Wohin soll der öffentliche PGP-Schlüssel hochgeladen werden? Überleben KeyServer noch?

87

Ich möchte meinen öffentlichen PGP-Schlüssel auf einen öffentlichen Server hochladen. Bis PGP eine unabhängige Organisation war, hörte ich viel über KeyServer, aber was ist die Zukunft dieser Server, nachdem Symantec PGP erworben hat?

Gibt es eine andere Möglichkeit, meine öffentlichen Schlüssel online zu halten?

RPK
quelle

Antworten:

81

Ja, es gibt noch Keyserver:

In der Regel wird SKS verwendet, da es aus vielen Servern besteht, die ihre Datenbank kontinuierlich synchronisieren. Mittlerweile ist Global Directory ein einzelner, kommerziell betriebener Server, der jederzeit ausfallen kann. Gleiches gilt für die neuen Nicht-SKS-Keyserver.

SKS hat jedoch das Problem, alles zu akzeptieren und für immer zu speichern (ähnlich einer Blockchain). Dies hat lange Zeit zu Problemen geführt, wurde jedoch in den Jahren 2018–2019 massiv missbraucht. Die neuen Keyserver haben teilweise keine Synchronisation, weil sie herausfinden möchten, wie sie gegensätzliche Ziele kombinieren können.


Der beliebte pgp.mit.eduhat endlich ein Upgrade auf SKS und ist nun Teil des Pools. Es gibt auch eine Reihe anderer Keyserver, die nicht zum SKS-Pool gehören (auf derselben Statusseite aufgeführt). Der Standard-Keyserver für GnuPG keys.gnupg.netist jetzt auch ein Alias ​​für den SKS-Pool.

Ein anderer weithin bekannter Server subkeys.pgp.netist nicht Teil des SKS-Pools, da er (AFAIK) immer noch eine sehr alte Version von PKS ausführt. (Es scheint auch nicht verfügbar zu sein, obwohl die Website aktiv ist.)


Befindet sich Ihre E-Mail-Adresse unter einem von Ihnen verwalteten Domainnamen (dh es können beliebige DNS-Einträge erstellt werden), können Sie Ihren PGP-Schlüssel auch über DNS veröffentlichen. Die einfachste Methode hierfür ist PKA, für die nur TXT-Datensätze erstellt werden müssen. Weitere Informationen finden Sie im Artikel zum Veröffentlichen von PGP-Schlüsseln im DNS .

PKA sowie zwei andere Methoden (CERT und IPGP CERT) werden in diesem Handbuch ausführlicher beschrieben.

Ein Nachteil aller drei Methoden ist, dass GnuPG manuell konfiguriert werden muss, um sie zu verwenden, und PGP.com unterstützt nicht einmal die Verwendung von DNS. Mittlerweile können praktisch alle Versionen von PGP und GnuPG Keyserver verwenden.

Hinweis: GnuPG 2.1.3 hat das PKA-Format vollständig geändert (in eine Mischung aus CERT und altem PKA).

Da GnuPG dies in einer kleineren Version getan hat , ohne sich Gedanken über die Abwärtskompatibilität mit dem alten Format zu machen (tatsächlich stürzte das alte Format 2.1.x eine Weile später endgültig ab), ist es mir nicht mehr angenehm, die Veröffentlichung von Pubkeys im DNS vorzuschlagen . Es ist Zeitverschwendung. Verwenden Sie Keyserver.

Grawity
quelle
Wenn ich einen Schlüssel veröffentliche (der privat + öffentlich enthält), veröffentlicht er auch privat ??? es muss nicht ....
Royi Namir
1
@grawity Ich verwende PGP Global Directory nicht mehr, da viele Links zu Symantec zurückkehren und die Whois-Informationen keine Ergebnisse liefern, die mich sehr beunruhigen. Auch die SSL-Sicherheit für PGP Global Directory ist ziemlich schlecht .
Meguroyama
2
@meguroyama PGP verwendet ein eigenes "Web of Trust" zur Überprüfung von Schlüsseln. Daher ist die SSL-Unterstützung in Schlüsselservern nur aus Datenschutzgründen nützlich (um zu verbergen, welche Schlüssel Sie abrufen). Vielen SKS-Keyservern fehlt SSL noch vollständig, und während sie es langsam hinzufügen, handelt es sich nicht um ein Sicherheitsproblem.
Grawity
1
Zu den WHOIS-Informationen: Sie wissen auch nicht, wer die meisten SKS-Keyserver ausführt. und das ist auch egal.
Grawity
1
@ Meguroyama: Richtig - das einzige Problem ist, dass das globale Verzeichnis isoliert ist. es tauscht keine Schlüssel mit irgendetwas anderem aus. Andererseits werden alle SKS-Keyserver miteinander synchronisiert. Wenn einer ausfällt, arbeiten zwei Dutzend andere weiter.
Grawity
2

AKTUALISIERUNG: 2017 möchten Sie möglicherweise die Verwendung von Keybase in Betracht ziehen , dem Social Approach zur Verifizierung öffentlicher Schlüssel.

"Keybase ist eine kostenlose Open-Source-Sicherheits-App. Es ist auch ein öffentliches Personenverzeichnis.

Mit der Keybase-App können Sie kryptografisch sichere Vorgänge mit Personen ausführen, die Sie im Internet kennen: Chatten, Dateifreigaben und sogar das Veröffentlichen öffentlicher Dokumente. "

Gaia
quelle
11
Keybase hält sich jedoch überhaupt nicht an das öffentliche Keyserver-System und verlangt von den Benutzern, dass sie ihre privaten Schlüssel auf ihrem System speichern. Es ist wie proprietäres GPG, dem man nicht vertrauen sollte, imho!
Hopeseekr
2
Es ist ein bekanntes Problem, das nicht
behoben werden kann
6
Es ist nicht beschriftet und kann nicht repariert werden, und das Senden der PK an die Keybase ist eine optionale Funktion. Siehe github.com/keybase/keybase-issues/issues/… und github.com/keybase/keybase-issues/issues/…
Gaia
2
Ferner blog.filippo.io/...
Gaia
2

Ich stand heute vor dem gleichen Problem und stellte fest, dass weder ich keyserver.pgp.com/noch sks-keyservers.net/ich rechtzeitig antworten würden.

Ich fand jedoch, dass es keyserver.ubuntu.comfunktionierte.

Murch
quelle
1
Verwenden Sie die Teilmenge für hohe Verfügbarkeit des Pools: ha.pool.sks-keyservers.net - Das Hinzufügen von mehr Keyservern kann die Zuverlässigkeit verringern, da weniger zuverlässige Server abgefragt werden.
Otto Allmendinger,