Mengapa kunci Fedora GPG tidak ditandatangani?

15

Fedora menggunakan kunci GPG untuk menandatangani paket RPM dan file checksum ISO. Mereka mencantumkan kunci yang digunakan (termasuk sidik jari) pada halaman web. Halaman web dikirim melalui https.

Misalnya file checksum untuk Fedora-16-i386-DVD.isoditandatangani dengan kunci A82BA4B7. Memeriksa siapa yang menandatangani kunci publik menghasilkan daftar yang mengecewakan:

Ketik bit / keyID cr. waktu exp kunci waktu expir

pub 4096R / A82BA4B7 2011-07-25            

uid Fedora (16) 
sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]

Tampaknya tak seorang pun dari komunitas Fedora telah menandatangani kunci-kunci penting ini!

Mengapa? ;) (Mengapa Fedora tidak menggunakan jaringan kepercayaan?) Atau saya kehilangan sesuatu?

Bandingkan ini misalnya dengan Debian - kunci penandatanganan ftp otomatis mereka saat 473041FA ini ditandatangani oleh 7 pengembang .

Sunting: Mengapa hal ini penting?

Memiliki kunci penting yang ditandatangani oleh orang-orang nyata (saat ini tidak ditandatangani oleh siapa pun!) Membangun tingkat kepercayaan tertentu bahwa itu adalah kunci nyata dan bukan yang dibuat oleh penyerang yang baru saja diunggah 5 menit yang lalu ke server-web. Tingkat kepercayaan atau kepercayaan ini mengharuskan Anda dapat melacak hubungan masuk di web kepercayaan (kepada orang-orang yang sudah Anda percayai). Dan probabilitas Anda dapat melakukannya meningkat ketika orang yang berbeda menandatanganinya (saat ini probabilitasnya adalah nol).

Anda dapat membandingkan hal kepercayaan ini dengan berselancar ke https://mybank.example.netdan mendapatkan peringatan verifikasi sertifikasi - akankah Anda masih memasukkan detail transaksi Anda atau apakah Anda berpikir 'tunggu sebentar!', Berhenti dan selidiki masalahnya?

maxschlepzig
sumber
apa yang kamu harapkan untuk dilihat? Apa nilai tambah yang Anda rasa akan Anda dapatkan dari memiliki lebih banyak penandatangan? Tidak canggung di sini, tetapi hanya mencoba memahami apa yang Anda butuhkan.
Rory Alsop
@RoryAlsop, memperbarui pertanyaan untuk memberikan motivasi.
maxschlepzig
Sertifikat SSL jauh dari sempurna . (Saya yakin ada laporan lain; ini hanya apa yang saya temukan dengan pencarian dan pemindaian yang sangat cepat melalui arsip blog pribadi saya baru-baru ini.)
CVn
1
@ MichaelKjörling, tidak ada yang mengklaim bahwa sertifikat SSL (atau revisi / implementasi TLS saat ini) sempurna. Harap jelaskan bagaimana komentar Anda terkait dengan masalah yang dijelaskan dalam pertanyaan.
maxschlepzig
3
Pengguna Fedora yang rajin, dan saya dengan Anda maks. Saya tidak terkejut ketika saya mengunduh kunci untuk Tails dan itu tidak ditandatangani, tetapi Fedora disatukan oleh banyak orang yang kompeten dan bahkan banyak orang yang berjenggot (banyak yang menjadi karyawan RHT). Cukup aneh. Mungkin lebih baik untuk menanyakan hal ini di salah satu ruang obrolan IRC. Atau di fedoraforum atau askfedora .
rsaw

Jawaban:

3

Terkadang pemegang kunci menandatangani kunci bukan manusia "sig1" (misalnya kunci repo).

dari halaman manual;

1 berarti Anda yakin kunci dimiliki oleh orang yang mengklaim memilikinya tetapi Anda tidak bisa, atau tidak memverifikasi kunci sama sekali. Ini berguna untuk verifikasi "persona", tempat Anda menandatangani kunci pengguna nama samaran.

Saya percaya ini bisa menambah nilai karena tanda tangan ini tidak digunakan untuk mempromosikan kepercayaan, mereka hanya ada untuk verifikasi / re-assurance manual.

Masalah dengan siapa pun yang menandatangani kunci non-manusia / nama samaran adalah bahwa kita tidak tahu siapa yang akan mengendalikan kunci dalam ... waktu. Kebanyakan orang tidak akan mau mendaftar karena alasan ini.

Selain itu, saat ini relatif cepat bagi Fedora untuk mengganti kunci dan menerbitkan sidik jari baru di situs web mereka, akan butuh waktu bagi semua orang yang telah menandatangani untuk mencabut tanda tangan.

Apa yang mungkin bisa lebih praktis;

  • seseorang mengambil kepemilikan kunci di fedora (kunci bukan nama samaran)
  • tim yang berdedikasi dekat dengan kunci di fedora menandatangani / mencabut kunci.
  • halaman web dengan sidik jari saat ini ditandatangani oleh seseorang di dunia.

Tapi ... seperti yang telah dikatakan, dengan atau tanpa tanda tangan, sidik jari gpg dari tombol repo diinstal ketika Anda menginstal OS ... ini memvalidasi semua pembaruan di masa depan. Ini menambah dunia keamanan.

mikejonesey
sumber
2

Saya tidak dapat berbicara dengan alasan spesifik pengembang Fedora, tetapi kecuali Anda memercayai kunci penandatanganan itu tidak membuat perbedaan.

Seseorang seharusnya tidak secara membuta mempercayai kunci individu tanpa bertemu langsung dan bertukar kunci atau telah menerima kunci yang ditandatangani dari pihak ketiga yang benar-benar dipercayai.

Karena komunitas pengguna Fedora relatif besar dibandingkan dengan komunitas pengembang Fedora, distribusi luas dan kepercayaan rasional para penandatangan tidak mungkin bagi masyarakat umum meskipun hal itu akan menambah nilai bagi sejumlah kecil orang yang dapat memercayai penanda tangan dengan baik. ).

Dalam hal SSL pertukaran kunci aman ini telah terjadi - ini dilakukan atas nama Anda oleh browser atau vendor OS Anda. Kunci publik Common Certificate Authority (dan menerbitkan) telah dipra-populasi di trust SSL Anda db. Sama seperti sertifikat root SSL, kunci penandatanganan untuk berbagai repositori OS datang bersama distribusi. Dengan demikian tidak ada dasar untuk mengatakan bahwa sertifikat root SSL ini kurang lebih dapat dipercaya daripada kunci penandatanganan GPG yang didistribusikan dengan OS Anda.

Penandatanganan paket GPG masih memberikan manfaat besar bahkan tanpa kunci yang ditandatangani. Anda dapat yakin bahwa paket Anda berasal dari sumber yang sama, Anda dapat yakin apakah kunci penandatanganan telah mengubah titik sejak menginstal, dll. Anda juga dapat melihat ke tempat lain kunci tersebut mungkin diterbitkan dan memeriksa untuk melihat apakah itu berbeda.

Ini memiliki efek bersih memberi Anda kemampuan untuk mengatakan "jika saya di-root melalui paket yang ditandatangani, semua orang yang menggunakan Fedora juga di-root" sedangkan dengan paket yang tidak ditandatangani, pikiran paranoid harus selalu bertanya "bagaimana jika seseorang duduk di antara saya dan mirror di jaringan dan masukkan kode jahat ke dalam * apa pun. {rpm, deb, txz}? ".

marpa
sumber
1
Itu mungkin berhasil jika tidak ada begitu banyak CA yang tidak dapat dipercaya ...
SamB