Di mana untuk mengunggah kunci publik PGP? Apakah KeyServers masih bertahan?

87

Saya ingin mengunggah kunci publik PGP saya di server publik. Sampai saat PGP adalah organisasi independen, saya mendengar banyak tentang KeyServers, tetapi setelah Symantec mengakuisisi PGP, bagaimana masa depan server-server ini?

Apakah ada cara alternatif lain untuk menjaga kunci publik saya tetap online?

RPK
sumber

Jawaban:

81

Ya, server kunci masih ada:

Orang biasanya menggunakan SKS, karena terdiri dari banyak server yang menyinkronkan database mereka secara terus menerus. Sementara itu, Direktori Global adalah server tunggal yang dioperasikan secara komersial yang dapat turun kapan saja; hal yang sama berlaku untuk server kunci non-SKS baru.

Namun, SKS memiliki masalah dalam menerima apa pun dan menyimpannya selamanya (seperti blockchain). Ini telah menyebabkan masalah untuk waktu yang lama, tetapi mulai disalahgunakan secara besar-besaran pada tahun 2018-2019. Server kunci baru tidak memiliki sinkronisasi sebagian karena mereka ingin mengetahui cara menggabungkan tujuan yang berlawanan.


Populer pgp.mit.eduakhirnya ditingkatkan menjadi SKS dan sekarang menjadi bagian dari kolam. Di sana juga ada banyak server kunci lain yang bukan bagian dari kumpulan SKS (terdaftar di halaman status yang sama). Server kunci default untuk GnuPG,, keys.gnupg.netsekarang juga merupakan alias untuk kumpulan SKS.

Server lain yang dikenal luas subkeys.pgp.net,, bukan bagian dari kumpulan SKS karena (AFAIK) masih menjalankan versi PKS yang sangat lama. (Tampaknya juga down, meskipun situs webnya sudah habis.)


Jika alamat email Anda menggunakan nama domain yang Anda kelola (mis. Dapat membuat catatan DNS sewenang-wenang), Anda juga dapat menerbitkan kunci PGP Anda menggunakan DNS. Metode termudah untuk itu adalah PKA, yang hanya membutuhkan kemampuan untuk membuat catatan TXT; lihat artikel tentang penerbitan Kunci PGP di DNS .

PKA, serta dua metode lain (CERT dan IPGP CERT), dijelaskan dalam panduan ini secara lebih rinci.

Satu kelemahan dari ketiga metode ini adalah bahwa GnuPG harus dikonfigurasikan secara manual untuk menggunakannya, dan PGP.com bahkan tidak mendukung penggunaan DNS. Sementara itu, hampir semua versi PGP dan GnuPG dapat menggunakan server kunci.

Catatan: GnuPG 2.1.3 telah sepenuhnya mengubah format PKA (menjadi campuran CERT dan PKA lama).

Mengingat bahwa GnuPG melakukan ini dalam rilis kecil tanpa khawatir tentang kompatibilitas mundur dengan format lama (pada kenyataannya, format lama digunakan untuk crash langsung 2.1.x untuk sementara waktu sesudahnya), saya tidak lagi nyaman menyarankan publikasi pubkey dalam DNS . Buang-buang waktu. Gunakan server kunci.

grawity
sumber
Ketika saya menerbitkan kunci (yang berisi pribadi + publik), apakah itu juga menerbitkan pribadi ??? tidak boleh ....
Royi Namir
1
@grawity Saya tidak menggunakan Direktori Global PGP lagi karena banyak tautan yang kembali ke symantec dan informasi whois tidak kembali dengan hasil apa pun yang membuat saya sangat khawatir. Keamanan SSL untuk Direktori Global PGP juga sangat buruk .
meguroyama
2
@meguroyama PGP menggunakan "Web of trust" sendiri untuk memverifikasi kunci, sehingga dukungan SSL di server kunci hanya berguna untuk alasan privasi (untuk menyembunyikan kunci apa yang Anda ambil). Banyak server kunci SKS masih kekurangan SSL sepenuhnya, dan sementara mereka perlahan menambahkannya, itu bukan masalah keamanan.
grawity
1
Mengenai informasi WHOIS - Anda juga tidak tahu siapa yang menjalankan sebagian besar server kunci SKS; dan ini juga tidak masalah.
grawity
1
@meguroyama: Benar - satu-satunya masalah adalah Direktori Global terisolasi; itu tidak bertukar kunci dengan hal lain. Di sisi lain, semua server kunci SKS disinkronkan satu sama lain; jika satu turun, dua lusin lainnya terus bekerja.
grawity
3

Saya menghadapi masalah yang sama hari ini dan menemukan bahwa tidak ada keyserver.pgp.com/atau tidak sks-keyservers.net/akan membalas tepat waktu kepada saya.

Namun, saya menemukan itu keyserver.ubuntu.comberhasil.

Murch
sumber
1
Anda harus menggunakan subset ketersediaan tinggi dari kolam: ha.pool.sks-keyservers.net - menambahkan lebih banyak server kunci dapat menurunkan keandalan karena server yang kurang dapat diandalkan dipertanyakan
Otto Allmendinger
2

UPDATE: pada 2017 Anda mungkin ingin mempertimbangkan untuk menggunakan Keybase , Pendekatan Sosial untuk Verifikasi Kunci Publik.

"Keybase adalah aplikasi keamanan sumber terbuka gratis. Ini juga merupakan direktori publik orang.

Aplikasi Keybase membantu Anda melakukan operasi yang aman secara kriptografis dengan orang yang Anda kenal di Internet: mengobrol, berbagi file, bahkan menerbitkan dokumen publik. "

Gaia
sumber
11
Tetapi Keybase tidak mematuhi sistem server kunci publik sama sekali, dan pada kenyataannya, mengharuskan pengguna untuk menyimpan kunci pribadi mereka pada sistem mereka. Ini seperti gpg berpemilik, yang mana seharusnya tidak dipercaya, imho!
hopeseekr
2
Ini adalah masalah yang tidak akan diperbaiki ... github.com/keybase/keybase-issues/issues/160
hopeseekr
6
Itu tidak berlabel tidak akan memperbaiki, dan mengirim PK ke keybase adalah fitur opsional. Lihat github.com/keybase/keybase-issues/issues/… dan github.com/keybase/keybase-issues/issues/…
Gaia
2
selanjutnya, blog.filippo.io/...
Gaia