Де завантажити відкритий ключ PGP? Чи зберігаються KeyServers?


87

Я хочу завантажити свій відкритий ключ PGP на загальнодоступний сервер. До того часу, як PGP була незалежною організацією, я багато чув про KeyServers, але після того, як Symantec придбав PGP, яке майбутнє у цих серверів?

Чи є інший альтернативний спосіб зберегти мої відкриті ключі в Інтернеті?

Відповіді:


81

Так, зберігачі клавіш все ще існують:

Люди зазвичай використовують SKS, оскільки він складається з багатьох серверів, які синхронізують свою базу даних безперервно. Тим часом, Global Directory - це єдиний сервер, комерційно керуючий, який може працювати в будь-який час; те саме стосується нових серверів ключів, які не належать до SKS.

Однак у SKS є проблема приймати що- небудь і зберігати його назавжди (подібно до блокчейн). Це давно викликало проблеми, але почали масово зловживати в 2018–2019 роках. Нові сервери ключів не синхронізуються частково, тому що вони хочуть з'ясувати, як поєднати протилежні цілі.


Популярний pgp.mit.eduнарешті перейшов до SKS і тепер є частиною пулу. Також існує купа інших серверів ключів, які не входять до пулу SKS (перераховані на тій же сторінці статусу). Сервер ключів за замовчуванням для GnuPG, keys.gnupg.netтепер також є псевдонімом пулу SKS.

Інший широко відомий сервер, неsubkeys.pgp.net є частиною пулу SKS, оскільки (AFAIK) він все ще використовує дуже стару версію PKS. (Це також здається вниз, хоча веб-сайт працює.)


Якщо ваша електронна адреса знаходиться під доменним іменем, яким ви керуєте (тобто можуть бути створені довільні записи DNS), також можна опублікувати ваш PGP-ключ за допомогою DNS. Найпростіший метод для цього - PKA, який вимагає лише здатності створювати записи TXT; дивіться статтю про публікацію PGP-ключів у DNS .

PKA, а також два інші методи (CERT та IPGP CERT) описані в цьому посібнику значно детальніше.

Недоліком усіх трьох методів є те, що GnuPG має бути налаштовано вручну для їх використання, а PGP.com навіть не підтримує використання DNS. Тим часом практично всі версії PGP та GnuPG можуть використовувати сервери клавіш.

Примітка: GnuPG 2.1.3 повністю змінив формат PKA (у суміш CERT та старої PKA).

Зважаючи на те, що GnuPG зробив це в незначному випуску, не турбуючись про зворотну сумісність зі старим форматом (насправді старий формат, який використовується на деякий час після краху 2.1.x), мені вже не зручно пропонувати публікацію pubkey в DNS . Це марна трата часу. Використовуйте сервери клавіш.


Коли я публікую ключ (який містить приватний + public), чи публікується він і приватний ??? це не повинно ....
Рой Намір

1
@grawity Я більше не використовую Глобальний каталог PGP через багато посилань, що повертаються до symantec, і інформація про це не повертається з результатами, які мене дуже хвилюють. Також безпека SSL для Глобального каталогу PGP також погана .
мегурояма

2
@meguroyama PGP використовує власну "Інтернет довіри" для перевірки ключів, тому підтримка SSL у серверах клавіш корисна лише з міркувань конфіденційності (щоб приховати, які ключі ви отримуєте). Багатьом серверам клавіш SKS все ще не вистачає SSL, і хоча вони потихеньку додають його, це не проблема безпеки.
grawity

1
Щодо інформації WHOIS - ви навіть не знаєте, хто працює на більшості серверів ключів SKS; і це теж не має значення.
grawity

1
@meguroyama: Правильно - єдина проблема полягає в тому, що Глобальний Каталог ізольований; він не обмінюється ключами ні з чим іншим. З іншого боку, всі сервери ключів SKS синхронізуються між собою; якщо одна знизиться, два десятки інші продовжують працювати.
grawity

2

ОНОВЛЕННЯ: у 2017 році ви можете розглянути можливість використання Keybase , соціального підходу до перевірки відкритих ключів.

"Keybase - це безкоштовний додаток із захистом із відкритим кодом. Це також загальнодоступний каталог людей.

Додаток Keybase допомагає виконувати криптографічно захищені операції з людьми, яких ви знаєте в Інтернеті: спілкуватися в чаті, обмінюватися файлами, навіть публікувати публічні документи ".


11
Але Keybase взагалі не дотримується системи зберігання відкритих ключів, і насправді вимагає від користувачів зберігання своїх приватних ключів у своїй системі. Це як власний gpg, якому не слід довіряти, imho!
hopeseekr

2
Це відома проблема з виправленням навичок
hopeseekr

6
Це не позначено, це не виправить, а надсилання ПК на базу даних клавіш - додаткова функція. Дивіться github.com/keybase/keybase-issues/isissue/… та github.com/keybase/keybase-issues/isissue/…
Gaia

2
окрім того, blog.filippo.io/…
Гая


2

Я зіткнувся з тим же питанням і сьогодні, і виявив, що ні на мене , ні на час keyserver.pgp.com/не sks-keyservers.net/відповість.

Однак я виявив, що це keyserver.ubuntu.comспрацювало.


1
Ви повинні використовувати підмножину басейну з високою доступністю: ha.pool.sks-keyservers.net - додавання більшої кількості серверів може знизити надійність, оскільки запитуються менш надійні сервери
Otto Allmendinger
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.