área de trabalho do GNOME 3? Evite cliques duplos muito rápidos