Por que as chaves GPG do Fedora não são assinadas?

O Fedora usa chaves GPG para assinar pacotes RPM e arquivos de soma de verificação ISO. Eles listam as chaves em uso (incluindo impressões digitais) em uma página da web. A página da web é entregue via https.

Por exemplo, o arquivo de soma de verificação para Fedora-16-i386-DVD.isoé assinado com a chave A82BA4B7. A verificação de quem assinou a chave pública resulta em uma lista decepcionante:

Digite bits / keyID cr. time exp time key expir

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 25-07-2011 __________ __________ [auto-sinal]

Parece que ninguém da comunidade Fedora assinou essas chaves importantes!

Por quê? ;) (Por que o Fedora não usa uma rede de confiança?) Ou estou perdendo alguma coisa?

Compare isso, por exemplo, com o Debian - sua chave de assinatura automática de ftp atual 473041FA é assinada por 7 desenvolvedores .

Edit: Por que essas coisas importam?

Ter uma chave tão importante assinada por pessoas reais (atualmente não é assinada por ninguém!) Estabeleceu um certo nível de confiança de que é a chave real e não criada por um invasor que acabou de ser carregada 5 minutos atrás no servidor da web. Esse nível de confiança requer que você possa rastrear relações de assinatura em uma rede de confiança (para pessoas nas quais você já está confiando). E a probabilidade de você conseguir fazer isso aumenta quando pessoas diferentes o assinam (atualmente a probabilidade é zero).

Você pode comparar essa coisa de confiança com a navegação https://mybank.example.nete receber um aviso de verificação de certificação - você ainda digitaria os detalhes da transação ou pensaria 'espere um minuto!', Pare e investigue o problema?

Às vezes, os detentores de chaves assinam chaves não humanas "sig1" (por exemplo, chaves de recompra).

da página do manual;

1 significa que você acredita que a chave pertence à pessoa que alega ser sua, mas você não pôde ou não verificou a chave. Isso é útil para uma verificação de "persona", na qual você assina a chave de um usuário pseudônimo.

Acredito que isso poderia agregar valor, pois essas assinaturas não são usadas para promover a confiança, elas existem apenas para verificação / reafirmação manual.

O problema de alguém assinar uma chave não humana / pseudônima é que não sabemos quem estará no controle da chave em ... tempo. A maioria das pessoas não deseja assinar por esse motivo.

Além disso, atualmente é relativamente rápido para o Fedora substituir a chave e publicar uma nova impressão digital em seu site, levaria um tempo para todos aqueles que se inscreveram para revogar assinaturas.

O que poderia ser mais prático;

• alguém se apropria da chave no fedora (chave não pseudônima)
• uma equipe dedicada próxima à chave no sinal do fedora / revogue a chave.
• a página da web com a impressão digital atual é assinada por alguém no wot.

Mas ... como já foi dito, com ou sem assinatura, as impressões digitais gpg das chaves de recompra são instaladas quando você instala o sistema operacional ... isso valida todas as atualizações futuras. Isso adiciona um mundo de segurança.

Não posso falar com a lógica específica dos desenvolvedores do Fedora, mas a menos que você confie nas chaves de assinatura, isso não faz diferença.

Não se deve confiar cegamente na chave de um indivíduo sem ter encontrado as chaves presenciais e trocadas ou ter recebido a chave assinada de um terceiro em quem confia absolutamente.

Como a comunidade de usuários do Fedora é relativamente grande em comparação com a comunidade de desenvolvedores do Fedora, é improvável uma ampla distribuição e confiança racional dos assinantes para o público em geral, embora isso agregasse algum valor ao pequeno número de pessoas capazes de confiar adequadamente no (s) assinante (s). )

No caso do SSL, essa troca segura de chaves já ocorreu - é realizada em seu nome pelo navegador ou pelo fornecedor do SO. As chaves públicas raiz (e de emissão) da Autoridade de Certificação Comum são preenchidas previamente em seu banco de dados SSL trust db. Assim como as certificações raiz SSL, as chaves de assinatura para vários repositórios de SO vêm com a distribuição. Portanto, não há base para dizer que esses certificados raiz SSL são mais ou menos confiáveis ​​do que as chaves de assinatura GPG distribuídas com seu sistema operacional.

A assinatura de pacotes GPG ainda oferece benefícios substanciais, mesmo sem uma chave assinada. Você pode ter certeza de que seus pacotes vieram da mesma fonte, pode ter certeza de que a chave de assinatura mudou algum ponto desde a instalação, etc. Você também pode procurar outros lugares em que a chave pode ser publicada e verificar se é diferente.

Isso tem o efeito líquido de dar a você a capacidade de dizer "se eu estava enraizado em um pacote assinado, todos os outros usuários do Fedora também estão enraizados", enquanto nos pacotes não assinados uma mente paranóica deve sempre perguntar "e se alguém estiver sentado entre mim e o espelhar na rede e inserir códigos nefastos em qualquer *. {rpm, deb, txz}? ".