Firmar llaves y actualizaciones

Al comienzo de cada nuevo ciclo de lanzamiento principal de Fedora, se genera una nueva clave de firma y su parte pública se publica en el sitio web de Fedora. Esta nueva clave se utilizará posteriormente para firmar nuevos artefactos, reemplazando la utilizada actualmente. Esto se hace para establecer una cadena de confianza automática entre una versión anterior y una más reciente, que posiblemente pueda firmarse con una clave diferente y más reciente.

Para que las actualizaciones automáticas de Fedora CoreOS funcionen en las principales versiones de Fedora, el conjunto de claves de firma integradas mencionado anteriormente se actualiza al menos una vez por cada ciclo de lanzamiento de Fedora. En ese caso, se activa una barrera de actualización en el gráfico de actualizaciones de FCOS.

La razón principal de esta barrera de actualización es garantizar que las instancias más antiguas (y posiblemente obsoletas) reciban y confíen automáticamente en las claves recién generadas. Esto se logra obligando a dichas máquinas a actualizar progresivamente las actualizaciones intermedias (firmadas por una clave ya confiable) antes de actualizar a la última versión publicada.

Tomando como ejemplo el ciclo de lanzamiento de Fedora 32, al principio las imágenes FCOS solo conocen claves de firma para las versiones principales 32 y 33:

Más adelante en ese ciclo de lanzamiento, se genera la clave de firma para futuras versiones de Fedora 34 y se agrega a FCOS. Se ha establecido una barrera en el gráfico de actualización de FCOS, por ejemplo, en la versión 32.20200907.3.0. Al inspeccionar esa imagen, se observa lo siguiente:

Con esta barrera en su lugar, las instancias anteriores deben ser modernizadas a 32.20200907.3.0 con el fin de asegurar que conocen (y confían) la señal clave para Fedora 34, antes de ser capaz de modernizar a las liberaciones nuevas basadas en esa.