Fedora GPGキーが署名されていないのはなぜですか？

時には、キーホルダーが人ではなく、キー「sig1」（たとえば、repoキー）に署名することがあります。

マニュアルページから。

1は、キーがそのキーを持っていると主張する人のものだと思いますが、キーを確認できないか、キーをまったく確認していないことを意味します。これは、匿名ユーザーのキーに署名する「役割」認証に役立ちます。

これらの署名は信頼を促進するために使用されず、手動の確認/保証にのみ使用されるため、これが価値を追加すると思います。

人ではない/仮名キーに署名する人の問題は、誰がそのキーをしばらく制御するのかわからないということです。このため、ほとんどの人は署名を消極的です。

さらに、Fedoraは現在比較的迅速にキーを変更し、Webサイトに新しい指紋を投稿しますが、署名したすべての人が署名をキャンセルするのに時間がかかります。

また何がより実用的でしょうか？

• 誰かがFedoraキー（仮名キーではない）の所有権を持っています。
• Fedoraには、鍵の署名/取り消しに関する専門チームがあります。
• 現在、指紋のウェブページはwotの誰かが署名したものです。

しかし、すでに述べたように、OSをインストールすると、ストレージキーのgpg指紋は署名されているかどうかにかかわらずインストールされます。これにより、将来のすべてのアップデートが確認されます。これはセキュリティの世界に追加されます。

Fedora開発者の具体的な推論については言えませんが、署名鍵を信頼しない限り違いはありません。

対面鍵交換や絶対に信頼できる第三者から署名鍵を受信しないで、個人の鍵を盲目的に信頼してはいけません。

Fedoraユーザーコミュニティは、Fedora開発者コミュニティと比較して比較的規模が大きいため、署名者を適切に信頼できる少数の人々にある程度の価値を加えることができますが、署名者の広範な展開と合理的な信頼は一般にほとんど不可能です。 ）。

SSL を使用すると、これらのセキュリティキー交換がすでに発生します。これは、ブラウザまたはオペレーティングシステムベンダーがユーザーに代わって実行します。公開認証機関のルート（および発行）公開鍵は、SSL信頼データベースに事前に入力されています。 SSL ルート証明書と同様に、さまざまなオペレーティングシステムリポジトリの署名キーがディストリビューションに付属しています。したがって、これらのSSLルート証明書がオペレーティングシステムと共に配布されるGPG署名キーよりもある程度信頼できると言う根拠はありません。

署名キーがなくても、GPG署名パッケージは依然として大きな利点を提供できます。パッケージは同じソースから提供されるので安心でき、インストール後に署名キーが変更されたかなどを確認できます。キーが公開されている他の場所を調べて、異なることを確認することもできます。

これの最終的な効果は、「私が署名されたパッケージを介してrootアクセス権を得れば、Fedoraを使用している他の誰もが同じです」と言うことができます。に座って*.{rpm、deb、txz}にマルウェアを挿入しましたか？」