FedoraはRPMパッケージとISOチェックサムファイルの署名にGPGキーを使用します。彼らは、使用中のキーリスト、Webページ上の(指紋を含む)を。Webページはhttps経由で配信されます。
例えば、チェックサムファイルのためには、Fedora-16-i386-DVD.iso
キーで署名されていますA82BA4B7
。誰が公開鍵に署名したかを確認すると、残念なリストが表示されます。
タイプbits / keyID cr。time exp time key expir pub 4096R / A82BA4B7 2011-07-25 uid Fedora(16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig]
Fedoraコミュニティの誰もこれらの重要な鍵に署名していないようです!
どうして?;)(Fedoraが信頼のWebを使用しないのはなぜですか?)または何か不足していますか?
これをDebianと比較してください-現在の自動ftp署名キー473041FA
は7人の開発者によって署名されています。
編集:なぜこれが重要なのですか?
このような重要なキーに実際の人が署名している(現在は誰も署名していない!)ことで、5分前にWebサーバーにアップロードされた攻撃者によって作成されたものではなく、実際のキーであるというある程度の信頼が確立されました。このレベルの信頼または信頼では、信頼の網(すでに信頼している人々)で署名関係をトレースできることが必要です。そして、あなたがそうすることができる確率は、異なる人がそれに署名するとき、増加しています(現在、確率はゼロです)。
この信頼性とサーフィンをhttps://mybank.example.net
して認証確認の警告を受け取ることを比較できます。それでも取引の詳細を入力しますか、それとも「ちょっと待ってください!」と思い、問題を止めて調査しますか?