PGP ortak anahtarını nereye yükleyebilirim? KeyServers hala hayatta mı?


87

PGP ortak anahtarımı ortak bir sunucuya yüklemek istiyorum. PGP bağımsız bir organizasyon olana kadar KeyServer'lar hakkında çok şey duydum, ancak Symantec PGP'yi edindikten sonra, bu sunucuların geleceği nedir?

Genel anahtarlarımın çevrimiçi olmasını sağlamanın başka bir yolu var mı?

Yanıtlar:


81

Evet, anahtar sunucular hala var:

İnsanlar genellikle SKS'yi kullanır, çünkü veritabanlarını sürekli olarak senkronize eden birçok sunucudan oluşur . Bu arada, Global Directory, herhangi bir zamanda çökebilecek, ticari olarak işletilen tek bir sunucudur; aynı şey SKS olmayan yeni anahtar koruyucular için de geçerli.

Bununla birlikte, SKS bir şeyi kabul etme ve onu sonsuza kadar saklama (bir blok zinciri gibi) sorununa sahiptir . Bu, uzun süredir sorunlara neden olmuş, ancak 2018-2019'da büyük ölçüde istismara uğramaya başlamıştır. Yeni anahtar sunucuların kısmen senkronizasyonu yok çünkü rakip hedeflerin nasıl birleştirileceğini bulmak istiyorlar.


Popüler pgp.mit.edunihayet SKS'ye yükseldi ve şimdi havuzun bir parçası. Aynı zamanda SKS havuzunun bir parçası olmayan diğer bir takım anahtara da var (aynı durum sayfasında listeleniyor). GnuPG için varsayılan anahtar sunucusu keys.gnupg.net, artık SKS havuzunun bir diğer adıdır.

Başka yaygın olarak bilinen sunucu, subkeys.pgp.netolduğu değil hala yerine PKS çok eski bir sürümünü çalıştıran (afaik) beri SKS havuzunun parçası. ( Web sitesi yukarı olmasına rağmen aynı zamanda kapalı gibi görünüyor .)


E-posta adresiniz yönettiğiniz bir alan adındaysa (yani, rastgele DNS kayıtları oluşturmuş olabilir), PGP anahtarınızı DNS kullanarak yayınlamak da mümkündür. Bunun için en kolay yöntem, yalnızca TXT kayıtları oluşturma yeteneğini gerektiren PKA'dır; DNS’de PGP Anahtarlarının yayınlanması ile ilgili makaleye bakın .

PKA'nın yanı sıra diğer iki yöntem (CERT ve IPGP CERT) bu kılavuzda çok daha ayrıntılı olarak açıklanmaktadır.

Her üç yöntemin dezavantajı, GnuPG'nin bunları kullanmak için manuel olarak yapılandırılması gerektiği ve PGP.com'un DNS kullanımını desteklemediğidir. Bu arada, pratikte tüm PGP ve GnuPG sürümleri keyservers kullanabilir.

Not: GnuPG 2.1.3, PKA formatını tamamen değiştirmiştir (CERT ve eski PKA'nın bir karışımı halinde).

GnuPG'nin küçük bir sürümde, eski formatla geriye dönük uyumluluk endişesi olmadan (aslında eski format 2.1.x'in kazasında düpedüz kullanılan eski format) yapıldığını göz önüne alındığında, artık DNS’de pubkey yayınlanmasını tavsiye etmiyorum. . Bu zaman kaybı. Anahtar sunucularını kullanın.


Bir anahtar yayınladığımda (özel + genel içeren), aynı zamanda bir özel yayın mı ??? yapmamalı ....
Royi Namir 23:12

1
@grawity Symantec'e geri dönen bağlantıların birçoğundan dolayı artık PGP Global Directory kullanmıyorum ve whois bilgileri beni çok endişelendiren sonuçlarla geri dönmüyor. Ayrıca PGP Global Directory için SSL güvenliği de oldukça kötü .
meguroyama

2
@meguroyama PGP, anahtarları doğrulamak için kendi "güven ağı" nı kullanır; bu nedenle, anahtar sunucularındaki SSL desteği yalnızca gizlilik nedenleriyle (hangi anahtarları aldığınızı gizlemek için) kullanışlıdır. Birçok SKS anahtar sunucusu hala tamamen SSL'den yoksundur ve yavaş yavaş eklerken, bu bir güvenlik sorunu değildir.
Grawity

1
WHOIS bilgisine gelince - çoğu SKS anahtar sunucusunu kimin çalıştığını da bilmiyorsunuz; ve bu da önemli değil.
Grawity

1
@ meguroyama: Doğru - tek sorun, Global Directory'nin izole edilmiş olmasıdır; başka hiçbir şey ile anahtar değişimi yapmaz. Öte yandan, tüm SKS anahtar sunucuları birbiriyle eşitlenir; biri düşerse, iki düzine diğerleri çalışmaya devam eder.
Grawity

2

GÜNCELLEME: 2017'de , Genel Anahtar Doğrulamaya Sosyal Yaklaşım Keybase'i kullanmayı düşünebilirsiniz .

"Keybase ücretsiz, açık kaynaklı bir güvenlik uygulamasıdır. Aynı zamanda halka açık bir rehberdir.

Keybase uygulaması, Internet'te tanıdığınız kişilerle kriptografik olarak güvenli işlemleri gerçekleştirmenize yardımcı olur: sohbet, dosya paylaşımı, hatta genel belgeleri yayınlamak. "


11
Ancak Keybase, kamuya açık anahtar sunucusu sistemine hiç uymuyor ve aslında kullanıcıların kendi özel anahtarlarını sistemlerinde saklamasını gerektiriyor. Birinin güvenmemesi gereken tescilli gpg gibi, imho!
hopeseekr

2
Bilinen bir sorun çözülmedi
hopeseekr

6
Etiketlenmedi düzeltilmeyecek ve PK'yi üsse göndermek isteğe bağlı bir özelliktir. Bakınız github.com/keybase/keybase-issues/issues/… ve github.com/keybase/keybase-issues/issues/…
Gaia



2

Bugün aynı sorunla karşı karşıyaydım ve ne keyserver.pgp.com/de sks-keyservers.net/bana zamanında cevap vermeyeceğini buldum .

Ancak bunun keyserver.ubuntu.comişe yaradığını buldum .


1
Havuzun yüksek kullanılabilirliğini gösteren alt kümesini kullanmanız gerekir: ha.pool.sks-keyservers.net - daha fazla anahtar sunucusu eklemek güvenilirliği azaltabilir çünkü daha az güvenilir sunucu sorgulanır
Otto Allmendinger
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.