Fedora usa claves GPG para firmar paquetes RPM y archivos de suma de verificación ISO. Enumeran las claves en uso (incluidas las huellas dactilares) en una página web. La página web se entrega a través de https.
Por ejemplo, el archivo de suma de comprobación para Fedora-16-i386-DVD.iso está firmado con la clave A82BA4B7 . Verificar quién firmó la clave pública da como resultado una lista decepcionante:
Type bits/keyID cr. time exp time key expir pub 4096R/A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
¡Parece que nadie de la comunidad de Fedora ha firmado estas claves importantes!
¿Por qué? 😉 (¿Por qué Fedora no usa una red de confianza?) ¿O me estoy perdiendo algo?
Compare esto, p. con Debian:su clave de firma ftp automática actual 473041FA está firmado por 7 desarrolladores.
Editar: ¿Por qué importan estas cosas?
Tener una clave tan importante firmada por personas reales (¡actualmente no está firmada por nadie!) estableció un cierto nivel de confianza de que es la clave real y no una creada por un atacante recién cargada hace 5 minutos en el servidor web. Este nivel de confianza requiere que pueda rastrear las relaciones de firma en una red de confianza (a personas en las que ya confía). Y la probabilidad de que pueda hacerlo aumenta cuando diferentes personas lo firman (actualmente la probabilidad es cero).
Puede comparar esta confianza con navegar a https://mybank.example.net y recibir una advertencia de verificación de certificación. ¿Ingresaría los detalles de su transacción o pensaría "¡espere un minuto!", Deténgase e investigue el problema?
Respuesta aceptada:
A veces, los poseedores de claves firman claves no humanas "sig1" (por ejemplo, claves de repositorio).
de la página del manual;
1 significa que cree que la clave es propiedad de la persona que dice poseerla
pero no pudo verificar la clave o no la verificó en absoluto. Esto es útil
para una verificación de "persona",
donde firma la clave de un usuario seudónimo.
Creo que esto podría agregar valor, ya que estas firmas no se usan para promover la confianza, solo están ahí para la verificación/reaseguración manual.
El problema con cualquiera que firme una clave no humana/seudónima es que no sabemos quién tendrá el control de la clave en… tiempo. La mayoría de las personas no querrán firmar por este motivo.
Además, actualmente es relativamente rápido para Fedora reemplazar la clave y publicar una nueva huella digital en su sitio web, tomaría un tiempo para todos aquellos que han firmado revocar las firmas.
¿Qué podría ser más práctico?
- alguien toma posesión de la clave en Fedora (clave sin seudónimo)
- un equipo dedicado cerca de la clave en fedora firmar/revocar la clave.
- la página web con la huella digital actual está firmada por alguien en wot.
Pero… como ya se ha dicho, con o sin firma, las huellas dactilares gpg de las claves del repositorio se instalan cuando instala el sistema operativo… esto valida todas las actualizaciones futuras. Esto añade un mundo de seguridad.