Где загрузить открытый ключ PGP? KeyServers все еще выживают?


87

Я хочу загрузить свой открытый ключ PGP на публичный сервер. До того момента, когда PGP была независимой организацией, я много слышал о KeyServers, но после того, как Symantec приобрела PGP, каково будущее этих серверов?

Есть ли другой альтернативный способ сохранить мои открытые ключи в сети?

Ответы:


81

Да, серверы ключей все еще существуют:

Люди обычно используют SKS, поскольку он состоит из множества серверов, которые непрерывно синхронизируют свои базы данных. Между тем, Global Directory - это один коммерческий сервер, который может выйти из строя в любое время; То же самое касается новых серверов ключей не-SKS.

Тем не менее, у SKS есть проблема с принятием чего-либо и хранением этого навсегда (так же, как блокчейн). Это вызывало проблемы в течение долгого времени, но в 2018–2019 годах стало массово подвергаться насилию. Новые серверы ключей не имеют синхронизации частично, потому что они хотят выяснить, как объединить противоположные цели.


Популярный pgp.mit.eduнаконец-то обновился до SKS и теперь является частью пула. Также существует множество других серверов ключей, не входящих в пул SKS (перечисленных на той же странице состояния). Сервер ключей по умолчанию для GnuPG, keys.gnupg.netтеперь также является псевдонимом для пула SKS.

Другой широко известный сервер неsubkeys.pgp.net является частью пула SKS, поскольку (AFAIK) он все еще использует очень старую версию PKS. (Это также, кажется, не работает, хотя веб-сайт работает.)


Если ваш адрес электронной почты принадлежит доменному имени, которым вы управляете (т. Е. Может иметь произвольные записи DNS), вы также можете опубликовать ваш ключ PGP с помощью DNS. Самый простой метод для этого - PKA, для которого требуется только возможность создавать записи TXT; см. статью о публикации ключей PGP в DNS .

PKA, а также два других метода (CERT и IPGP CERT), описаны в этом руководстве гораздо более подробно.

Недостатком всех трех методов является то, что GnuPG должен быть настроен вручную для их использования, а PGP.com даже не поддерживает использование DNS. Между тем, практически все версии PGP и GnuPG могут использовать серверы ключей.

Примечание: GnuPG 2.1.3 полностью изменил формат PKA (в смесь CERT и старого PKA).

Учитывая, что GnuPG сделал это в небольшом выпуске, не беспокоясь о обратной совместимости со старым форматом (на самом деле, старый формат использовался для прямого сбоя 2.1.x некоторое время спустя), мне больше не удобно предлагать публикацию pubkey в DNS , Это пустая трата времени. Используйте серверы ключей.


Когда я публикую ключ (который содержит private + public), он также публикует private ??? это не должно быть ...
Ройи Намир

1
@ grawity Я больше не пользуюсь PGP Global Directory из-за того, что многие ссылки возвращаются на symantec, а информация whois не возвращает никаких результатов, что меня очень беспокоит. Также безопасность SSL для PGP Global Directory тоже довольно плохая .
мегурояма

2
@meguroyama PGP использует свою собственную «сеть доверия» для проверки ключей, поэтому поддержка SSL на серверах ключей полезна только в целях конфиденциальности (чтобы скрыть, какие ключи вы получаете). Многим серверам ключей SKS все еще не хватает SSL, и хотя они медленно добавляют его, это не проблема безопасности.
grawity

1
Что касается информации WHOIS - вы также не знаете, кто управляет большинством серверов ключей SKS; и это тоже не имеет значения.
Гравитация

1
@meguroyama: Да, единственная проблема в том, что Глобальный каталог изолирован; он не обменивается ключами ни с чем другим. С другой стороны, все серверы ключей SKS синхронизируются друг с другом; если один выходит из строя, два десятка других продолжают работать.
Гравитация

3

Сегодня я столкнулся с той же проблемой и обнаружил, что не отвечал keyserver.pgp.com/и sks-keyservers.net/не отвечал мне своевременно.

Однако я обнаружил, что это keyserver.ubuntu.comсработало.


1
Вы должны использовать подмножество высокой доступности пула: ha.pool.sks-keyservers.net - добавление большего количества серверов ключей может снизить надежность, поскольку запрашиваются менее надежные серверы
Otto Allmendinger

2

ОБНОВЛЕНИЕ: в 2017 году вы можете рассмотреть возможность использования Keybase , социального подхода к проверке открытого ключа.

"Keybase - это бесплатное приложение с открытым исходным кодом для обеспечения безопасности. Это также общедоступный каталог людей.

Приложение Keybase помогает вам выполнять криптографически безопасные операции с людьми, которых вы знаете в Интернете: общение в чате, обмен файлами, даже публикация общедоступных документов ».


11
Но Keybase вообще не соблюдает систему открытого сервера ключей и фактически требует, чтобы пользователи хранили свои закрытые ключи в своей системе. Это как частный gpg, которому не стоит доверять, imho!
hopeseekr

2
Это известная проблема, которая не может быть исправлена ​​... github.com/keybase/keybase-issues/issues/160
hopeseekr

6
Он не помечен как исправление, и отправка PK в базу ключей является дополнительной функцией. См. Github.com/keybase/keybase-issues/issues/… и github.com/keybase/keybase-issues/issues/…
Гая,

2
Более того, blog.filippo.io/…
Gaia

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.