max*_*zig 15 security fedora debian cryptography signature
Fedora 使用 GPG 密钥对 RPM 包和 ISO 校验和文件进行签名。他们在网页上列出了正在使用的密钥(包括指纹)。网页通过 https 传送。
例如,校验和文件为Fedora-16-i386-DVD.iso与密钥签名A82BA4B7。检查谁签署了公钥会导致一个令人失望的列表:
键入位/keyID cr。时间过期时间密钥过期 酒吧 4096R/A82BA4B7 2011-07-25 uid 软呢帽 (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Fedora 社区中似乎没有人签署过这些重要的密钥!
为什么?;) (为什么 Fedora 不使用信任网络?)或者我错过了什么?
将此与Debian进行比较- 他们当前的自动 ftp 签名密钥473041FA 由 7 个开发人员签名。
编辑:为什么这个东西很重要?
拥有如此重要的密钥由真实的人签名(目前它没有由任何人签名!)建立了一定程度的信心,即它是真实的密钥,而不是由攻击者在 5 分钟前刚刚上传到网络服务器上创建的。这种级别的信心或信任要求您可以在信任网络中追踪签名关系(对您已经信任的人)。当不同的人签署时,您能够这样做的可能性会增加(目前可能性为零)。
您可以将这种信任与浏览https://mybank.example.net并获得认证验证警告进行比较 - 然后您是否仍会输入您的交易详细信息,或者您是否会认为“等一下!”,停止并调查问题?
小智 2
我无法说出 Fedora 开发人员的具体理由,但除非您信任签名密钥,否则没有什么区别。
在没有面对面交换密钥或从绝对信任的第三方收到签名密钥的情况下,人们不应该盲目信任个人的密钥。
由于 Fedora 用户社区与 Fedora 开发者社区相比相对较大,签名者的广泛分布和理性信任对于公众来说不太可能,尽管这会为少数能够正确信任签名者的人增加一些价值。 )。
对于 SSL,这种安全密钥交换已经发生——它是由您的浏览器或操作系统供应商代表您执行的。公共证书颁发机构根(和颁发)公钥已预先填充在您的 SSL 信任数据库中。与 SSL 根证书非常相似,各种操作系统存储库的签名密钥都随发行版一起提供。因此,没有依据说这些 SSL 根证书比随操作系统分发的 GPG 签名密钥更可信或更不可信。
即使没有签名密钥,GPG 签名包仍然可以带来巨大的好处。您可以放心,您的软件包来自同一来源,您可以确定签名密钥自安装以来是否已更改,等等。您还可以查看可能发布密钥的其他位置并检查它是否不同。
这具有的最终效果是让您能够说“如果我通过签名的软件包获得了 root 权限,那么使用 Fedora 的其他人也都获得了 root 权限”,而对于未签名的软件包,偏执的头脑必须总是问“如果有人坐在我和网络上的镜像并将恶意代码注入任何 *.{rpm,deb,txz}?”。
| 归档时间: |
|
| 查看次数: |
1178 次 |
| 最近记录: |