Fedora GPG 키가 서명되지 않은 이유는 무엇입니까?

Fedora는 RPM 패키지 및 ISO 체크섬 파일 서명에 GPG 키를 사용합니다. 그들은 사용되는 키 목록을 웹 페이지 (지문을 포함하여). 웹 페이지는 https를 통해 제공됩니다.

예를 들어, 체크섬 파일 에 대한이 Fedora-16-i386-DVD.iso키를 사용하여 서명됩니다 A82BA4B7. 공개 키에 서명 한 사람을 확인 하면 실망스러운 목록이 표시됩니다.

비트 / 키 ID cr을 입력하십시오. 시간 특급 시간 키 만료

펍 4096R / A82BA4B7 2011-07-25            

uid 페도라 (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Fedora 커뮤니티의 어느 누구도이 중요한 열쇠에 서명하지 않은 것 같습니다!

왜? ;) (Fedora는 왜 신뢰의 웹을 사용하지 않습니까?) 아니면 뭔가 빠졌습니까?

이 예를 데비안 과 비교해보십시오. 현재 자동 ftp 서명 키 473041FA 는 7 명의 개발자가 서명합니다 .

편집 : 왜이 물건이 중요합니까?

실제 사람이 서명 한 중요한 키 (현재는 누구도 서명하지 않았습니다!)가 5 분 전에 웹 서버에 업로드 한 공격자가 만든 것이 아니라 실제 키라는 특정 수준의 신뢰를 설정했습니다. 이 수준의 신뢰 또는 신뢰를 위해서는 신뢰 웹에서 (이미 신뢰하는 사람들과의) 서명 관계를 추적 할 수 있어야합니다. 그리고 다른 사람들이 서명 할 때 (현재 확률은 0 임) 그렇게 할 수있는 확률이 증가합니다.

이 신뢰를 서핑 https://mybank.example.net과 인증 확인 경고 와 비교할 수 있습니다. 그래도 거래 세부 정보를 입력하거나 '잠깐만 기다리십시오!'라고 생각하고 문제를 중지하고 조사 하시겠습니까?

— 막스 sch 프
소스

무엇을보고 싶습니까? 더 많은 서명국을 확보함으로써 얻게 될 추가 가치는 무엇입니까? 여기가 어색하지 않고 필요한 것을 이해하려고 노력합니다.

— Rory Alsop

@RoryAlsop은 동기 부여를 위해 질문을 업데이트했습니다.

— maxschlepzig

SSL 인증서는 멀리 에서 완벽한 . (다른 보고서가있을 것이라 확신합니다.이 보고서는 최근 개인 블로그 아카이브를 통해 매우 빠르게 검색하여 스캔 한 것입니다.)

— CVn

@ MichaelKjörling은 아무도 SSL 인증서 (또는 현재 TLS 개정 / 구현)가 완벽하다고 주장하지 않습니다. 귀하의 의견이 질문에 설명 된 문제와 어떤 관련이 있는지 명확히하십시오.

— maxschlepzig 2019

Avid Fedora 사용자, 나는 당신과 함께 있습니다. Tails 의 키를 다운로드했을 때 충격 을받지 않았으며 서명되지 않았지만 Fedora는 수많은 유능하고 많은 수염을 가진 개인 (많은 RHT 직원)으로 구성되어 있습니다. 꽤 이상합니다. 아마도 IRC 대화방 중 하나에서 이것을 묻는 것이 좋습니다. 또는 fedoraforum 또는 askfedora에서 .

— rsaw

답변:

때때로 키 소유자는 사람이 아닌 키 "sig1"(예 : repo 키)에 서명합니다.

맨 페이지에서;

1은 키를 소유한다고 주장하지만 키를 전혀 확인할 수 없거나 전혀 확인하지 않은 사람이 키를 소유하고 있다고 생각 함을 의미합니다. 이는 가상 사용자의 키에 서명하는 "개인"확인에 유용합니다.

나는 이러한 서명이 신뢰를 증진시키기 위해 사용되지 않기 때문에 가치를 추가 할 수 있다고 생각합니다. 수동 검증 / 재 보증을 위해서만 있습니다.

사람이 아닌 / 가상이 아닌 키에 서명하는 사람의 문제는 우리가 누가 키를 제어 할 수 있는지 알 수 없다는 것입니다. 대부분의 사람들은 이런 이유로 서명하고 싶지 않습니다.

또한 현재 Fedora가 키를 대체하고 웹 사이트에 새 지문을 게시하는 것이 비교적 빠릅니다. 서명을 취소 한 모든 사람이 서명하는 데 시간이 오래 걸립니다.

더 실용적 일 수있는 것;

누군가 페도라에서 키의 소유권을가집니다 (비 의사 키가 아님)
페도라에서 키에 가까운 전담 팀이 키를 서명 / 해지합니다.
현재 지문이있는 웹 페이지는 wot에있는 누군가에 의해 서명됩니다.

그러나 ... 서명이 있거나없는 이미 말했듯이 OS를 설치할 때 repo 키의 gpg 지문이 설치됩니다. 이것은 향후 모든 업데이트를 확인합니다. 이것은 보안의 세계를 추가합니다.

— Mikejonesey
소스

Fedora 개발자의 구체적인 근거에 대해서는 말할 수 없지만 서명 키를 신뢰하지 않으면 차이가 없습니다.

직접 대면하고 교환 한 키를 만나거나 절대로 신뢰하는 제 3 자로부터 서명 된 키를받지 않은 채 개인의 키를 맹목적으로 신뢰해서는 안됩니다.

Fedora 사용자 커뮤니티가 Fedora 개발자 커뮤니티에 비해 상대적으로 크기 때문에 서명자의 폭 넓은 배포 및 합리적인 신뢰는 서명자 (들)를 올바르게 신뢰할 수있는 소수의 사람들에게 약간의 가치를 더할 수는 있지만 일반인에게는 거의 없을 것입니다. ).

SSL의 경우이 보안 키 교환은 이미 이루어졌습니다. 브라우저 나 OS 공급 업체가 대신합니다. 공통 인증 기관 루트 (및 발행) 공개 키는 SSL 신뢰 데이터베이스에 미리 채워져 있습니다. SSL 루트 인증서와 마찬가지로 다양한 OS 리포지토리의 서명 키가 배포판과 함께 제공됩니다. 따라서 이러한 SSL 루트 인증서는 OS와 함께 배포 된 GPG 서명 키보다 다소 신뢰할 만하다고 말할 근거가 없습니다.

패키지의 GPG 서명은 서명 된 키가 없어도 실질적인 이점을 제공합니다. 패키지가 동일한 소스에서 제공되었다는 것을 확신 할 수 있으며 설치 이후 서명 키가 변경되었는지 확인할 수 있습니다. 키가 게시 된 다른 위치를보고 다른 키인지 확인할 수도 있습니다.

이것은 "서명 된 패키지를 통해 루팅 된 경우 페도라를 사용하는 다른 모든 사람도 루팅됩니다"라고 말할 수있는 능력을 가지게됩니다. 네트워크에 미러링하고 사악한 코드를 *. {rpm, deb, txz}?

— 마르파
소스

신뢰할 수없는 CA가 많지 않으면 작동 할 수 있습니다.

— SamB