Чому не підписані ключі Fedora GPG?

15

Fedora використовує GPG-ключі для підписання пакетів RPM та файлів контрольної суми ISO. Вони перелічують використовувані ключі (включаючи відбитки пальців) на веб-сторінці. Веб-сторінка постачається через https.

Наприклад, файл контрольної суми для Fedora-16-i386-DVD.isoпідписаний ключем A82BA4B7. Перевірка того, хто підписав відкритий ключ, призводить до невтішного переліку:

Введіть біти / keyID cr. Закінчується термін ключового часу часу

паб 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [самопис]

Здається, ніхто з громади Fedora не підписав цих важливих ключів!

Чому? ;) (Чому Fedora не використовує мережу довіри?) Або я щось пропускаю?

Порівняйте це, наприклад, з Debian - їх поточний ключ автоматичного підпису ftp 473041FA підписує 7 розробників .

Редагувати: Чому ця річ має значення?

Маючи такий важливий ключ, підписаний реальними людьми (зараз його ніхто не підписує!) Встановив певний рівень впевненості, що це справжній ключ, а не той, який створив зловмисник, щойно завантажений 5 хвилин тому на веб-сервер. Цей рівень довіри або довіри вимагає відстеження підписання відносин у мережі довіри (людям, яким ви вже довіряєте). І ймовірність, що вам це вдається зробити, зростає, коли різні люди її підписують (наразі ймовірність дорівнює нулю).

Ви можете порівняти цю довіру із серфінгом до https://mybank.example.netта отримувати попередження про підтвердження сертифікації - чи все-таки введете реквізити своєї транзакції чи подумаєте «почекайте хвилинку!», Зупиніться та розслідуйте проблему?

debian  fedora  security  cryptography  signature 
maxschlepzig
джерело
що ви сподіваєтесь побачити? Яку додаткову вартість ви відчуваєте, отримавши більше підписантів? Тут не незручно, а просто намагаюся зрозуміти, що потрібно.
Rory Alsop
@RoryAlsop, оновив питання, щоб дати певну мотивацію.
maxschlepzig
Сертифікати SSL далеко не ідеальні . (Я впевнений, що є й інші звіти; це якраз те, що я знайшов за допомогою швидкого пошуку та сканування через свої недавні архіви особистого блогу.)
CVn
1
@ MichaelKjörling, ніхто не стверджує, що сертифікати SSL (або поточні версії / реалізації TLS) є ідеальними. Будь ласка, уточніть, як ваш коментар пов’язаний із проблемою, описаною у питанні.
maxschlepzig
3
Захоплений користувач Fedora, і я з вами макс. Я не був шокований, коли завантажив ключ для хвостів, і він не був підписаний, але Fedora зібраний безліччю грамотних і навіть багатьох бородатих людей (багато хто є співробітниками RHT). Досить дивно. Напевно, краще запитати це в одній із кімнат IRC. Або у fedoraforum або askfedora .
rsaw

Відповіді:

3

Іноді утримувачі ключів підписують нелюдські ключі "sig1" (наприклад, ключі репо).

зі сторінки man;

1 означає, що ви вважаєте, що ключ належить тій особі, яка претендує на його володіння, але ви не змогли або взагалі не підтвердили ключ. Це корисно для перевірки "persona", коли ви підписуєте ключ псевдонімного користувача.

Я вважаю, що це може надати додаткової цінності, оскільки ці підписи не використовуються для пропаганди довіри, вони є лише для ручної перевірки / підтвердження.

Проблема того, хто підписує нелюдський / псевдонімний ключ, полягає в тому, що ми не знаємо, хто буде контролювати ключ через ... час. Більшість людей не хочуть підписувати з цієї причини.

Крім того, в даний час Fedora порівняно швидко замінить ключ і опублікує новий відбиток пальців на своєму веб-сайті, для всіх тих, хто підписався, потрібно відкликати підписи.

Що може бути більш практичним;

  • хтось приймає право власності на ключ у Fedora (не псевдонім, ключ)
  • спеціальна команда, близька до ключа, на знак Fedora / відкликання ключа.
  • веб-сторінку з поточним відбитком підписує хтось у wot.

Але ... як уже було сказано, з підписом або без нього, gpg відбитки пальців клавіш репо встановлюються під час встановлення ОС ... це підтверджує всі майбутні оновлення. Це додає світу безпеки.

mikejonesey
джерело
2

Я не можу говорити з конкретним обґрунтуванням розробників Fedora, але, якщо ви не довіряєте ключі підпису, це не має значення.

Не слід сліпо довіряти ключеві особи, не зустрічаючись віч-на-віч і обмінюючись ключами або отримавши їх підписаний ключ від третьої сторони, якій повністю довіряють.

Оскільки користувальницьке співтовариство Fedora порівняно велике порівняно із спільнотою розробників Fedora, широке розповсюдження та раціональне довіра підписувачів навряд чи для широкої громадськості, хоча це додасть певної цінності для невеликої кількості людей, здатних належним чином довірити підписувача ( ).

У випадку з SSL цей обмін захищеними ключами вже відбувся - він виконується від вашого імені веб-переглядачем або постачальником ОС. Загальні відкриті ключі (та видачі) сертифікатів для сертифікатів попередньо заповнюються у вашому довірі SSL db. Так само, як і кореневі серти SSL, ключі підпису для різних сховищ ОС поставляються з розподілом. Таким чином, немає підстав говорити, що ці кореневі сертифікати SSL є більш-менш надійними, ніж ключі підпису GPG, що поширюються з вашою ОС.

Підписання пакетів GPG все ще забезпечує значну користь навіть без підписаного ключа. Ви можете бути впевнені, що ваші пакунки надходили з того самого джерела, ви можете бути впевнені, чи змінився ключ підпису в будь-який момент після встановлення тощо. Ви також можете заглянути в інші місця, де ключ може бути опублікований, і перевірити, чи не відрізняється він.

Це має чистий ефект, що дає вам можливість сказати, "якщо я був укорінений через підписаний пакет, усі інші, хто використовує Fedora, також мають коріння", тоді як при непідписаних пакетах параноїдальний розум завжди повинен запитувати "що робити, якщо хтось сидить між мною і дзеркальне відображення в мережі та пробуксування грізного коду в будь-який *. {rpm, deb, txz}? ".

marpa
джерело
1
Це може спрацювати, якби не було так багато недостовірних
ЦА
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.