it-swarm-eu.dev

Jak mám distribuovat svůj veřejný klíč?

Právě jsem začal používat GPG a vytvořil veřejný klíč. Je to zbytečné, pokud o tom nikdo neví. Jak to mám distribuovat? Měl bych to zveřejnit na svém profilu na Facebooku a LinkedIn? A co můj blog? Jaká jsou rizika?

193

Nejlepší způsob, jak distribuovat svůj klíč, je pomocí jednoho z klíčových serverů, které jsou k dispozici, například keyserver.ubuntu.com , pgp.mit.ed nebo keyserver.pgp.com .

Pokud použijete Seahorse (výchozí správce klíčů v Ubuntu), automaticky synchronizuje vaše klíče s jedním z těchto serverů. Uživatelé pak mohou vyhledat váš klíč pomocí vaší e-mailové adresy nebo identifikátoru.

Pokud jste chtěli zveřejnit svůj veřejný klíč na LinkedIn nebo na svém blogu, můžete jej buď nahrát na server, nebo pouze odkazovat na stránku s vaším klíčem na jednom z výše uvedených serverů klíčů. Osobně bych to nahrál na jeden z klíčových serverů a odkazoval jsem na něj, protože je snazší udržovat ho na jednom místě aktuální, místo aby měl soubor na spoustě různých umístění. Můžete také sdílet svůj keyid s lidmi a oni pak mohou přijmout váš klíč pomocí gpg --recv-keys.

Pokud jste chtěli zveřejnit svůj veřejný klíč na Facebooku, existuje pole pro jeho vložení do sekce Kontaktní informace vašeho profilu. Můžete také změnit nastavení zabezpečení na Facebooku a použít stejný veřejný klíč k zašifrování e-mailů pro vás.

Například zde je můj veřejný klíč .

Podle mého vědomí neexistují žádná rizika spojená s publikováním vašeho veřejného klíče.

107
Mark Davidson

Zveřejněním veřejného klíče způsobem, který jste popsali, a @Mark neexistuje žádné riziko odhalení vašeho soukromého klíče nebo zneplatnění veřejného klíče. Jak již bylo uvedeno, @pboin je navržen tak, aby byl k dispozici světu.

Existuje však i další problém ... Jedním z hlavních účelů, které mají a zveřejňují váš veřejný klíč (ve skutečnosti je to pravděpodobně HLAVNÍ účel), je ověřit se před ostatními uživateli, umožnit jim ověřit pravost každého zprávy nebo data, která podepisujete, a chráňte/šifrujte data pouze pro vaše oči.
Ale jak by tito uživatelé věděli, že je to opravdu váš veřejný klíč? Pokud například chci poslat soukromou zprávu společnosti @Mark Davidson pomocí svého publikovaného klíče na http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE493B06DD070AFC8 , Jak vím, že to byl [~ # ~] skutečný [~ # ~] Mark Davidson, který publikoval ten klíč nebo že mě tam ukázal?
Bylo by pro mě triviální zveřejnit svůj veřejný klíč OWN, a to buď na stránkách mit.edu, na LinkedIn, Facebook atd., A jednoduše si říkat Bill Clinton (nebo Bill Gates). Jak jsi mohl vědět něco jiného?
Navíc, pokud nějak Vím, že je to opravdu ta pravá osoba (např. Chci kontaktovat anonymního bloggera, přes pk zveřejněný na jeho blogu - je mi jedno, kdo on vlastně je vlastník webu - a tedy vydavatel pk - správná osoba) - co je zárukou toho, že veřejný klíč nebyl na cestě neoprávněně manipulován? Všechny dosud zmíněné odkazy a weby (ok, s výjimkou klíčového serveru PGP) jsou HTTP - tj. Žádná ochrana kanálu, tj. Lze snadno změnit mezi serverem a prohlížečem.

Při použití modelu X.509/PKI je vždy někdo důvěryhodný, který se za vás ručí. Např. známá certifikační autorita (důvěryhodná, protože dodavatelé prohlížečů je zkontrolovali a přidali svůj kořenový certifikát do důvěryhodného kořenového úložiště v prohlížeči) ověřili vaši totožnost a podepsali svůj veřejný klíč/certifikát. Každý, kdo vás chce ověřit, je tím, kdo říkáte, že jste, může jednoduše zkontrolovat podpis a poté zkontrolovat totožnost toho, kdo se za vás váží (a pak opakovat, dokud nenajde známou důvěryhodnou kořenovou CA).

V modelu PGP je však obvykle ne centrální, důvěryhodné oprávnění (ačkoli to současné verze umožňují). Místo toho je PGP založen na modelu důvěryhodnosti, kde pokud někomu důvěřujete, mohou se na ně obrátit za identitu někoho jiného.

Bez ohledu na to, že pouhý veřejný klíč tam nikomu nepomůže ověřit vaši totožnost, ani nezajistí, že zašifrované zprávy bude moci zobrazit pouze správná osoba.

Co můžeš udělat:

  • Zveřejněte svůj veřejný klíč, stejně jako vy a @ Mark, - ale poté poskytněte veřejný klíč token (v zásadě hash veřejného klíče, jako otisk prstu) prostřednictvím zabezpečeného kanálu. Např. to je nyní dost krátké na to, abych si přečetl telefon, pokud vás zná osobně ... Dokonce jsem viděl někoho, jak vložil svůj token pk na svou vizitku, rozdal konferenci (připustil, že to byl od prodejce).
  • Začněte podepisovat své e-maily a poté ověřte příjemci, že se jedná o váš podpis prostřednictvím kanálu mimo pásmo (např. Telefonicky nebo osobně ([zalapání !!))
  • Zkomplikujte situaci, získejte standardní X.509 cert a implementujte SSL (nejlépe EV) na svůj web, pak si kdokoli může stáhnout váš pk v bezpečí s vědomím, že to přišlo od toho, kdo vlastní dané doménové jméno ... (Dobře, možná to funguje lepší pro velké společnosti ...)
    Podívejte se, jak Microsoft dělá ...

