Fedora sử dụng các khóa GPG để ký các gói RPM và các tệp tổng kiểm tra ISO. Họ liệt kê các khóa đang sử dụng (bao gồm cả dấu vân tay) trên một trang web. Trang web được phân phối qua https.
Ví dụ như tập tin checksum để Fedora-16-i386-DVD.iso
được ký hợp đồng với chủ chốt A82BA4B7
. Kiểm tra xem ai đã ký kết quả khóa công khai trong một danh sách đáng thất vọng:
Gõ bit / keyID cr. thời gian hết hạn thời gian hết hạn quán rượu 4096R / A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Dường như không ai trong cộng đồng Fedora đã ký những chìa khóa quan trọng này!
Tại sao? ;) (Tại sao Fedora không sử dụng web tin cậy?) Hay tôi đang thiếu thứ gì đó?
So sánh điều này, ví dụ với Debian - khóa ký tự động ftp hiện tại của họ 473041FA
được ký bởi 7 nhà phát triển .
Chỉnh sửa: Tại sao công cụ này quan trọng?
Có một khóa quan trọng như vậy được ký bởi người thật (hiện tại nó chưa được ký bởi bất kỳ ai!) Đã tạo ra một mức độ tin cậy nhất định rằng đó là khóa thực sự và không phải là khóa được tạo bởi kẻ tấn công vừa tải lên 5 phút trước lên máy chủ web. Mức độ tin cậy hoặc tin cậy này yêu cầu bạn có thể theo dõi các mối quan hệ ký kết trong một mạng lưới tin cậy (đối với những người bạn đã tin tưởng). Và xác suất bạn có thể làm như vậy đang tăng lên khi những người khác nhau ký tên (hiện tại xác suất bằng không).
Bạn có thể so sánh điều đáng tin cậy này với việc lướt tới https://mybank.example.net
và nhận cảnh báo xác minh chứng nhận - sau đó bạn vẫn sẽ nhập chi tiết giao dịch của mình hay bạn sẽ nghĩ 'đợi một chút!', Dừng lại và điều tra vấn đề?