Gdzie przesłać klucz publiczny PGP? Czy KeyServers nadal przetrwają?

87

Chcę załadować mój klucz publiczny PGP na serwer publiczny. Do czasu, gdy PGP była niezależną organizacją, dużo słyszałem o KeyServers, ale po tym, jak Symantec przejął PGP, jaka jest przyszłość tych serwerów?

Czy istnieje jakiś inny alternatywny sposób na utrzymanie moich kluczy publicznych w Internecie?

RPK
źródło

Odpowiedzi:

81

Tak, serwery kluczy nadal istnieją:

Ludzie zwykle używają SKS, ponieważ składa się z wielu serwerów, które stale synchronizują bazę danych. Tymczasem Global Directory jest pojedynczym, komercyjnie obsługiwanym serwerem, który może ulec awarii w dowolnym momencie; to samo dotyczy nowych serwerów kluczy innych niż SKS.

Jednak SKS ma problem z akceptowaniem czegokolwiek i przechowywaniem go na zawsze (podobnie jak blockchain). Przez długi czas powodowało to problemy, ale zaczęło być masowo wykorzystywane w latach 2018–2019. Nowe serwery kluczy nie mają synchronizacji częściowo, ponieważ chcą dowiedzieć się, jak łączyć przeciwne cele.


Popularny pgp.mit.eduzostał w końcu uaktualniony do SKS i jest teraz częścią puli. Istnieje również kilka innych serwerów kluczy, które nie są częścią puli SKS (wymienione na tej samej stronie statusu). Domyślny serwer kluczy dla GnuPG, keys.gnupg.netjest teraz także aliasem do puli SKS.

Inny powszechnie znany serwer, niesubkeys.pgp.net jest częścią puli SKS, ponieważ (AFAIK) nadal uruchamia bardzo starą wersję PKS. (Wydaje się również, że jest wyłączony, chociaż strona jest uruchomiona).


Jeśli Twój adres e-mail znajduje się pod nazwą domeny, którą zarządzasz (tzn. Może mieć utworzone dowolne rekordy DNS), możesz również opublikować swój klucz PGP za pomocą DNS. Najłatwiejszą metodą jest PKA, która wymaga jedynie umiejętności tworzenia rekordów TXT; zobacz artykuł na temat publikowania kluczy PGP w DNS .

PKA, a także dwie inne metody (CERT i IPGP CERT) zostały opisane w tym przewodniku znacznie bardziej szczegółowo.

Wadą wszystkich trzech metod jest to, że GnuPG musi być ręcznie skonfigurowany, aby z nich korzystać, a PGP.com nawet nie obsługuje DNS. Tymczasem praktycznie wszystkie wersje PGP i GnuPG mogą korzystać z serwerów kluczy.

Uwaga: GnuPG 2.1.3 całkowicie zmienił format PKA (na połączenie CERT i starej PKA).

Biorąc pod uwagę, że GnuPG zrobił to w mniejszym wydaniu, nie martwiąc się o kompatybilność wsteczną ze starym formatem (w rzeczywistości stary format używany przez pewien czas po awarii do wersji 2.1.x), nie mogę już dłużej sugerować publikacji klucza publicznego w DNS . To strata czasu. Użyj serwerów kluczy.

grawitacja
źródło
Kiedy publikuję klucz (który zawiera prywatny + publiczny), czy publikuje również prywatny ??? nie może ...
Royi Namir,
1
@grawity Nie używam już PGP Global Directory, ponieważ wiele linków wraca do symantec, a informacja whois nie wraca z żadnymi wynikami, które bardzo mnie martwią. Również bezpieczeństwo SSL dla PGP Global Directory jest dość złe .
meguroyama
2
@meguroyama PGP używa własnej „Sieci zaufania” do weryfikacji kluczy, więc obsługa SSL w serwerach kluczy jest użyteczna tylko ze względów prywatności (aby ukryć, które klucze odzyskujesz). Wiele serwerów kluczy SKS wciąż nie ma całkowicie protokołu SSL i chociaż powoli go dodają, nie stanowi to problemu z bezpieczeństwem.
grawity
1
Jeśli chodzi o informacje WHOIS - nie wiesz również, kto obsługuje większość serwerów kluczy SKS; i to też nie ma znaczenia.
grawity
1
@meguroyama: Racja - jedynym problemem jest to, że globalny katalog jest izolowany; nie wymienia kluczy z niczym innym. Z drugiej strony wszystkie serwery kluczy SKS synchronizują się ze sobą; jeśli jeden upadnie, dwa tuziny innych kontynuują pracę.
grawity
2

AKTUALIZACJA: w 2017 r. Możesz rozważyć użycie Keybase , społecznego podejścia do weryfikacji klucza publicznego.

„Keybase to darmowa aplikacja bezpieczeństwa typu open source. Jest to także publiczny katalog osób.

Aplikacja Keybase pomaga wykonywać bezpieczne kryptograficznie operacje z osobami, które znasz w Internecie: czatowanie, udostępnianie plików, a nawet publikowanie dokumentów publicznych ”.

Gaia
źródło
11
Jednak Keybase w ogóle nie przestrzega publicznego serwera kluczy i w rzeczywistości wymaga od użytkowników przechowywania swoich kluczy prywatnych w systemie. To jak zastrzeżony gpg, któremu nie należy ufać, imho!
hopeseekr
2
Jest to znany problem, który nie naprawia ... github.com/keybase/keybase-issues/issues/160
hopeseekr
6
Nie jest oznaczony, że nie zostanie naprawiony, a wysyłanie PK do bazy kluczy jest funkcją opcjonalną. Zobacz github.com/keybase/keybase-issues/issues/… i github.com/keybase/keybase-issues/issues/…
Gaia
2
ponadto blog.filippo.io/…
Gaia
2

Dzisiaj stanąłem przed tą samą kwestią i stwierdziłem, że ani keyserver.pgp.com/nie sks-keyservers.net/odpowiedziałem mi w odpowiednim czasie.

Okazało się jednak, że keyserver.ubuntu.comzadziałało.

Murch
źródło
1
Należy użyć podzestawu wysokiej dostępności puli: ha.pool.sks-keyservers.net - dodanie większej liczby serwerów kluczy może zmniejszyć niezawodność, ponieważ zapytania o mniej niezawodne serwery są pytane
Otto Allmendinger