Nơi tải lên khóa công khai PGP? KeyServers vẫn còn sống?


87

Tôi muốn tải lên khóa công khai PGP của mình trên máy chủ công cộng. Cho đến khi PGP là một tổ chức độc lập, tôi đã nghe nhiều về KeyServers, nhưng sau khi Symantec mua lại PGP, tương lai của các máy chủ này là gì?

Có cách nào khác để giữ khóa công khai của tôi trực tuyến không?

Câu trả lời:


81

Có, keyervers vẫn tồn tại:

  • Cả SKS Keyserver Pool (số liệu thống kê)PGP Global Directory vẫn đang trực tuyến. (Lưu ý rằng Thư mục Toàn cầu PGP không phải là một phần của nhóm.)

  • Các máy chủ độc lập mới đang hiển thị, chẳng hạn như Keys.openpgp.org . Chúng không phải là một phần của nhóm SKS và không đồng bộ hóa với nhau (ít nhất là bây giờ).

Mọi người thường sử dụng SKS, vì nó bao gồm nhiều máy chủ đồng bộ hóa dữ liệu của họ liên tục. Trong khi đó, Global Directory là một máy chủ vận hành thương mại duy nhất có thể ngừng hoạt động bất cứ lúc nào; điều tương tự cũng xảy ra với các trình điều khiển không SKS mới.

Tuy nhiên, SKS có vấn đề chấp nhận bất cứ điều gì và lưu trữ nó mãi mãi (giống như một blockchain). Điều này đã gây ra vấn đề trong một thời gian dài, nhưng bắt đầu bị lạm dụng ồ ạt vào năm 2018. Các trình điều khiển khóa mới không đồng bộ hóa một phần vì họ muốn tìm ra cách kết hợp các mục tiêu đối lập.


Phổ biến pgp.mit.educuối cùng đã nâng cấp lên SKS và bây giờ là một phần của hồ bơi. Ngoài ra còn tồn tại một loạt các khóa khác không thuộc nhóm SKS (được liệt kê trong cùng trang trạng thái). Máy chủ khóa mặc định cho GnuPG, keys.gnupg.netgiờ đây cũng là bí danh cho nhóm SKS.

Một máy chủ được biết đến rộng rãi khác subkeys.pgp.net, không phải là một phần của nhóm SKS vì (AFAIK) nó vẫn chạy một phiên bản PKS rất cũ thay thế. (Nó dường như cũng ngừng hoạt động, mặc dù trang web đã hoạt động.)


Nếu địa chỉ email của bạn nằm ở một tên miền mà bạn quản lý (nghĩa là có thể có các bản ghi DNS tùy ý được tạo), bạn cũng có thể xuất bản khóa PGP của mình bằng DNS. Phương pháp đơn giản nhất cho điều đó là PKA, chỉ yêu cầu khả năng tạo bản ghi TXT; xem bài viết về xuất bản Khóa PGP trong DNS .

PKA, cũng như hai phương pháp khác (CERT và IPGP CERT), được mô tả trong hướng dẫn này chi tiết hơn nhiều.

Một nhược điểm của cả ba phương pháp là GnuPG phải được cấu hình thủ công để sử dụng chúng và PGP.com thậm chí không hỗ trợ sử dụng DNS. Trong khi đó, thực tế tất cả các phiên bản PGP và GnuPG đều có thể sử dụng bàn phím.

Lưu ý: GnuPG 2.1.3 đã thay đổi hoàn toàn định dạng PKA (thành hỗn hợp CERT và PKA cũ).

Cho rằng GnuPG đã làm điều này trong một bản phát hành nhỏ mà không phải lo lắng về khả năng tương thích ngược với định dạng cũ (thực tế, định dạng cũ được sử dụng để khắc phục sự cố 2.1.x trong một thời gian sau đó), tôi không còn thoải mái đề xuất xuất bản pubkey trong DNS . Thật là phí thời gian. Sử dụng bàn phím.


Khi tôi xuất bản một khóa (có chứa riêng tư + công khai), nó cũng xuất bản một khóa riêng tư ??? không được ....
Royi Namir

1
@grawity Tôi không sử dụng PGP Global Directory nữa do nhiều liên kết quay trở lại symantec và thông tin whois không trả về bất kỳ kết quả nào làm tôi lo lắng rất nhiều. Ngoài ra, bảo mật SSL cho PGP Global Directory cũng khá tệ .
meguroyama

2
@meguroyama PGP sử dụng "Web tin cậy" của riêng mình để xác minh các khóa, vì vậy hỗ trợ SSL trong trình điều khiển khóa chỉ hữu ích vì lý do riêng tư (để ẩn những khóa bạn lấy). Nhiều trình điều khiển SKS vẫn thiếu SSL hoàn toàn và trong khi họ đang dần thêm nó, đó không phải là vấn đề bảo mật.
grawity

1
Đối với thông tin WHOIS - bạn cũng không biết ai điều hành hầu hết các trình điều khiển SKS; và điều này cũng không thành vấn đề.
grawity

1
@meguroyama: Phải - vấn đề duy nhất là Thư mục Toàn cầu bị cô lập; nó không trao đổi khóa với bất cứ thứ gì khác. Mặt khác, tất cả các khóa phím SKS đồng bộ với nhau; nếu một người đi xuống, hai chục người khác tiếp tục làm việc.
grawity

2

CẬP NHẬT: năm 2017 bạn có thể muốn xem xét sử dụng Keybase , Phương pháp tiếp cận xã hội để xác minh khóa công khai.

"Keybase là một ứng dụng bảo mật nguồn mở, miễn phí. Đây cũng là một thư mục chung của mọi người.

Ứng dụng Keybase giúp bạn thực hiện các hoạt động bảo mật bằng mật mã với những người bạn biết trên Internet: trò chuyện, chia sẻ tệp, thậm chí xuất bản các tài liệu công khai. "


11
Nhưng Keybase hoàn toàn không tuân thủ hệ thống máy chủ khóa công cộng và trên thực tế, yêu cầu người dùng lưu trữ khóa riêng trên hệ thống của họ. Nó giống như gpg độc quyền, thứ mà người ta không nên tin tưởng, imho!
Hopeeekr

2
Đây là sự cố không được sửa chữa đã biết ... github.com/keybase/keybase-issues/issues/160
Hopeeekr

6
Nó không được dán nhãn sẽ không sửa chữa và gửi PK đến cơ sở khóa là một tính năng tùy chọn. Xem github.com/keybase/keybase-issues/issues/ , và github.com/keybase/keybase-issues/issues/ trộm
Gaia

2
hơn nữa, blog.filippo.io/ (
Gaia


2

Tôi đã phải đối mặt với cùng một vấn đề ngày hôm nay và thấy rằng cả hai keyserver.pgp.com/cũng không sks-keyservers.net/trả lời kịp thời cho tôi.

Tuy nhiên, tôi thấy rằng keyserver.ubuntu.comđã làm việc.


1
Bạn nên sử dụng tập hợp con có tính sẵn sàng cao của nhóm: ha.pool.sks-keyservers.net - thêm nhiều bộ khóa có thể làm giảm độ tin cậy vì các máy chủ kém tin cậy hơn được truy vấn
Otto Allmendinger
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.