จะอัพโหลดกุญแจสาธารณะของ PGP ได้ที่ไหน KeyServers ยังคงอยู่รอดได้หรือไม่?


87

ฉันต้องการอัปโหลดคีย์สาธารณะ PGP ของฉันบนเซิร์ฟเวอร์สาธารณะ จนถึงเวลาที่ PGP เป็นองค์กรอิสระฉันได้ยินมามากมายเกี่ยวกับ KeyServers แต่หลังจากที่ไซแมนเทคได้รับ PGP แล้วอนาคตของเซิร์ฟเวอร์เหล่านี้คืออะไร?

มีวิธีอื่นในการทำให้กุญแจสาธารณะของฉันออนไลน์อยู่หรือไม่?

คำตอบ:


81

ใช่ช่างกุญแจยังคงมีอยู่:

  • ทั้งSKS Keyserver Pool (stats)และPGP Global Directoryยังคงออนไลน์อยู่ (โปรดทราบว่า PGP Global Directory ไม่ได้เป็นส่วนหนึ่งของกลุ่ม)

  • เซิร์ฟเวอร์แบบสแตนด์อโลนใหม่จะปรากฏขึ้นเช่นkeys.openpgp.org พวกเขาไม่ได้เป็นส่วนหนึ่งของพูล SKS และไม่ซิงโครไนซ์ซึ่งกันและกัน (อย่างน้อยก็ตอนนี้)

คนมักจะใช้ SKS เนื่องจากประกอบด้วยเซิร์ฟเวอร์จำนวนมากที่ซิงโครไนซ์ข้อมูลของพวกเขาอย่างต่อเนื่อง ในขณะเดียวกัน Global Directory เป็นเซิร์ฟเวอร์เดียวที่ดำเนินการในเชิงพาณิชย์ซึ่งอาจลดลงได้ทุกเวลา เช่นเดียวกันสำหรับผู้ที่ไม่ใช่ SKS keyservers ใหม่

อย่างไรก็ตาม SKS มีปัญหาในการยอมรับสิ่งต่าง ๆและเก็บไว้ตลอดกาล (เช่นบล็อกเชน) สิ่งนี้ทำให้เกิดปัญหามาเป็นเวลานาน แต่เริ่มถูกทารุณกรรมอย่างมากมายในปี 2561-2562 Keyservers ใหม่ไม่มีการซิงโครไนซ์ส่วนหนึ่งเพราะพวกเขาต้องการหาวิธีรวมเป้าหมายที่ตรงข้ามกัน


ความนิยมpgp.mit.eduได้รับการอัพเกรดเป็น SKS และในที่สุดก็กลายเป็นส่วนหนึ่งของกลุ่ม นอกจากนี้ยังมีเซิร์ฟเวอร์อื่น ๆ จำนวนมากที่ไม่ได้เป็นส่วนหนึ่งของพูล SKS (อยู่ในหน้าสถานะเดียวกัน) keyserver เริ่มต้นสำหรับ GnuPG keys.gnupg.netปัจจุบันเป็นนามแฝงของกลุ่ม SKS เช่นกัน

อีกเซิร์ฟเวอร์ที่รู้จักกันอย่างกว้างขวางsubkeys.pgp.netคือไม่ได้เป็นส่วนหนึ่งของสระว่ายน้ำตั้งแต่ SKS (AFAIK) ก็ยังคงทำงานรุ่นเก่ามาก PKS แทน (ดูเหมือนว่าจะลงแม้ว่าเว็บไซต์จะขึ้น)


หากที่อยู่อีเมลของคุณเป็นชื่อโดเมนที่คุณจัดการ (เช่นสามารถสร้างระเบียน DNS โดยพลการ) คุณสามารถเผยแพร่คีย์ PGP ของคุณโดยใช้ DNS วิธีที่ง่ายที่สุดสำหรับนั่นคือ PKA ซึ่งต้องการเพียงความสามารถในการสร้างระเบียน TXT เท่านั้น ดูบทความเผยแพร่ PGP คีย์ในการ DNS

PKA รวมถึงสองวิธีอื่น ๆ (CERT และ IPGP CERT) ได้อธิบายไว้ในคู่มือนี้โดยละเอียดยิ่งขึ้น

ข้อเสียอย่างหนึ่งของทั้งสามวิธีคือ GnuPG ต้องกำหนดค่าด้วยตนเองเพื่อใช้งานและ PGP.com ไม่สนับสนุนแม้แต่การใช้ DNS ในขณะเดียวกันจริง ๆ แล้วทุกรุ่นของ PGP และ GnuPG สามารถใช้ keyservers ได้

หมายเหตุ: GnuPG 2.1.3 มีการเปลี่ยนแปลงรูปแบบ PKA (เป็นการผสมผสานระหว่าง CERT และ PKA แบบเก่า)

