Pourquoi les clés Fedora GPG ne sont-elles pas signées?

Fedora utilise des clés GPG pour signer des packages RPM et des fichiers de somme de contrôle ISO. Ils répertorient les clés utilisées (y compris les empreintes digitales) sur une page Web. La page Web est livrée via https.

Par exemple, le fichier de somme de contrôle pour Fedora-16-i386-DVD.isoest signé avec la clé A82BA4B7. Vérifier qui a signé la clé publique donne une liste décevante:

Tapez bits / keyID cr. exp exp touche expir

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Il semble que personne de la communauté Fedora n'ait signé ces clés importantes!

Pourquoi? ;) (Pourquoi Fedora n'utilise-t-il pas un réseau de confiance?) Ou est-ce que je manque quelque chose?

Comparez cela par exemple avec Debian - leur clé de signature ftp automatique actuelle 473041FA est signée par 7 développeurs .

Edit: Pourquoi est-ce important?

Avoir une clé aussi importante signée par de vraies personnes (actuellement elle n'est signée par personne!) A établi un certain niveau de confiance que c'est la vraie clé et non celle créée par un attaquant qui vient d'être téléchargée il y a 5 minutes sur le serveur Web. Ce niveau de confiance ou de confiance nécessite que vous puissiez suivre les relations de signature dans un réseau de confiance (aux personnes auxquelles vous faites déjà confiance). Et la probabilité que vous puissiez le faire augmente lorsque différentes personnes le signent (actuellement, la probabilité est nulle).

Vous pouvez comparer cette confiance en surfant https://mybank.example.netet en obtenant un avertissement de vérification de certification - voulez-vous alors toujours entrer les détails de votre transaction ou pensez-vous `` attendez une minute! '', Arrêter et enquêter sur le problème?

Parfois, les détenteurs de clés signent les clés non humaines "sig1" (par exemple, les clés de dépôt).

depuis la page de manuel;

1 signifie que vous pensez que la clé appartient à la personne qui prétend en être propriétaire mais que vous ne pouviez pas ou pas du tout vérifier la clé. Ceci est utile pour une vérification "persona", où vous signez la clé d'un utilisateur pseudonyme.

Je crois que cela pourrait ajouter de la valeur car ces signatures ne sont pas utilisées pour promouvoir la confiance, elles ne sont là que pour une vérification / réassurance manuelle.

Le problème avec quiconque signe une clé non humaine / pseudonyme est que nous ne savons pas qui contrôlera la clé dans ... le temps. La plupart des gens ne voudront pas signer pour cette raison.

De plus, à l'heure actuelle, il est relativement rapide pour Fedora de remplacer la clé et de publier une nouvelle empreinte digitale sur son site Web, il faudrait un certain temps à tous ceux qui ont signé pour révoquer les signatures.

Quoi de plus pratique peut-être;

• quelqu'un s'approprie la clé chez fedora (clé non pseudonyme)
• une équipe dédiée près de la clé à fedora signe / révoque la clé.
• la page Web avec l'empreinte digitale actuelle est signée par quelqu'un de wot.

Mais ... comme cela a déjà été dit, avec ou sans signature, les empreintes digitales gpg des clés de dépôt sont installées lorsque vous installez le système d'exploitation ... cela valide toutes les futures mises à jour. Cela ajoute un monde de sécurité.

Je ne peux pas parler de la raison d'être des développeurs de Fedora, mais à moins de faire confiance aux clés de signature, cela ne fait aucune différence.

Il ne faut pas faire aveuglément confiance à la clé d'une personne sans s'être rencontré en personne et avoir échangé des clés ou avoir reçu sa clé signée d'un tiers en qui on a absolument confiance.

Étant donné que la communauté des utilisateurs de Fedora est relativement grande par rapport à la communauté des développeurs de Fedora, une large distribution et une confiance rationnelle des signataires est peu probable pour le grand public, bien qu'elle ajouterait de la valeur au petit nombre de personnes capables de faire correctement confiance au signataire (s ).

Dans le cas de SSL, cet échange de clé sécurisé a déjà eu lieu - il est effectué en votre nom par votre navigateur ou votre fournisseur de système d'exploitation. Les clés publiques racine (et émettrice) de l'autorité de certification commune sont préremplies dans votre base de données de confiance SSL. Tout comme les certificats racine SSL, les clés de signature pour divers référentiels OS sont fournies avec la distribution. Il n'y a donc aucune raison de dire que ces certificats racine SSL sont plus ou moins fiables que les clés de signature GPG distribuées avec votre système d'exploitation.

La signature GPG des packages offre toujours des avantages substantiels même sans clé signée. Vous pouvez être assuré que vos packages proviennent de la même source, vous pouvez être sûr que la clé de signature a changé un point depuis l'installation, etc. Vous pouvez également rechercher d'autres endroits où la clé peut être publiée et vérifier si elle est différente.

Cela a pour effet net de vous donner la possibilité de dire "si j'étais enraciné via un package signé, tout le monde utilisant Fedora est également enraciné" alors qu'avec les packages non signés, un esprit paranoïaque doit toujours demander "si quelqu'un est assis entre moi et le miroir sur le réseau et le glissement du code néfaste dans n'importe quel *. {rpm, deb, txz}? ".