web-dev-qa-db-ja.com

Fedora GPGキーが署名されていないのはなぜですか?

Fedoraは、RPMパッケージとISOチェックサムファイルに署名するためにGPGキーを使用します。それら 使用中のキーをリストします (指紋を含む)Webページ上。 Webページはhttps経由で配信されます。

たとえば、 チェックサムファイル for Fedora-16-i386-DVD.isoはキーA82BA4B7で署名されています。 誰が公開鍵に署名したかを確認する 期待外れのリストになります:

タイプビット/ keyIDcr。 time exp time key expir 
 
 pub 4096R/A82BA4B7 2011-07-25 
 
 uid Fedora(16)
 sig sig3 A82BA4B7 2011-07 -25 __________ __________ [selfsig] 

Fedoraコミュニティの誰もこれらの重要な鍵に署名していないようです!

どうして? ;)(Fedoraが信頼のウェブを使用しないのはなぜですか?)または何かが足りないのですか?

これを比較してください。 with Debian -現在の自動ftp署名鍵473041FA7人の開発者によって署名されています

編集:なぜこれが重要なのですか?

このような重要なキーに実際の人が署名することで(現在は誰も署名していません!)、5分前にWebサーバーにアップロードしたばかりの攻撃者が作成したものではなく、実際のキーであるという一定の信頼が確立されました。このレベルの信頼または信頼には、(すでに信頼している人々に対して)信頼のウェブで署名関係を追跡できることが必要です。そして、あなたがそうすることができる確率は、異なる人々がそれに署名するときに増加しています(現在、確率はゼロです)。

この信頼できることをhttps://mybank.example.netにサーフィンして、認証検証の警告を受け取ることと比較できます。それでもトランザクションの詳細を入力しますか、それとも「ちょっと待ってください!」と思い、停止して問題を調査しますか?

15
maxschlepzig

キー所有者は、人間以外のキー「sig1」(レポキーなど)に署名することがあります。

マニュアルページから;

1は、キーが所有していると主張する人がキーを所有していると信じているが、キーを確認できなかったか、まったく確認しなかったことを意味します。これは、仮名ユーザーのキーに署名する「ペルソナ」検証に役立ちます。

これらの署名は信頼を促進するために使用されるのではなく、手動による検証/再保証のためにのみ存在するため、これは付加価値をもたらす可能性があると思います。

人間以外の/仮名のキーに署名する人の問題は、...時間内に誰がキーを制御するのかわからないことです。ほとんどの人はこの理由で署名したくないでしょう。

さらに、現時点では、Fedoraがキーを置き換えて新しい指紋をWebサイトに公開するのは比較的高速であり、署名したすべての人が署名を取り消すにはしばらく時間がかかります。

おそらくもっと実用的かもしれないもの;

  • 誰かがFedoraでキーの所有権を取得します(偽名ではないキー)
  • fedoraのキーに近い専任チームがキーに署名/取り消します。
  • 現在の指紋が付いているウェブページは、wotの誰かによって署名されています。

しかし...すでに述べたように、署名の有無にかかわらず、OSのインストール時にリポジトリキーのgpgフィンガープリントがインストールされます...これにより、将来のすべての更新が検証されます。これにより、セキュリティの世界が追加されます。

3
mikejonesey

Fedora開発者の具体的な論理的根拠について話すことはできませんが、署名キーを信頼しない限り、違いはありません。

直接会って鍵を交換したり、絶対に信頼する第三者から署名された鍵を受け取ったりすることなく、個人の鍵を盲目的に信頼するべきではありません。

FedoraユーザーコミュニティはFedora開発者コミュニティに比べて比較的大きいため、署名者を適切に信頼できる少数の人々にとってはある程度の価値がありますが、署名者の幅広い配布と合理的な信頼は一般の人々にとってはありそうにありません。 )。

SSLの場合、この安全な鍵交換はすでに行われています。これは、ブラウザまたはOSベンダーによってユーザーに代わって実行されます。共通認証局のルート(および発行)公開鍵は、SSL信頼データベースに事前入力されています。 SSLルート証明書と同様に、さまざまなOSリポジトリの署名キーがディストリビューションに付属しています。したがって、これらのSSLルート証明書は、OSに配布されているGPG署名キーよりも多かれ少なかれ信頼できると言う根拠はありません。

パッケージのGPG署名は、署名されたキーがなくても大きなメリットをもたらします。パッケージが同じソースからのものであることが保証され、インストール以降に署名キーが変更されているかどうかを確認できます。また、キーが公開されている可能性のある他の場所を調べて、異なるかどうかを確認することもできます。

これには、「署名されたパッケージを介してルート化された場合、Fedoraを使用している他のすべてのユーザーもルート化されている」と言うことができるという正味の効果がありますが、署名されていないパッケージでは、常に「誰かが私とネットワーク上でミラーリングし、不正なコードを任意の*。{rpm、deb、txz}? "にスリップストリームします。

2
marpa