Fedora GPGキーが署名されないのはなぜですか?
FedoraはRPMパッケージとISOチェックサムファイルの署名にGPGキーを使用します。彼らは、使用中のキーリスト、Webページ上の(指紋を含む)を。Webページはhttps経由で配信されます。 例えば、チェックサムファイルのためには、Fedora-16-i386-DVD.isoキーで署名されていますA82BA4B7。誰が公開鍵に署名したかを確認すると、残念なリストが表示されます。 タイプbits / keyID cr。time exp time key expir pub 4096R / A82BA4B7 2011-07-25 uid Fedora(16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig] Fedoraコミュニティの誰もこれらの重要な鍵に署名していないようです! どうして?;)(Fedoraが信頼のWebを使用しないのはなぜですか?)または何か不足していますか? これをDebianと比較してください-現在の自動ftp署名キー473041FA は7人の開発者によって署名されています。 編集:なぜこれが重要なのですか? このような重要なキーに実際の人が署名している(現在は誰も署名していない!)ことで、5分前にWebサーバーにアップロードされた攻撃者によって作成されたものではなく、実際のキーであるというある程度の信頼が確立されました。このレベルの信頼または信頼では、信頼の網(すでに信頼している人々)で署名関係をトレースできることが必要です。そして、あなたがそうすることができる確率は、異なる人がそれに署名するとき、増加しています(現在、確率はゼロです)。 この信頼性とサーフィンをhttps://mybank.example.netして認証確認の警告を受け取ることを比較できます。それでも取引の詳細を入力しますか、それとも「ちょっと待ってください!」と思い、問題を止めて調査しますか?