Fedora utilise des clés GPG pour signer des packages RPM et des fichiers de somme de contrôle ISO. Ils répertorient les clés utilisées (y compris les empreintes digitales) sur une page Web. La page Web est livrée via https.
Par exemple, le fichier de somme de contrôle pour Fedora-16-i386-DVD.iso
est signé avec la clé A82BA4B7
. Vérifier qui a signé la clé publique donne une liste décevante:
Tapez bits / keyID cr. exp exp touche expir pub 4096R / A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Il semble que personne de la communauté Fedora n'ait signé ces clés importantes!
Pourquoi? ;) (Pourquoi Fedora n'utilise-t-il pas un réseau de confiance?) Ou est-ce que je manque quelque chose?
Comparez cela par exemple avec Debian - leur clé de signature ftp automatique actuelle 473041FA
est signée par 7 développeurs .
Edit: Pourquoi est-ce important?
Avoir une clé aussi importante signée par de vraies personnes (actuellement elle n'est signée par personne!) A établi un certain niveau de confiance que c'est la vraie clé et non celle créée par un attaquant qui vient d'être téléchargée il y a 5 minutes sur le serveur Web. Ce niveau de confiance ou de confiance nécessite que vous puissiez suivre les relations de signature dans un réseau de confiance (aux personnes auxquelles vous faites déjà confiance). Et la probabilité que vous puissiez le faire augmente lorsque différentes personnes le signent (actuellement, la probabilité est nulle).
Vous pouvez comparer cette confiance en surfant https://mybank.example.net
et en obtenant un avertissement de vérification de certification - voulez-vous alors toujours entrer les détails de votre transaction ou pensez-vous `` attendez une minute! '', Arrêter et enquêter sur le problème?