Fedora používá GPG klíče pro podepisování RPM balíčků a souborů ISO kontrolních součtů. Uvádí seznam používaných klíčů (včetně otisků prstů) na webové stránce. Webová stránka je dodávána prostřednictvím https.
Například soubor kontrolního součtu pro Fedora-16-i386-DVD.iso je podepsán klíčem A82BA4B7 . Kontrola toho, kdo podepsal veřejný klíč, má za následek neuspokojivý výpis:
Type bits/keyID cr. time exp time key expir pub 4096R/A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Zdá se, že nikdo z komunity Fedory nepodepsal tyto důležité klíče!
Proč? 😉 (Proč Fedora nepoužívá síť důvěry?) Nebo mi něco uniká?
Srovnejte to např. s Debianem – jejich aktuální automatický ftp podpisový klíč 473041FA je podepsáno 7 vývojáři.
Upravit: Proč na tom záleží?
Podepsání takto důležitého klíče skutečnými lidmi (v současnosti ho nepodepisuje nikdo!) vytvořilo určitou úroveň důvěry, že se jedná o skutečný klíč a ne o klíč vytvořený útočníkem, který byl před 5 minutami nahrán na webový server. Tato úroveň důvěry vyžaduje, abyste mohli sledovat vztahy podepisování v síti důvěry (k lidem, kterým již důvěřujete). A pravděpodobnost, že to dokážete, se zvyšuje, když to podepíší různí lidé (v současnosti je pravděpodobnost nulová).
Tuto věc s důvěrou můžete přirovnat k surfování na https://mybank.example.net a zobrazení upozornění na ověření certifikace – i přesto byste zadali podrobnosti o své transakci, nebo byste si mysleli „počkejte chvíli!“, přestali a problém prošetřili?
Přijatá odpověď:
Někdy držitelé klíčů podepisují jiné než lidské klíče „sig1“ (například repo klíče).
z manuálové stránky;
1 znamená, že se domníváte, že klíč vlastní osoba, která tvrdí, že jej
vlastní, ale vy jste nemohli nebo jste klíč neověřili vůbec. To je užitečné
pro ověření „osobnosti“,
kde podepisujete klíč pseudonymního uživatele.
Věřím, že by to mohlo přidat hodnotu, protože tyto podpisy se nepoužívají k podpoře důvěry, jsou zde pouze pro ruční ověření / opětovné ujištění.
Problém s kýmkoli, kdo podepisuje nelidský / pseudonymní klíč, je ten, že nevíme, kdo bude mít klíč pod kontrolou v … čase. Většina lidí se z tohoto důvodu nebude chtít podepsat.
Kromě toho je v současné době pro Fedora relativně rychlé vyměnit klíč a publikovat nový otisk na svých webových stránkách, chvíli by trvalo, než by všichni, kdo podepsali, odvolali podpisy.
Co by mohlo být praktičtější;
- někdo převezme vlastnictví klíče ve fedoře (ne pseudonymní klíč)
- specializovaný tým blízko klíče ve společnosti fedora podepíše/odvolá klíč.
- webová stránka s aktuálním otiskem je podepsána někým ve wot.
Ale… jak již bylo řečeno, s podpisem nebo bez něj, gpg otisky klíčů repo jsou nainstalovány při instalaci operačního systému… to ověřuje všechny budoucí aktualizace. To přidává svět bezpečnosti.