¿Por qué no están firmadas las claves GPG de Fedora?

Fedora usa claves GPG para firmar paquetes RPM y archivos de suma de verificación ISO. Se enumeran las llaves en uso (incluyendo las huellas dactilares) de una página web. La página web se entrega a través de https.

Por ejemplo, el archivo de suma de comprobación para Fedora-16-i386-DVD.isose firma con clave A82BA4B7. Comprobar quién firmó la clave pública da como resultado una lista decepcionante:

Escriba bits / keyID cr. tiempo exp expirar clave de tiempo

pub 4096R / A82BA4B7 25-07-2011            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

¡Parece que nadie de la comunidad de Fedora ha firmado estas claves importantes!

¿Por qué? ;) (¿Por qué Fedora no usa una red de confianza?) ¿O me falta algo?

Compare esto, por ejemplo, con Debian : su clave de firma automática de ftp actual 473041FA está firmada por 7 desarrolladores .

Editar: ¿Por qué importa esto?

Tener una clave tan importante firmada por personas reales (¡actualmente no está firmada por nadie!) Estableció un cierto nivel de confianza de que es la clave real y no una creada por un atacante que acaba de subir hace 5 minutos al servidor web. Este nivel de confianza requiere que pueda rastrear las relaciones de firma en una red de confianza (a las personas en las que ya confía). Y la probabilidad de que pueda hacerlo aumenta cuando diferentes personas lo firman (actualmente la probabilidad es cero).

Puede comparar esta https://mybank.example.netcuestión de confianza con navegar y obtener una advertencia de verificación de certificación: ¿aún así ingresaría los detalles de su transacción o pensaría 'espere un minuto', pare e investigue el problema?

A veces, los titulares de claves firman claves no humanas "sig1" (por ejemplo, claves de repositorio).

de la página del manual;

1 significa que usted cree que la clave es propiedad de la persona que dice poseerla, pero que no pudo verificarla o no verificó la clave. Esto es útil para una verificación de "persona", donde firma la clave de un usuario seudónimo.

Creo que esto podría agregar valor ya que estas firmas no se utilizan para promover la confianza, solo están ahí para la verificación / garantía manual.

El problema con cualquier persona que firme una clave no humana / seudónima es que no sabemos quién controlará la clave en ... tiempo. La mayoría de las personas no querrán firmar por este motivo.

Además, en la actualidad es relativamente rápido para Fedora reemplazar la clave y publicar una nueva huella digital en su sitio web, tomaría un tiempo para todos aquellos que se han registrado para revocar las firmas.

Lo que posiblemente podría ser más práctico;

• alguien toma posesión de la clave en fedora (clave no seudónima)
• un equipo dedicado cerca de la clave en fedora firma / revoca la clave.
• la página web con la huella digital actual está firmada por alguien con wot.

Pero ... como ya se dijo, con o sin firma, las huellas dactilares gpg de las claves de repositorio se instalan cuando instala el sistema operativo ... esto valida todas las actualizaciones futuras. Esto agrega un mundo de seguridad.

No puedo hablar sobre la lógica específica de los desarrolladores de Fedora, pero a menos que confíes en las claves de firma, no hay diferencia.

No se debe confiar ciegamente en la clave de un individuo sin haberse encontrado cara a cara e intercambiado claves o haber recibido su clave firmada de un tercero en el que uno confía absolutamente.

Dado que la comunidad de usuarios de Fedora es relativamente grande en comparación con la comunidad de desarrolladores de Fedora, es poco probable que el público en general tenga una distribución amplia y una confianza racional de los firmantes, aunque agregaría algo de valor a la pequeña cantidad de personas capaces de confiar adecuadamente en los firmantes. )

En el caso de SSL, este intercambio seguro de claves ya ha tenido lugar: su navegador o proveedor de sistema operativo lo realiza en su nombre. Las claves públicas raíz (y emisoras) de la Autoridad de certificación común vienen rellenadas previamente en su base de datos SSL de confianza. Al igual que los certificados raíz SSL, las claves de firma para varios repositorios de SO vienen con la distribución. Por lo tanto, no hay base para decir que estos certificados raíz SSL son más o menos confiables que las claves de firma GPG distribuidas con su sistema operativo.

La firma de paquetes GPG todavía proporciona un beneficio sustancial incluso sin una clave firmada. Puede estar seguro de que sus paquetes provienen de la misma fuente, puede estar seguro si la clave de firma ha cambiado en algún momento desde la instalación, etc. También puede buscar en otros lugares donde la clave podría estar publicada y verificar si es diferente.

Esto tiene el efecto neto de darle la capacidad de decir "si me rootearon a través de un paquete firmado, todos los demás que usan Fedora también están rooteados", mientras que con los paquetes no firmados una mente paranoica siempre debe preguntar "qué pasa si alguien está sentado entre mí y el duplicar en la red y deslizar código nefasto en cualquier *. {rpm, deb, txz}? ".