Fedora usa le chiavi GPG per firmare pacchetti RPM e file di checksum ISO. Elencano le chiavi in uso (comprese le impronte digitali) su una pagina web. La pagina web viene fornita tramite https.
Ad esempio il file di checksum per Fedora-16-i386-DVD.iso è firmato con chiave A82BA4B7 . Controllare chi ha firmato la chiave pubblica si traduce in un elenco deludente:
Type bits/keyID cr. time exp time key expir pub 4096R/A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Sembra che nessuno della comunità Fedora abbia firmato queste chiavi importanti!
Come mai? 😉 (Perché Fedora non usa una rete di fiducia?) O mi sfugge qualcosa?
Confronta questo ad es. con Debian – la loro attuale chiave di firma ftp automatica 473041FA è firmato da 7 sviluppatori.
Modifica: Perché questa roba è importante?
Avere una chiave così importante firmata da persone reali (attualmente non è firmata da nessuno!) ha stabilito un certo livello di certezza che si tratta della chiave reale e non di quella creata da un utente malintenzionato appena caricato 5 minuti fa sul server web. Questo livello di confidenza o fiducia richiede che tu possa tracciare le relazioni di firma in una rete di fiducia (a persone di cui ti fidi già). E la probabilità che tu possa farlo aumenta quando persone diverse lo firmano (attualmente la probabilità è zero).
Puoi confrontare questa cosa della fiducia con la navigazione su https://mybank.example.net e ricevere un avviso di verifica della certificazione:inseriresti comunque i dettagli della transazione o penseresti "aspetta un minuto!", fermarti e indagare sul problema?
Risposta accettata:
A volte i titolari delle chiavi firmano chiavi non umane "sig1" (ad esempio chiavi repo).
dalla pagina man;
1 significa che ritieni che la chiave sia di proprietà della persona che afferma di possederla
ma non hai potuto verificarla o non l'hai affatto verificata. Questo è utile
per una verifica della "persona",
in cui firmi la chiave di un utente pseudonimo.
Credo che questo potrebbe aggiungere valore in quanto queste firme non vengono utilizzate per promuovere la fiducia, sono lì solo per la verifica/riassicurazione manuale.
Il problema con chiunque firmi una chiave non umana/pseudonima è che non sappiamo chi avrà il controllo della chiave in... tempo. La maggior parte delle persone non vorrà firmare per questo motivo.
Inoltre, attualmente è relativamente veloce per Fedora sostituire la chiave e pubblicare una nuova impronta digitale sul proprio sito Web, ci vorrebbe del tempo per tutti coloro che hanno firmato per revocare le firme.
Cosa potrebbe esserci di più pratico;
- qualcuno si impossessa della chiave su fedora (chiave non pseudonima)
- un team dedicato vicino alla chiave su fedora firma/revoca la chiave.
- la pagina web con l'impronta digitale corrente è firmata da qualcuno in wot.
Ma... come è già stato detto, con o senza firma, le impronte gpg delle chiavi repo vengono installate quando si installa il sistema operativo... questo convalida tutti gli aggiornamenti futuri. Questo aggiunge un mondo di sicurezza.