Fedora utilise des clés GPG pour signer les packages RPM et les fichiers de somme de contrôle ISO. Ils répertorient les clés utilisées (y compris les empreintes digitales) sur une page Web. La page Web est livrée via https.
Par exemple, le fichier de somme de contrôle pour Fedora-16-i386-DVD.iso est signé avec la clé A82BA4B7 . Vérifier qui a signé la clé publique donne une liste décevante :
Type bits/keyID cr. time exp time key expir pub 4096R/A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Il semble que personne de la communauté Fedora n'ait signé ces clés importantes !
Pourquoi? 😉 (Pourquoi Fedora n'utilise-t-il pas un réseau de confiance ?) Ou ai-je raté quelque chose ?
Comparez ceci par ex. avec Debian - leur clé de signature ftp automatique actuelle 473041FA est signé par 7 développeurs.
Modifier : Pourquoi est-ce important ?
Avoir une clé aussi importante signée par de vraies personnes (actuellement, elle n'est signée par personne !) a établi un certain niveau de confiance qu'il s'agit de la vraie clé et non de celle créée par un attaquant qui vient de télécharger il y a 5 minutes sur le serveur Web. Ce niveau de confiance ou de confiance nécessite que vous puissiez retracer les relations de signature dans un réseau de confiance (jusqu'aux personnes en qui vous avez déjà confiance). Et la probabilité que vous puissiez le faire augmente lorsque différentes personnes le signent (actuellement, la probabilité est nulle).
Vous pouvez comparer cette confiance avec la navigation sur https://mybank.example.net et recevoir un avertissement de vérification de certification - entreriez-vous alors encore les détails de votre transaction ou diriez-vous "attendez une minute !", arrêtez-vous et examinez le problème ?
Réponse acceptée :
Parfois, les détenteurs de clés signent des clés non humaines "sig1" (par exemple, des clés de dépôt).
à partir de la page de manuel ;
1 signifie que vous pensez que la clé appartient à la personne qui prétend en être propriétaire
mais vous n'avez pas pu ou n'avez pas du tout vérifié la clé. Ceci est utile
pour une vérification "persona",
où vous signez la clé d'un utilisateur pseudonyme.
Je pense que cela pourrait ajouter de la valeur car ces signatures ne sont pas utilisées pour promouvoir la confiance, elles ne sont là que pour une vérification/rassurance manuelle.
Le problème avec quiconque signe une clé non humaine / pseudonyme est que nous ne savons pas qui contrôlera la clé dans… le temps. La plupart des gens ne voudront pas signer pour cette raison.
De plus, à l'heure actuelle, il est relativement rapide pour Fedora de remplacer la clé et de publier une nouvelle empreinte digitale sur son site Web, il faudrait un certain temps à tous ceux qui ont signé pour révoquer les signatures.
Quoi de plus pratique ;
- quelqu'un prend possession de la clé chez fedora (clé non pseudonyme)
- une équipe dédiée proche de la clé chez fedora signe/révoquer la clé.
- la page Web avec l'empreinte digitale actuelle est signée par quelqu'un dans wot.
Mais… comme cela a déjà été dit, avec ou sans signature, les empreintes gpg des clés de dépôt sont installées lorsque vous installez l'OS… cela valide toutes les futures mises à jour. Cela ajoute un monde de sécurité.