Pourquoi les clés Fedora GPG ne sont-elles pas signées?


15

Fedora utilise des clés GPG pour signer des packages RPM et des fichiers de somme de contrôle ISO. Ils répertorient les clés utilisées (y compris les empreintes digitales) sur une page Web. La page Web est livrée via https.

Par exemple, le fichier de somme de contrôle pour Fedora-16-i386-DVD.isoest signé avec la clé A82BA4B7. Vérifier qui a signé la clé publique donne une liste décevante:

Tapez bits / keyID cr. exp exp touche expir

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Il semble que personne de la communauté Fedora n'ait signé ces clés importantes!

Pourquoi? ;) (Pourquoi Fedora n'utilise-t-il pas un réseau de confiance?) Ou est-ce que je manque quelque chose?

Comparez cela par exemple avec Debian - leur clé de signature ftp automatique actuelle 473041FA est signée par 7 développeurs .

Edit: Pourquoi est-ce important?

Avoir une clé aussi importante signée par de vraies personnes (actuellement elle n'est signée par personne!) A établi un certain niveau de confiance que c'est la vraie clé et non celle créée par un attaquant qui vient d'être téléchargée il y a 5 minutes sur le serveur Web. Ce niveau de confiance ou de confiance nécessite que vous puissiez suivre les relations de signature dans un réseau de confiance (aux personnes auxquelles vous faites déjà confiance). Et la probabilité que vous puissiez le faire augmente lorsque différentes personnes le signent (actuellement, la probabilité est nulle).

Vous pouvez comparer cette confiance en surfant https://mybank.example.netet en obtenant un avertissement de vérification de certification - voulez-vous alors toujours entrer les détails de votre transaction ou pensez-vous `` attendez une minute! '', Arrêter et enquêter sur le problème?


qu'espérez-vous voir? Quelle est la valeur ajoutée que vous pensez que vous obtiendrez en ayant plus de signataires? Ne pas être maladroit ici, mais juste essayer de comprendre ce dont vous avez besoin.
Rory Alsop

@RoryAlsop, a mis à jour la question pour donner une motivation.
maxschlepzig

Les certificats SSL sont loin d'être parfaits . (Je suis sûr qu'il ya d' autres rapports, ce ne sont que ce que je trouve un très rapide de recherche et de numérisation dans mes archives de blog personnel.)
un CVn

1
@ MichaelKjörling, personne ne prétend que les certificats SSL (ou les révisions / implémentations TLS actuelles) sont parfaits. Veuillez préciser en quoi votre commentaire est lié au problème décrit dans la question.
maxschlepzig

3
Utilisateur Avid Fedora, et je suis avec vous max. Je n'ai pas été choqué lorsque j'ai téléchargé la clé de Tails et qu'elle n'a pas été signée, mais Fedora est composé de tonnes de personnes compétentes et même barbares (dont beaucoup sont des employés de RHT). Assez bizarre. Il vaut probablement mieux demander cela dans l'un des salons de discussion IRC. Ou à fedoraforum ou askfedora .
rsaw

Réponses:


3

Parfois, les détenteurs de clés signent les clés non humaines "sig1" (par exemple, les clés de dépôt).

depuis la page de manuel;

1 signifie que vous pensez que la clé appartient à la personne qui prétend en être propriétaire mais que vous ne pouviez pas ou pas du tout vérifier la clé. Ceci est utile pour une vérification "persona", où vous signez la clé d'un utilisateur pseudonyme.

Je crois que cela pourrait ajouter de la valeur car ces signatures ne sont pas utilisées pour promouvoir la confiance, elles ne sont là que pour une vérification / réassurance manuelle.

Le problème avec quiconque signe une clé non humaine / pseudonyme est que nous ne savons pas qui contrôlera la clé dans ... le temps. La plupart des gens ne voudront pas signer pour cette raison.

De plus, à l'heure actuelle, il est relativement rapide pour Fedora de remplacer la clé et de publier une nouvelle empreinte digitale sur son site Web, il faudrait un certain temps à tous ceux qui ont signé pour révoquer les signatures.

Quoi de plus pratique peut-être;

  • quelqu'un s'approprie la clé chez fedora (clé non pseudonyme)
  • une équipe dédiée près de la clé à fedora signe / révoque la clé.
  • la page Web avec l'empreinte digitale actuelle est signée par quelqu'un de wot.

Mais ... comme cela a déjà été dit, avec ou sans signature, les empreintes digitales gpg des clés de dépôt sont installées lorsque vous installez le système d'exploitation ... cela valide toutes les futures mises à jour. Cela ajoute un monde de sécurité.


2

Je ne peux pas parler de la raison d'être des développeurs de Fedora, mais à moins de faire confiance aux clés de signature, cela ne fait aucune différence.

Il ne faut pas faire aveuglément confiance à la clé d'une personne sans s'être rencontré en personne et avoir échangé des clés ou avoir reçu sa clé signée d'un tiers en qui on a absolument confiance.

Étant donné que la communauté des utilisateurs de Fedora est relativement grande par rapport à la communauté des développeurs de Fedora, une large distribution et une confiance rationnelle des signataires est peu probable pour le grand public, bien qu'elle ajouterait de la valeur au petit nombre de personnes capables de faire correctement confiance au signataire (s ).

Dans le cas de SSL, cet échange de clé sécurisé a déjà eu lieu - il est effectué en votre nom par votre navigateur ou votre fournisseur de système d'exploitation. Les clés publiques racine (et émettrice) de l'autorité de certification commune sont préremplies dans votre base de données de confiance SSL. Tout comme les certificats racine SSL, les clés de signature pour divers référentiels OS sont fournies avec la distribution. Il n'y a donc aucune raison de dire que ces certificats racine SSL sont plus ou moins fiables que les clés de signature GPG distribuées avec votre système d'exploitation.

La signature GPG des packages offre toujours des avantages substantiels même sans clé signée. Vous pouvez être assuré que vos packages proviennent de la même source, vous pouvez être sûr que la clé de signature a changé un point depuis l'installation, etc. Vous pouvez également rechercher d'autres endroits où la clé peut être publiée et vérifier si elle est différente.

Cela a pour effet net de vous donner la possibilité de dire "si j'étais enraciné via un package signé, tout le monde utilisant Fedora est également enraciné" alors qu'avec les packages non signés, un esprit paranoïaque doit toujours demander "si quelqu'un est assis entre moi et le miroir sur le réseau et le glissement du code néfaste dans n'importe quel *. {rpm, deb, txz}? ".


1
Cela pourrait fonctionner s'il n'y avait pas autant de CA dignes de confiance ...
SamB
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.