Dove caricare la chiave pubblica PGP? I KeyServer sopravvivono ancora?


87

Voglio caricare la mia chiave pubblica PGP su un server pubblico. Fino a quando PGP era un'organizzazione indipendente, ho sentito molto parlare dei KeyServer, ma dopo che Symantec ha acquisito PGP, qual è il futuro di questi server?

Esiste un altro modo alternativo per mantenere le mie chiavi pubbliche online?

Risposte:


81

Sì, esistono ancora server di chiavi:

Le persone di solito usano SKS, dal momento che è costituito da molti server che sincronizzano continuamente i loro database. Nel frattempo, Global Directory è un singolo server gestito commercialmente che potrebbe non funzionare in qualsiasi momento; lo stesso vale per i nuovi keyserver non SKS.

Tuttavia, SKS ha il problema di accettare qualcosa e conservarlo per sempre (proprio come una blockchain). Ciò ha causato problemi per molto tempo, ma ha iniziato a subire violenti abusi nel 2018-2019. I nuovi server di chiavi non hanno la sincronizzazione in parte perché vogliono capire come combinare obiettivi opposti.


Il popolare pgp.mit.eduè finalmente passato a SKS ed è ora parte del pool. Esistono anche molti altri server di chiavi che non fanno parte del pool SKS (elencati nella stessa pagina di stato). Il keyserver predefinito per GnuPG, keys.gnupg.netora è anche un alias del pool SKS.

Un altro server noto, subkeys.pgp.netè non è parte del pool SKS dal momento che (per quanto ne so) si corre ancora una versione molto vecchia di PKS invece. (Sembra anche essere inattivo, anche se il sito Web è attivo.)


Se il tuo indirizzo e-mail si trova su un nome di dominio che gestisci (ovvero può avere record DNS arbitrari creati), è anche possibile pubblicare la chiave PGP tramite DNS. Il metodo più semplice per questo è PKA, che richiede solo la possibilità di creare record TXT; vedere l'articolo sulla pubblicazione delle chiavi PGP nel DNS .

PKA, così come altri due metodi (CERT e IPGP CERT), sono descritti in questa guida in modo molto più dettagliato.

Un aspetto negativo di tutti e tre i metodi è che GnuPG deve essere configurato manualmente per usarli e PGP.com non supporta nemmeno l'utilizzo del DNS. Nel frattempo, praticamente tutte le versioni di PGP e GnuPG possono utilizzare i server di chiavi.

Nota: GnuPG 2.1.3 ha completamente cambiato il formato PKA (in un mix di CERT e PKA precedente).

Dato che GnuPG lo ha fatto in una versione minore senza preoccuparsi della retrocompatibilità con il vecchio formato (in effetti, il vecchio formato usato per bloccare in modo definitivo 2.1.x per un po 'di tempo dopo), non mi sento più a mio agio a suggerire la pubblicazione pubkey in DNS . È una perdita di tempo. Usa i keyserver.


Quando pubblico una chiave (che contiene private + public), pubblica anche una private ??? non deve ...
Royi Namir il

1
@grawity Non utilizzo più PGP Global Directory a causa di molti dei collegamenti che ritornano a Symantec e le informazioni whois non restituiscono con alcun risultato che mi preoccupa molto. Anche la sicurezza SSL per PGP Global Directory è piuttosto male .
Meguroyama,

2
@meguroyama PGP utilizza la propria "Web di fiducia" per la verifica delle chiavi, quindi il supporto SSL nei server di chiavi è utile solo per motivi di privacy (per nascondere le chiavi recuperate). Molti server di chiavi SKS mancano ancora completamente di SSL e, sebbene lo stiano lentamente aggiungendo, non è un problema di sicurezza.
Grawity

1
Per quanto riguarda le informazioni WHOIS, non sai neanche chi gestisce la maggior parte dei server di chiavi SKS; e anche questo non ha importanza.
Grawity

1
@meguroyama: Giusto - l'unico problema è che la Global Directory è isolata; non scambia le chiavi con nient'altro. D'altra parte, tutti i server di chiavi SKS si sincronizzano tra loro; se uno scende, altre due dozzine continuano a funzionare.
Grawity

3

Ero di fronte lo stesso problema di oggi e ha scoperto che né keyserver.pgp.com/sks-keyservers.net/avrebbe risposto tempestivamente a me.

Tuttavia, ho scoperto che ha keyserver.ubuntu.comfunzionato.


1
Dovresti usare il sottoinsieme ad alta disponibilità del pool: ha.pool.sks-keyservers.net - l'aggiunta di più server di chiavi può ridurre l'affidabilità perché vengono interrogati server meno affidabili
Otto Allmendinger

2

AGGIORNAMENTO: nel 2017 potresti prendere in considerazione l'utilizzo di Keybase , l'approccio sociale alla verifica della chiave pubblica.

"Keybase è un'app di sicurezza gratuita e open source. È anche una directory pubblica di persone.

L'app Keybase ti aiuta a eseguire operazioni crittograficamente sicure con persone che conosci su Internet: chat, condivisione di file e persino pubblicazione di documenti pubblici ".


11
Ma Keybase non rispetta affatto il sistema di keyserver pubblico e, di fatto, richiede agli utenti di memorizzare le proprie chiavi private sul proprio sistema. È come gpg proprietario, di cui non ci si dovrebbe fidare, imho!
hopeseekr,

2
È un problema noto che non
verrà

6
Non è etichettato non risolto, e l'invio del PK al keybase è una funzione opzionale. Vedi github.com/keybase/keybase-issues/issues/… e github.com/keybase/keybase-issues/issues/…
Gaia


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.