Tại sao các khóa GPora Fedora không được ký?


15

Fedora sử dụng các khóa GPG để ký các gói RPM và các tệp tổng kiểm tra ISO. Họ liệt kê các khóa đang sử dụng (bao gồm cả dấu vân tay) trên một trang web. Trang web được phân phối qua https.

Ví dụ như tập tin checksum để Fedora-16-i386-DVD.isođược ký hợp đồng với chủ chốt A82BA4B7. Kiểm tra xem ai đã ký kết quả khóa công khai trong một danh sách đáng thất vọng:

Gõ bit / keyID cr. thời gian hết hạn thời gian hết hạn

quán rượu 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Dường như không ai trong cộng đồng Fedora đã ký những chìa khóa quan trọng này!

Tại sao? ;) (Tại sao Fedora không sử dụng web tin cậy?) Hay tôi đang thiếu thứ gì đó?

So sánh điều này, ví dụ với Debian - khóa ký tự động ftp hiện tại của họ 473041FA được ký bởi 7 nhà phát triển .

Chỉnh sửa: Tại sao công cụ này quan trọng?

Có một khóa quan trọng như vậy được ký bởi người thật (hiện tại nó chưa được ký bởi bất kỳ ai!) Đã tạo ra một mức độ tin cậy nhất định rằng đó là khóa thực sự và không phải là khóa được tạo bởi kẻ tấn công vừa tải lên 5 phút trước lên máy chủ web. Mức độ tin cậy hoặc tin cậy này yêu cầu bạn có thể theo dõi các mối quan hệ ký kết trong một mạng lưới tin cậy (đối với những người bạn đã tin tưởng). Và xác suất bạn có thể làm như vậy đang tăng lên khi những người khác nhau ký tên (hiện tại xác suất bằng không).

Bạn có thể so sánh điều đáng tin cậy này với việc lướt tới https://mybank.example.netvà nhận cảnh báo xác minh chứng nhận - sau đó bạn vẫn sẽ nhập chi tiết giao dịch của mình hay bạn sẽ nghĩ 'đợi một chút!', Dừng lại và điều tra vấn đề?


bạn đang hy vọng thấy gì? Giá trị gia tăng mà bạn cảm thấy bạn sẽ nhận được từ việc có nhiều người ký là gì? Không khó xử ở đây, mà chỉ cố gắng để hiểu những gì bạn cần.
Rory Alsop

@RoryAlsop, cập nhật câu hỏi để tạo động lực.
maxschlepzig

Chứng chỉ SSL là xa từ hoàn hảo . (Tôi chắc chắn có những báo cáo khác; đây chỉ là những gì tôi tìm thấy với một tìm kiếm và quét qua tài liệu lưu trữ blog cá nhân gần đây của tôi rất nhanh.)
một CVN

1
@ MichaelKjorling, không ai tuyên bố rằng chứng chỉ SSL (hoặc bản sửa đổi / triển khai TLS hiện tại) là hoàn hảo. Vui lòng làm rõ cách nhận xét của bạn liên quan đến vấn đề được mô tả trong câu hỏi.
maxschlepzig

3
Avid người dùng Fedora, và tôi với bạn tối đa. Tôi đã không bị sốc khi tôi tải xuống khóa cho Tails và nó không được ký, nhưng Fedora được tập hợp bởi hàng tấn cá nhân có năng lực và thậm chí nhiều người có râu (nhiều người là nhân viên RHT). Khá kỳ quặc. Có lẽ tốt hơn để hỏi điều này trong một trong các phòng chat IRC. Hoặc tại fedoraforum hoặc Askfedora .
rsaw

Câu trả lời:


3

Đôi khi người giữ khóa thực hiện ký các khóa không phải là con người "sig1" (ví dụ: khóa repo).

từ trang người đàn ông;

1 có nghĩa là bạn tin rằng khóa thuộc sở hữu của người tuyên bố sở hữu nó nhưng bạn không thể, hoặc không xác minh khóa nào cả. Điều này hữu ích cho xác minh "persona", trong đó bạn ký khóa của người dùng giả.