Aaaaall, že stranou, opravdu záleží na tom, k čemu je tento pk určen - jestli je to jen na wow vaší matce, pak se tím vším nevadí :)
Na druhé straně, pokud máte opravdu citlivou komunikaci nebo s klienty citlivými na bezpečnost, pak všechny výše uvedené je důležité ...

79
AviD

Obecným řešením je nahrát na keyserver . Dalším dobrým nápadem může být zadání na Biglumber . To pomáhá dostat se do kontaktu s ostatními lidmi a možná podepsat si navzájem klíče.

Dále byste se měli podívat do své schránky a hledat kontakty, které již podepisují své e-maily. Mohli byste jim poslat neformální poštu, že máte klíč a nasměrujte je na zdroj.

Blogový příspěvek o vašem klíči je také v pořádku. Měli byste poskytnout odkaz ke stažení klíče.

Pokud ve své poště používáte podpisy, můžete ukázat na svůj nový klíč a samozřejmě podepsat každou poštu.

Připomeňte, že po nahrání na klíčový server (a mezi nimi distribuovaný) nemůžete svůj klíč odstranit. Samozřejmě to můžete zrušit. Dále se předpokládá, že spammeři hledají tyto e-mailové adresy a zasílají vám nějaké „pěkné nabídky“. Když uděláte klíčové podpisy a nahrajete nové podpisy, podpis odhalí, kde jste byli k určitému datu.

27
qbi

Uvědomte si, že jakákoli e-mailová adresa na vašem klíči bude zobrazena na veřejných webových rozhraních. Na e-mail na svém klíči dostávám hodně nevyžádané pošty, takže na klíč neuvedl svou současnou e-mailovou adresu.

11
allo

Jednoduchá odpověď na vaši „distribuční“ otázku je, že byste měli použít jakoukoli metodu, která vám vyhovuje, a vašim zamýšleným příjemcům, a vyhoví vašim potřebám, pokud jde o soukromí. Např. klíčový server lze pohodlně použít pro distribuci mnoha příjemcům, ale jako poznámky Ubi typický klíčový server vystavuje uid (který má obvykle vaši e-mailovou adresu) spammerům po celou dobu.

Mnohem těžší otázkou je, jak váš příjemce ověří, že pro vás dostal ten správný klíč, a ne něco, co by pomohlo útoku? Možná budete chtít vyměnit otisk prstu klíče s jinou osobou „mimo pásmo“, např. přes telefon. Nebo se můžete spolehnout na „síť důvěry“: řetězec podpisů lidí, kterým za tímto účelem důvěřujete. Další tipy naleznete v těchto otázkách:

7
nealmcb

Distribuce veřejného klíče je stále otevřeným problémem s PGP/GPG.

Nahrávání na veřejný server klíčů

  • ostatní mohou podepsat váš klíč veřejností urážlivým textem nebo obsahem, který nechcete ve spojení s vaším klíčem vidět
  • mnoho uživatelů zapomíná heslo nebo ztratí klíč pro zrušení a změnilo svou e-mailovou adresu a starý klíč již nemůže odstranit.
  • je téměř nemožné odstranit klíč nebo podpis z těchto serverů
  • existují nástroje pro dolování dat pro analýzu dat z keyerveru
  • člověk dostane trochu více spamu na adresy na veřejném serveru klíčů, protože se snadno ořízne a je velmi zajímavý, protože podporuje mnoho metadat: například jméno, mail, přátelé, časové razítko.
  • ... ale každý může nahrát svůj veřejný klíč na server klíčů. K tomu může dojít záměrně nebo náhodou. Většina nástrojů PGP podporuje nahrávání importovaných veřejných klíčů a pokud budete čekat dostatečně dlouho, někdo jej nahraje a podepíše klíč, aniž by vás to znal.

Nahrát na vlastní web

  • uživatel může klíč odstranit nebo změnit
  • stažení klíče z důvěryhodné webové stránky příjemce může být dalším indikátorem autentického klíče
  • tuto metodu zvolilo také mnoho profesionálních uživatelů PGP
  • umístění klíče vedle kontaktu na vašem webu inzeruje použití PGP

Osobní setkání

Pro další čtení viz

6
Jonas Stein

Pro distribuci to opravdu záleží na vašem publiku. Optimista ve mně doufá, že lidé budou dychtivě používat můj klíč k šifrování zpráv a kontrole mých podpisů. Realita je taková, že její řízení nebylo problémem. Udělal jsem to velmi dobře, když jsem jej nabídl na svém blogu a na požádání.

Pokud jde o rizika, je navržen tak, aby byl snadno dostupný světu. Zaměřte tyto obavy na ochranu soukromého klíče. Dejte kolem něj heslo a pečlivě je chráňte.

6
pboin

V systému Linux můžete použít příkaz:

$ gpg --keyserver hkp://keyserver.ubuntu.com --send-key "your key_index or email"
$ gpg --keyserver hkp://pgp.mit.edu --send-key "your key_index or email"
$ gpg --keyserver hkp://pool.sks-keyservers.net --send-key "your key_index or email"

A poslal je na různé servery. Budou šířit váš klíč.

4
John