Fedora GPG anahtarları neden imzalanmadı?

15

Fedora, RPM paketlerini ve ISO sağlama toplamı dosyalarını imzalamak için GPG anahtarlarını kullanır. Bunlar kullanımda anahtarları listelemek bir web sayfasında (parmak izi dahil). Web sayfası https üzerinden gönderilir.

Örneğin sağlama dosyası için Fedora-16-i386-DVD.isoanahtarla imzalanır A82BA4B7. Açık anahtarı kimin imzaladığını kontrol etmek hayal kırıklığı yaratan bir listeyle sonuçlanır:

Bit / keyID cr yazın. zaman exp zaman anahtar expir

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Görünüşe göre Fedora topluluğundan hiç kimse bu önemli anahtarları imzalamadı!

Neden? ;) (Fedora neden güven ağı kullanmıyor?) Yoksa bir şey mi kaçırıyorum?

Bunu örneğin Debian ile karşılaştırın - mevcut otomatik ftp imzalama anahtarı 473041FA 7 geliştirici tarafından imzalanmıştır .

Edit: Bu şeyler neden önemlidir?

Gerçek kişiler tarafından imzalanmış böyle önemli bir anahtarın olması (şu anda kimse tarafından imzalanmamıştır!), Gerçek anahtar olduğuna ve 5 dakika önce web sunucusuna yüklenen bir saldırgan tarafından oluşturulan bir anahtar olmadığına dair belirli bir güven düzeyi sağlamıştır. Bu güven veya güven düzeyi, bir güven ağında (zaten güvendiğiniz kişilere) imza ilişkilerini izleyebilmenizi gerektirir. Ve bunu yapabilme olasılığı, farklı insanlar imzaladığında artmaktadır (şu anda olasılık sıfırdır).

Bu güven şeyini sörf yapmak https://mybank.example.netve bir sertifika doğrulama uyarısı almakla karşılaştırabilirsiniz; o zaman işlem ayrıntılarınızı yine de girer misiniz, yoksa 'bir dakika bekleyin!'

debian  fedora  security  cryptography  signature 
maxschlepzig
kaynak
ne görmeyi umuyorsun? Daha fazla imzacıya sahip olmanın getireceği katma değer nedir? Burada garip değil, sadece neye ihtiyacınız olduğunu anlamaya çalışıyoruz.
Rory Alsop
@RoryAlsop, biraz motivasyon vermek için soruyu güncelledi.
maxschlepzig
SSL sertifikaları kadar gelen de mükemmel . (Eminim başka raporlar var; bunlar son kişisel blog arşivlerimde çok hızlı bir arama ve tarama ile bulduğum şey.)
CVn
1
@ MichaelKjörling, hiç kimse SSL sertifikalarının (veya mevcut TLS revizyonlarının / uygulamalarının) mükemmel olduğunu iddia etmiyor. Lütfen yorumunuzun soruda açıklanan sorunla nasıl ilişkili olduğunu açıklayın.
maxschlepzig
3
Avid Fedora kullanıcısı, ben de seninle max. Tails için anahtarı indirdiğimde şok olmadım ve imzalanmadı, ancak Fedora tonlarca yetkin ve hatta birçok sakallı kişi (birçoğu RHT çalışanı) tarafından bir araya getirildi. Oldukça garip. Muhtemelen bunu IRC sohbet odalarından birinde sormak daha iyidir. Veya fedoraforum veya askfedora'da .
testere

Yanıtlar:

3

Bazen anahtar sahipleri insan olmayan anahtarları "sig1" (örneğin repo anahtarları) imzalarlar.

man sayfasından;

1, anahtarın kendisine sahip olduğunu iddia eden kişinin sahibi olduğuna inandığınız anlamına gelir, ancak anahtarı anlayamadınız veya doğrulayamadınız. Bu, sahte bir kullanıcının anahtarını imzaladığınız "persona" doğrulaması için kullanışlıdır.

Bu imzalar güveni arttırmak için kullanılmadığından bunun değer katabileceğine inanıyorum, sadece manuel doğrulama / yeniden güvence için varlar.

İnsan olmayan / sahte bir anahtar imzalayan herhangi bir kişinin sorunu, anahtarın kimin zamanında kontrol edeceğini bilmememizdir. Çoğu insan bu nedenle imzalamak istemez.

Ayrıca, şu anda Fedora'nın anahtarın yerini alması ve web sitelerinde yeni bir parmak izi yayınlaması nispeten hızlıdır, imzaları iptal etmek için imza atan herkes için biraz zaman alacaktır.

Daha pratik ne olabilir;

  • birisi fedora'daki anahtarın mülkiyetini alır (sahte anahtar)
  • fedora işareti / anahtarı anahtarına yakın özel bir ekip.
  • geçerli parmak izine sahip web sayfası wot'taki biri tarafından imzalanır.

Ama ... daha önce de belirtildiği gibi, imzalı veya imzasız olarak, işletim sistemini yüklediğinizde repo anahtarlarının gpg parmak izleri yüklenir ... bu, gelecekteki tüm güncellemeleri doğrular. Bu bir güvenlik dünyası ekler.

mikejonesey
kaynak
2

Fedora geliştiricilerinin özel mantığıyla konuşamıyorum, ancak imzalama anahtarlarına güvenmediğiniz sürece bir fark yaratmıyor.

Kişi yüz yüze ve anahtar alışverişi yapmadan veya imzalı anahtarlarını üçüncü taraflardan kesinlikle güvenmediği için bireyin anahtarına körü körüne güvenmemelidir.

Fedora kullanıcı topluluğunun Fedora geliştirici topluluğuna kıyasla nispeten büyük olması nedeniyle, imzalayanların geniş dağıtımı ve rasyonel güvesi, genel olarak halk için olası değildir, ancak imzalayanlara uygun şekilde güvenebilecek az sayıda insan için bir miktar değer katacaktır. ).

SSL durumunda bu güvenli anahtar değişimi zaten gerçekleşmiştir - sizin adınıza tarayıcınız veya OS satıcınız tarafından gerçekleştirilir. Ortak Sertifika Yetkilisi kök (ve veren) ortak anahtarları, SSL güven db'nizde önceden doldurulmuş olarak gelir. SSL kök sertifikalarına çok benzer şekilde, çeşitli işletim sistemi depolarının imzalama anahtarları dağıtımla birlikte gelir. Bu nedenle, bu SSL kök sertifikalarının işletim sisteminizle dağıtılan GPG imzalama anahtarlarından daha fazla veya daha az güvenilir olduğunu söylemek için bir temel yoktur.

Paketlerin GPG imzası, imzalı bir anahtar olmadan da önemli ölçüde fayda sağlar. Paketlerinizin aynı kaynaktan geldiğinden emin olabilirsiniz, imzalama anahtarının kurulumdan bu yana herhangi bir noktayı değiştirip değiştirmediğinden emin olabilirsiniz. Ayrıca anahtarın yayınlanabileceği başka yerlere de bakabilir ve farklı olup olmadığını kontrol edebilirsiniz.

Bunun size "imzalı bir paket aracılığıyla kök salmış olsaydım, Fedora kullanan herkesin de kök saldığını" söyleme gibi net bir etkiye sahiptir. ağdaki ayna ve herhangi bir *. {rpm, deb, txz}?

MARPA
kaynak
1
Çok fazla güvenilmez CA olmasaydı bu işe yarayabilir ...
SamB
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.