फेडोरा RPM पैकेज और ISO चेकसम फाइलों पर हस्ताक्षर करने के लिए GPG-कुंजियों का उपयोग करता है। वे वेब पेज पर उपयोग में कुंजियों (उंगलियों के निशान सहित) को सूचीबद्ध करते हैं । वेब पेज को https के माध्यम से दिया जाता है।
उदाहरण के लिए चेकसम फ़ाइल के लिए Fedora-16-i386-DVD.isoकुंजी के साथ साइन किया गया है A82BA4B7। निराशाजनक सूची में सार्वजनिक कुंजी परिणामों पर हस्ताक्षर करने वाले की जाँच :
बिट्स / कीआईडी cr टाइप करें। समय समाप्ति समय कुंजी समाप्ति पब 4096R / A82BA4B7 2011-07-25 यूद फेडोरा (16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [सेल्फिग]
ऐसा लगता है कि फेडोरा समुदाय के किसी भी व्यक्ति ने इन महत्वपूर्ण चाबियों पर हस्ताक्षर नहीं किए हैं!
क्यों? ;) (फेडोरा विश्वास के वेब का उपयोग क्यों नहीं करता?) या मैं कुछ याद कर रहा हूं?
इसकी तुलना उदाहरण के लिए डेबियन के साथ करें - उनकी वर्तमान स्वचालित ftp साइनिंग कुंजी 473041FA 7 डेवलपर्स द्वारा हस्ताक्षरित है ।
संपादित करें: यह सामान क्यों मायने रखता है?
वास्तविक लोगों द्वारा हस्ताक्षरित इस तरह की एक महत्वपूर्ण कुंजी होने (वर्तमान में यह किसी के द्वारा हस्ताक्षरित नहीं है!) ने एक निश्चित स्तर का विश्वास स्थापित किया कि यह वास्तविक कुंजी है और किसी हमलावर द्वारा सिर्फ 5 मिनट पहले वेब-सर्वर पर अपलोड नहीं किया गया है। विश्वास या विश्वास के इस स्तर की आवश्यकता होती है कि आप विश्वास के एक वेब में उन लोगों के साथ हस्ताक्षर करने का पता लगा सकते हैं (जिन लोगों पर आप पहले से ही भरोसा कर रहे हैं)। और जिस संभावना को आप कर पा रहे हैं वह तब बढ़ रही है जब विभिन्न लोग इस पर हस्ताक्षर करते हैं (वर्तमान में संभावना शून्य है)।
आप इस भरोसेमंद चीज़ की तुलना https://mybank.example.netसर्टिफिकेशन वेरिफिकेशन में सर्फिंग करने और करने से कर सकते हैं - क्या आप तब भी अपने लेन-देन के विवरण दर्ज करेंगे या आपको लगता है कि 'एक मिनट रुकें!', रुकें और समस्या की जाँच करें।