Tôi tin rằng điều này có thể tăng thêm giá trị vì những chữ ký này không được sử dụng để thúc đẩy niềm tin, chúng chỉ ở đó để xác minh / đảm bảo thủ công.

Vấn đề với bất kỳ ai ký một khóa không phải là con người / bút danh là chúng tôi không biết ai sẽ là người kiểm soát khóa trong ... thời gian. Hầu hết mọi người sẽ không muốn ký vì lý do này.

Hơn nữa, hiện tại việc Fedora thay thế khóa và xuất bản dấu vân tay mới trên trang web của họ là tương đối nhanh, sẽ mất một thời gian cho tất cả những người đã ký để thu hồi chữ ký.

Những gì có thể thực tế hơn;

  • ai đó sở hữu khóa tại fedora (khóa không giả danh)
  • một nhóm chuyên dụng gần với chìa khóa tại dấu hiệu fedora / thu hồi chìa khóa.
  • trang web có dấu vân tay hiện tại được ký bởi ai đó trong wot.

Nhưng ... như đã nói, có hoặc không có chữ ký, dấu vân tay gpg của các khóa repo được cài đặt khi bạn cài đặt HĐH ... điều này xác nhận tất cả các bản cập nhật trong tương lai. Điều này thêm một thế giới an ninh.


2

Tôi không thể nói với lý do cụ thể của các nhà phát triển Fedora, nhưng trừ khi bạn tin tưởng vào các khóa ký, nó sẽ không tạo ra sự khác biệt.

Người ta không nên tin tưởng một cách mù quáng vào khóa của một cá nhân mà không gặp mặt trực tiếp và trao đổi khóa hoặc đã nhận được khóa đã ký của họ từ bên thứ ba một cách tuyệt đối tin tưởng.

Do cộng đồng người dùng Fedora tương đối lớn so với cộng đồng nhà phát triển Fedora, sự phân phối rộng rãi và sự tin tưởng hợp lý của người ký không thể xảy ra đối với công chúng mặc dù nó sẽ tăng thêm một số giá trị cho số lượng nhỏ người có thể tin tưởng đúng vào người ký ).

Trong trường hợp SSL, việc trao đổi khóa an toàn này đã diễn ra - nó được thực hiện thay mặt bạn bởi nhà cung cấp trình duyệt hoặc hệ điều hành của bạn. Các khóa công khai gốc (và cấp) chứng chỉ chung được cấp trước trong db tin cậy SSL của bạn. Giống như các chứng chỉ gốc SSL, các khóa ký cho các kho lưu trữ hệ điều hành khác nhau đi kèm với bản phân phối. Do đó, không có cơ sở để nói rằng các chứng chỉ gốc SSL này đáng tin cậy hơn hoặc ít hơn các khóa ký GPG được phân phối với HĐH của bạn.

Việc ký các gói GPG vẫn mang lại lợi ích đáng kể ngay cả khi không có khóa ký. Bạn có thể yên tâm rằng các gói của bạn đến từ cùng một nguồn, bạn có thể chắc chắn nếu khóa ký đã thay đổi bất kỳ điểm nào kể từ khi cài đặt, v.v. Bạn cũng có thể tìm đến những nơi khác mà khóa có thể được xuất bản và kiểm tra xem nó có khác không.

Điều này có tác dụng ròng mang đến cho bạn khả năng nói "nếu tôi được root thông qua gói đã ký, mọi người khác sử dụng Fedora cũng được root" trong khi với các gói không dấu, một tâm trí hoang tưởng phải luôn hỏi "nếu ai đó ngồi giữa tôi và nhân bản trên mạng và chuyển mã bất chính vào bất kỳ *. {vòng / phút, deb, txz}? ".


1
Điều đó có thể hoạt động nếu không có nhiều CA không đáng tin cậy ...
SamB
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.