เนื่องจาก GnuPG ทำสิ่งนี้ในรุ่นย่อยโดยไม่ต้องกังวลเกี่ยวกับความเข้ากันได้กับรูปแบบเก่า (ในความเป็นจริงรูปแบบเก่าที่ใช้ในการชนทันที 2.1.x ในภายหลังหลังจากนั้น) ฉันไม่สบายใจที่จะแนะนำสิ่งพิมพ์ pubkey ใน DNS . มันเสียเวลา ใช้ keyservers


เมื่อฉันเผยแพร่คีย์ (ซึ่งมีไพรเวต + สาธารณะ) มันจะประกาศไพรเวตด้วยหรือไม่? จะต้องไม่ ....
Royi Namir

1
@grawity ฉันไม่ได้ใช้ PGP Global Directory อีกต่อไปเนื่องจากมีลิงก์จำนวนมากที่ย้ายกลับไปที่ไซแมนเทคและข้อมูล whois ไม่ได้กลับมาพร้อมกับผลลัพธ์ใด ๆ ที่ทำให้ฉันกังวลมาก ความปลอดภัย SSL สำหรับ PGP Global Directory ก็ไม่ดีเช่นกัน
meguroyama

2
@meguroyama PGP ใช้ "Web of trust" ของตนเองในการตรวจสอบคีย์ดังนั้นการสนับสนุน SSL ใน keyservers จะมีประโยชน์สำหรับเหตุผลด้านความเป็นส่วนตัวเท่านั้น (เพื่อซ่อนสิ่งที่คุณเรียกใช้คีย์) Keyservers SKS หลายคนยังขาด SSL อย่างสมบูรณ์และในขณะที่พวกเขากำลังเพิ่มช้าๆมันก็ไม่ใช่ปัญหาด้านความปลอดภัย
grawity

1
สำหรับข้อมูล WHOIS คุณไม่ทราบว่าใครเป็นผู้ดำเนินการ keyservers SKS ส่วนใหญ่เช่นกัน และสิ่งนี้ก็ไม่สำคัญเช่นกัน
grawity

1
@meguroyama: ถูกต้อง - ปัญหาเดียวคือว่า Global Directory ถูกแยกออก มันไม่ได้แลกเปลี่ยนกุญแจกับสิ่งอื่นใด ในทางกลับกัน SKS keyservers ทั้งหมดจะซิงค์กัน ถ้ามีใครลงไปอีกสองโหลก็ยังทำงานต่อไปได้
grawity

2

UPDATE: ในปี 2560 คุณอาจต้องการใช้Keybaseซึ่งเป็น Social Approach ถึง Public Key Verification

"Keybase เป็นแอพรักษาความปลอดภัยโอเพนซอร์ซฟรีและยังเป็นไดเรกทอรีสาธารณะของผู้คน

แอพพลิเคชั่น Keybase ช่วยให้คุณดำเนินการรักษาความปลอดภัยด้วยการเข้ารหัสกับคนที่คุณรู้จักบนอินเทอร์เน็ต: การแชทการแชร์ไฟล์หรือแม้แต่การเผยแพร่เอกสารสาธารณะ "


11
แต่ Keybase ไม่ได้ปฏิบัติตามระบบกุญแจสาธารณะเลย แต่ที่จริงแล้วผู้ใช้ต้องเก็บกุญแจส่วนตัวไว้ในระบบ มันเหมือนกับ gpg ที่เป็นกรรมสิทธิ์ซึ่งคนเราไม่ควรเชื่อถือ imho!
Hopeeekr

2
มันเป็นปัญหาที่ทราบกันไม่ได้แก้ไข ... github.com/keybase/keybase-issues/issues/160
hopeeekr

6
มันไม่ได้ระบุว่าจะไม่แก้ไขและการส่ง PK ไปยัง keybase เป็นคุณสมบัติเพิ่มเติม ดูgithub.com/keybase/keybase-issues/issues/ …และgithub.com/keybase/keybase-issues/issues/…
Gaia

2
นอกจากนี้blog.filippo.io/…
Gaia


2

ฉันกำลังเผชิญปัญหาเดียวกันในวันนี้และพบว่าค่าkeyserver.pgp.com/มิได้sks-keyservers.net/จะตอบในเวลาที่เหมาะสมกับผม

อย่างไรก็ตามฉันพบว่าใช้keyserver.ubuntu.comงานได้


1
คุณควรใช้ชุดย่อยที่มีความพร้อมใช้งานสูงของพูล: ha.pool.sks-keyservers.net - การเพิ่ม keyservers เพิ่มเติมสามารถลดความน่าเชื่อถือได้เนื่องจากเซิร์ฟเวอร์ที่เชื่อถือได้น้อยลงจึงถูกสอบถาม
Otto Allmendinger
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.