Fedora GPGキーが署名されていないのはなぜですか？

キー所有者は、人間以外のキー「sig1」（レポキーなど）に署名することがあります。

マニュアルページから;

1は、キーが所有していると主張する人がキーを所有していると信じているが、キーを確認できなかったか、まったく確認しなかったことを意味します。これは、仮名ユーザーのキーに署名する「ペルソナ」検証に役立ちます。

これらの署名は信頼を促進するために使用されるのではなく、手動による検証/再保証のためにのみ存在するため、これは付加価値をもたらす可能性があると思います。

人間以外の/仮名のキーに署名する人の問題は、...時間内に誰がキーを制御するのかわからないことです。ほとんどの人はこの理由で署名したくないでしょう。

さらに、現時点では、Fedoraがキーを置き換えて新しい指紋をWebサイトに公開するのは比較的高速であり、署名したすべての人が署名を取り消すにはしばらく時間がかかります。

おそらくもっと実用的かもしれないもの;

• 誰かがFedoraでキーの所有権を取得します（偽名ではないキー）
• fedoraのキーに近い専任チームがキーに署名/取り消します。
• 現在の指紋が付いているウェブページは、wotの誰かによって署名されています。

しかし...すでに述べたように、署名の有無にかかわらず、OSのインストール時にリポジトリキーのgpgフィンガープリントがインストールされます...これにより、将来のすべての更新が検証されます。これにより、セキュリティの世界が追加されます。

Fedora開発者の具体的な論理的根拠について話すことはできませんが、署名キーを信頼しない限り、違いはありません。

直接会って鍵を交換したり、絶対に信頼する第三者から署名された鍵を受け取ったりすることなく、個人の鍵を盲目的に信頼するべきではありません。

FedoraユーザーコミュニティはFedora開発者コミュニティに比べて比較的大きいため、署名者を適切に信頼できる少数の人々にとってはある程度の価値がありますが、署名者の幅広い配布と合理的な信頼は一般の人々にとってはありそうにありません。 ）。

SSLの場合、この安全な鍵交換はすでに行われています。これは、ブラウザまたはOSベンダーによってユーザーに代わって実行されます。共通認証局のルート（および発行）公開鍵は、SSL信頼データベースに事前入力されています。 SSLルート証明書と同様に、さまざまなOSリポジトリの署名キーがディストリビューションに付属しています。したがって、これらのSSLルート証明書は、OSに配布されているGPG署名キーよりも多かれ少なかれ信頼できると言う根拠はありません。

パッケージのGPG署名は、署名されたキーがなくても大きなメリットをもたらします。パッケージが同じソースからのものであることが保証され、インストール以降に署名キーが変更されているかどうかを確認できます。また、キーが公開されている可能性のある他の場所を調べて、異なるかどうかを確認することもできます。

これには、「署名されたパッケージを介してルート化された場合、Fedoraを使用している他のすべてのユーザーもルート化されている」と言うことができるという正味の効果がありますが、署名されていないパッケージでは、常に「誰かが私とネットワーク上でミラーリングし、不正なコードを任意の*。{rpm、deb、txz}？ "にスリップストリームします。