Fedora menggunakan kunci GPG untuk menandatangani paket RPM dan file checksum ISO. Mereka mencantumkan kunci yang digunakan (termasuk sidik jari) di halaman web. Halaman web dikirimkan melalui https.
Misalnya file checksum untuk Fedora-16-i386-DVD.iso ditandatangani dengan kunci A82BA4B7 . Memeriksa siapa yang menandatangani kunci publik menghasilkan daftar yang mengecewakan:
Type bits/keyID cr. time exp time key expir pub 4096R/A82BA4B7 2011-07-25 uid Fedora (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Tampaknya tidak ada seorang pun dari komunitas Fedora yang menandatangani kunci penting ini!
Mengapa? (Mengapa Fedora tidak menggunakan jaringan kepercayaan?) Atau apakah saya melewatkan sesuatu?
Bandingkan ini mis. dengan Debian – kunci penandatanganan ftp otomatis mereka saat ini 473041FA ditandatangani oleh 7 pengembang.
Sunting: Mengapa hal ini penting?
Memiliki kunci penting yang ditandatangani oleh orang sungguhan (saat ini tidak ditandatangani oleh siapa pun!) menetapkan tingkat kepercayaan tertentu bahwa itu adalah kunci asli dan bukan kunci yang dibuat oleh penyerang yang baru saja diunggah 5 menit yang lalu ke server web. Tingkat kepercayaan atau kepercayaan ini mengharuskan Anda untuk melacak hubungan penandatanganan dalam jaringan kepercayaan (ke orang yang sudah Anda percayai). Dan kemungkinan Anda dapat melakukannya meningkat ketika orang yang berbeda menandatanganinya (saat ini kemungkinannya adalah nol).
Anda dapat membandingkan kepercayaan ini dengan berselancar ke https://mybank.example.net dan mendapatkan peringatan verifikasi sertifikasi – apakah Anda akan tetap memasukkan detail transaksi Anda atau akankah Anda berpikir 'tunggu sebentar!', berhenti dan selidiki masalahnya?
Jawaban yang Diterima:
Terkadang pemegang kunci menandatangani kunci non-manusia “sig1” (misalnya kunci repo).
dari halaman manual;
1 berarti Anda yakin kunci tersebut dimiliki oleh orang yang mengklaim memiliki
tetapi Anda tidak dapat, atau tidak memverifikasi kunci sama sekali. Ini berguna
untuk verifikasi “persona”,
di mana Anda menandatangani kunci pengguna pseudonim.
Saya yakin ini bisa menambah nilai karena tanda tangan ini tidak digunakan untuk mempromosikan kepercayaan, mereka hanya ada untuk verifikasi / jaminan ulang manual.
Masalah dengan siapa pun yang menandatangani kunci non-manusia / nama samaran adalah bahwa kita tidak tahu siapa yang akan mengendalikan kunci dalam … waktu. Kebanyakan orang tidak mau mendaftar karena alasan ini.
Selain itu, saat ini Fedora relatif cepat untuk mengganti kunci dan menerbitkan sidik jari baru di situs web mereka, itu akan memakan waktu cukup lama bagi semua yang telah menandatangani untuk mencabut tanda tangan.
Apa yang mungkin lebih praktis;
- seseorang mengambil kepemilikan kunci di fedora (kunci non pseudonim)
- tim khusus yang dekat dengan kunci di fedora menandatangani/mencabut kunci.
- halaman web dengan sidik jari saat ini ditandatangani oleh seseorang di wot.
Tapi... seperti yang sudah dikatakan, dengan atau tanpa tanda tangan, sidik jari gpg dari kunci repo diinstal saat Anda menginstal OS... ini memvalidasi semua pembaruan di masa mendatang. Ini menambah keamanan dunia.