Fedora, RPM paketlerini ve ISO sağlama toplamı dosyalarını imzalamak için GPG anahtarlarını kullanır. Bunlar kullanımda anahtarları listelemek bir web sayfasında (parmak izi dahil). Web sayfası https üzerinden gönderilir.
Örneğin sağlama dosyası için Fedora-16-i386-DVD.iso
anahtarla imzalanır A82BA4B7
. Açık anahtarı kimin imzaladığını kontrol etmek hayal kırıklığı yaratan bir listeyle sonuçlanır:
Bit / keyID cr yazın. zaman exp zaman anahtar expir pub 4096R / A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Görünüşe göre Fedora topluluğundan hiç kimse bu önemli anahtarları imzalamadı!
Neden? ;) (Fedora neden güven ağı kullanmıyor?) Yoksa bir şey mi kaçırıyorum?
Bunu örneğin Debian ile karşılaştırın - mevcut otomatik ftp imzalama anahtarı 473041FA
7 geliştirici tarafından imzalanmıştır .
Edit: Bu şeyler neden önemlidir?
Gerçek kişiler tarafından imzalanmış böyle önemli bir anahtarın olması (şu anda kimse tarafından imzalanmamıştır!), Gerçek anahtar olduğuna ve 5 dakika önce web sunucusuna yüklenen bir saldırgan tarafından oluşturulan bir anahtar olmadığına dair belirli bir güven düzeyi sağlamıştır. Bu güven veya güven düzeyi, bir güven ağında (zaten güvendiğiniz kişilere) imza ilişkilerini izleyebilmenizi gerektirir. Ve bunu yapabilme olasılığı, farklı insanlar imzaladığında artmaktadır (şu anda olasılık sıfırdır).
Bu güven şeyini sörf yapmak https://mybank.example.net
ve bir sertifika doğrulama uyarısı almakla karşılaştırabilirsiniz; o zaman işlem ayrıntılarınızı yine de girer misiniz, yoksa 'bir dakika bekleyin!'