FedoraはGPGキーを使用してRPMパッケージとISOチェックサムファイルに署名します。それら使用中のキーのリスト(指紋を含む)をWebページに登録します。 Webページはhttps経由で配信されます。
例えばチェックサムファイルforはFedora-16-i386-DVD.isoキーで署名されましたA82BA4B7。公開鍵に署名した人を確認する結果は残念なリストです。
ビット/keyID crを入力してください。有効期限キー 有効期限 バー4096R/A82BA4B7 2011-07-25 UID フェドラ (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Fedoraコミュニティの誰もこの重要な鍵に署名していないようです!
なぜ? ;) (Fedoraはなぜ信頼ネットワークを使用しないのですか?)それとも私が何かを見逃しているのでしょうか?
たとえば、これを比較します。ダーバン- 現在の自動FTP署名キー473041FA 7人の開発者が契約しました。。
編集する:なぜこれが重要なのですか?
実際の人が署名した重要な鍵(まだ誰も署名していません!)は、攻撃者が作成した鍵ではなく、実際の鍵であるという確信を持たせます。わずか5分前にWebサーバーにアップロードされました。このレベルの信頼または信頼を得るには、信頼Web内で(すでに信頼されている人との)署名関係を追跡できる必要があります。他の人が署名すると、署名できる確率が高くなります(現在の確率はゼロです)。
この信頼をWebサーフィンhttps://mybank.example.netし、認証確認の警告を受け取るものと比較できます。それでも取引の詳細を入力しますか、それとも「しばらくお待ちください!」と考えて問題調査を中止しますか?
ベストアンサー1
時には、キーホルダーが人ではなく、キー「sig1」(たとえば、repoキー)に署名することがあります。
マニュアルページから。
1は、キーがそのキーを持っていると主張する人のものだと思いますが、キーを確認できないか、キーをまったく確認していないことを意味します。これは、匿名ユーザーのキーに署名する「役割」認証に役立ちます。
これらの署名は信頼を促進するために使用されず、手動の確認/保証にのみ使用されるため、これが価値を追加すると思います。
人ではない/仮名キーに署名する人の問題は、誰がそのキーをしばらく制御するのかわからないということです。このため、ほとんどの人は署名を消極的です。
さらに、Fedoraは現在比較的迅速にキーを変更し、Webサイトに新しい指紋を投稿しますが、署名したすべての人が署名をキャンセルするのに時間がかかります。
また何がより実用的でしょうか?
- 誰かがFedoraキー(仮名キーではない)の所有権を持っています。
- Fedoraには、鍵の署名/取り消しに関する専門チームがあります。
- 現在、指紋のウェブページはwotの誰かが署名したものです。
しかし、すでに述べたように、OSをインストールすると、ストレージキーのgpg指紋は署名されているかどうかにかかわらずインストールされます。これにより、将来のすべてのアップデートが確認されます。これはセキュリティの世界に追加されます。