Fedora는 RPM 패키지 및 ISO 체크섬 파일 서명에 GPG 키를 사용합니다. 그들은 사용되는 키 목록을 웹 페이지 (지문을 포함하여). 웹 페이지는 https를 통해 제공됩니다.
예를 들어, 체크섬 파일 에 대한이 Fedora-16-i386-DVD.iso
키를 사용하여 서명됩니다 A82BA4B7
. 공개 키에 서명 한 사람을 확인 하면 실망스러운 목록이 표시됩니다.
비트 / 키 ID cr을 입력하십시오. 시간 특급 시간 키 만료 펍 4096R / A82BA4B7 2011-07-25 uid 페도라 (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Fedora 커뮤니티의 어느 누구도이 중요한 열쇠에 서명하지 않은 것 같습니다!
왜? ;) (Fedora는 왜 신뢰의 웹을 사용하지 않습니까?) 아니면 뭔가 빠졌습니까?
이 예를 데비안 과 비교해보십시오. 현재 자동 ftp 서명 키 473041FA
는 7 명의 개발자가 서명합니다 .
편집 : 왜이 물건이 중요합니까?
실제 사람이 서명 한 중요한 키 (현재는 누구도 서명하지 않았습니다!)가 5 분 전에 웹 서버에 업로드 한 공격자가 만든 것이 아니라 실제 키라는 특정 수준의 신뢰를 설정했습니다. 이 수준의 신뢰 또는 신뢰를 위해서는 신뢰 웹에서 (이미 신뢰하는 사람들과의) 서명 관계를 추적 할 수 있어야합니다. 그리고 다른 사람들이 서명 할 때 (현재 확률은 0 임) 그렇게 할 수있는 확률이 증가합니다.
이 신뢰를 서핑 https://mybank.example.net
과 인증 확인 경고 와 비교할 수 있습니다. 그래도 거래 세부 정보를 입력하거나 '잠깐만 기다리십시오!'라고 생각하고 문제를 중지하고 조사 하시겠습니까?