Onde fazer upload da chave pública PGP? Os KeyServers ainda estão sobrevivendo?

87

Quero fazer upload da minha chave pública PGP em um servidor público. Até o momento em que o PGP era uma organização independente, ouvi muito sobre os KeyServers, mas depois que a Symantec adquiriu o PGP, qual é o futuro desses servidores?

Existe outra maneira alternativa de manter minhas chaves públicas online?

RPK
fonte

Respostas:

81

Sim, ainda existem servidores de chaves:

  • Tanto o SKS Keyserver Pool (stats) quanto o PGP Global Directory ainda estão online. (Observe que o diretório global PGP não faz parte do pool.)

  • Novos servidores independentes estão aparecendo, como keys.openpgp.org . Eles não fazem parte do pool SKS e não são sincronizados entre si (pelo menos por enquanto).

As pessoas costumam usar o SKS, pois ele consiste em muitos servidores que sincronizam seus bancos de dados continuamente. Enquanto isso, o Global Directory é um servidor único, operado comercialmente, que pode ser desativado a qualquer momento; o mesmo vale para os novos servidores de chave não SKS.

No entanto, a SKS tem o problema de aceitar qualquer coisa e armazená-la para sempre (bem como uma blockchain). Isso causou problemas por um longo tempo, mas começou a ser abusado em massa em 2018–2019. Os novos servidores de chaves não têm sincronização em parte porque desejam descobrir como combinar objetivos opostos.


O popular pgp.mit.edufinalmente atualizou para o SKS e agora faz parte da piscina. Também existem vários outros servidores de chaves que não fazem parte do pool SKS (listados na mesma página de status). O servidor de chaves padrão para o GnuPG,, keys.gnupg.netagora também é um alias para o pool SKS.

Outro servidor amplamente conhecida, subkeys.pgp.neté não parte do pool de SKS desde (AFAIK) ainda dirige uma versão muito antiga do PKS vez. (Também parece estar inoperante, embora o site esteja ativo.)


Se o seu endereço de e-mail estiver no nome de domínio que você gerencia (por exemplo, pode haver registros DNS arbitrários criados), também é possível publicar sua chave PGP usando o DNS. O método mais fácil para isso é o PKA, que requer apenas a capacidade de criar registros TXT; consulte o artigo sobre a publicação de chaves PGP no DNS .

A PKA, bem como dois outros métodos (CERT e IPGP CERT), são descritos neste guia com muito mais detalhes.

Uma desvantagem dos três métodos é que o GnuPG deve ser configurado manualmente para usá-los, e o PGP.com nem mesmo suporta o DNS. Enquanto isso, praticamente todas as versões do PGP e GnuPG podem usar servidores de chaves.

Nota: O GnuPG 2.1.3 mudou completamente o formato PKA (em uma mistura de CERT e PKA antiga).

Dado que o GnuPG fez isso em uma versão menor sem se preocupar com a compatibilidade com o formato antigo (na verdade, o formato antigo costumava travar o 2.1.x por um tempo depois), não me sinto mais à vontade sugerindo a publicação pubkey no DNS . É uma perda de tempo. Use servidores de chaves.

gravidade
fonte
Quando publico uma chave (que contém private + public), ela também publica uma private ??? Não se deve ....
Royi Namir
1
@rawraw Não uso mais o PGP Global Directory devido a muitos dos links que retornam à symantec e as informações whois não retornam com nenhum resultado que me preocupa muito. Além disso, a segurança SSL do PGP Global Directory também é muito ruim .
meguroyama
2
O PGP do @meguroyama usa sua própria "Web de confiança" para verificar as chaves; portanto, o suporte a SSL nos servidores de chaves é útil apenas por razões de privacidade (para ocultar quais chaves você recupera). Muitos servidores de chaves SKS ainda não possuem o SSL completamente e, enquanto o estão adicionando lentamente, não é um problema de segurança.
grawity
1
Quanto às informações WHOIS - você também não sabe quem executa a maioria dos servidores de chave SKS; e isso também não importa.
grawity
1
@meguroyama: Certo - o único problema é que o Diretório Global está isolado; não troca chaves com mais nada. Por outro lado, todos os servidores de chaves SKS são sincronizados entre si; se um cai, outras duas dúzias continuam trabalhando.
grawity
3

Eu estava enfrentando o mesmo problema hoje e descobri que nem keyserver.pgp.com/nem sks-keyservers.net/me responderiam oportunamente.

No entanto, eu achei que keyserver.ubuntu.comfuncionou.

Murch
fonte
1
Você deve usar o subconjunto de alta disponibilidade do pool: ha.pool.sks-keyservers.net - adicionar mais servidores de chaves pode diminuir a confiabilidade porque os servidores menos confiáveis ​​são consultados
Otto Allmendinger
2

ATUALIZAÇÃO: em 2017, convém usar o Keybase , a Abordagem social para verificação de chave pública.

"O Keybase é um aplicativo de segurança de código aberto gratuito. Também é um diretório público de pessoas.

O aplicativo Keybase ajuda a executar operações criptograficamente seguras com pessoas conhecidas na Internet: bate-papo, compartilhamento de arquivos e até publicação de documentos públicos ".

Gaia
fonte
11
Mas o Keybase não respeita o sistema público de servidores de chaves e, de fato, exige que os usuários armazenem suas chaves privadas no sistema. É como um gpg proprietário, no qual não se deve confiar, imho!
hopeseekr
2
É um problema conhecido que não será corrigido ... github.com/keybase/keybase-issues/issues/160
hopeeekr
6
Não está marcado, não será corrigido, e o envio do PK para o keybase é um recurso opcional. Veja github.com/keybase/keybase-issues/issues/… e github.com/keybase/keybase-issues/issues/…
Gaia
2
além disso, blog.filippo.io/…
Gaia