¿Dónde cargar la clave pública PGP? ¿Los KeyServers siguen sobreviviendo?

87

Quiero cargar mi clave pública PGP en un servidor público. Hasta el momento en que PGP era una organización independiente, escuché mucho sobre KeyServers, pero después de que Symantec adquirió PGP, ¿cuál es el futuro de estos servidores?

¿Hay alguna otra forma alternativa de mantener mis claves públicas en línea?

RPK
fuente

Respuestas:

81

Sí, los servidores de claves aún existen:

La gente suele usar SKS, ya que consta de muchos servidores que sincronizan sus datos de forma continua. Mientras tanto, Global Directory es un servidor único operado comercialmente que puede fallar en cualquier momento; Lo mismo ocurre con los nuevos servidores de claves que no son SKS.

Sin embargo, SKS tiene el problema de aceptar cualquier cosa y almacenarla para siempre (al igual que una cadena de bloques). Esto ha causado problemas durante mucho tiempo, pero comenzó a sufrir abusos masivos en 2018-2019. Los nuevos servidores de claves no tienen sincronización en parte porque quieren descubrir cómo combinar objetivos opuestos.


El popular pgp.mit.edufinalmente se ha actualizado a SKS y ahora es parte del grupo. También existen muchos otros servidores de claves que no forman parte del grupo SKS (enumerados en la misma página de estado). El servidor de claves predeterminado para GnuPG, keys.gnupg.netahora también es un alias del grupo SKS.

Otro servidor ampliamente conocido, subkeys.pgp.netes que no parte de la piscina desde SKS (que yo sepa) que aún se ejecuta una versión muy antigua de PKS en su lugar. (También parece estar inactivo, aunque el sitio web está activo).


Si su dirección de correo electrónico está en un nombre de dominio que administra (es decir, puede tener registros DNS arbitrarios creados), también es posible publicar su clave PGP usando DNS. El método más fácil para eso es PKA, que solo requiere la capacidad de crear registros TXT; vea el artículo sobre la publicación de PGP Keys en el DNS .

PKA, así como otros dos métodos (CERT e IPGP CERT), se describen en esta guía con mucho más detalle.

Una desventaja de los tres métodos es que GnuPG debe configurarse manualmente para usarlos, y PGP.com ni siquiera admite el uso de DNS. Mientras tanto, prácticamente todas las versiones de PGP y GnuPG pueden usar servidores de claves.

Nota: GnuPG 2.1.3 ha cambiado completamente el formato PKA (en una mezcla de CERT y PKA antiguo).

Dado que GnuPG hizo esto en una versión menor sin preocuparse por la compatibilidad con el formato anterior (de hecho, el formato anterior solía dejar de funcionar 2.1.x durante un tiempo después), ya no me siento cómodo sugiriendo la publicación de pubkey en DNS . Es una pérdida de tiempo. Utiliza servidores de llaves.

Gravedad
fuente
Cuando publico una clave (que contiene privado + público), ¿también publica una privada? no debe ....
Royi Namir
1
@grawity Ya no uso PGP Global Directory debido a que muchos de los enlaces vuelven a Symantec y la información whois no regresa con ningún resultado, lo que me preocupa mucho. Además, la seguridad SSL para PGP Global Directory también es bastante mala .
meguroyama
2
@meguroyama PGP utiliza su propia "Web de confianza" para verificar las claves, por lo que el soporte SSL en los servidores de claves solo es útil por razones de privacidad (para ocultar las claves que recupera). Muchos servidores de claves SKS aún carecen de SSL por completo, y aunque lo agregan lentamente, no es un problema de seguridad.
Grawity
1
En cuanto a la información de WHOIS, tampoco sabe quién ejecuta la mayoría de los servidores de claves SKS; Y esto tampoco importa.
Grawity
1
@meguroyama: Correcto: el único problema es que el Directorio global está aislado; No intercambia llaves con nada más. Por otro lado, todos los servidores de claves SKS se sincronizan entre sí; Si uno cae, otras dos docenas continúan trabajando.
Grawity
3

Yo estaba frente a la misma cuestión hoy y encontré que ni keyserver.pgp.com/ni sks-keyservers.net/respondía a tiempo para mí.

Sin embargo, encontré que keyserver.ubuntu.comfuncionó.

Murch
fuente
1
Debe usar el subconjunto de alta disponibilidad del grupo: ha.pool.sks-keyservers.net: agregar más servidores de claves puede disminuir la confiabilidad porque se consultan servidores menos confiables
Otto Allmendinger
2

ACTUALIZACIÓN: en 2017 es posible que desee considerar usar Keybase , el Enfoque social para la verificación de claves públicas.

"Keybase es una aplicación de seguridad gratuita y de código abierto. También es un directorio público de personas.

La aplicación Keybase lo ayuda a realizar operaciones criptográficamente seguras con personas que conoce en Internet: chatear, compartir archivos e incluso publicar documentos públicos ".

Gaia
fuente
11
Pero Keybase no se rige por el sistema de servidor de claves públicas y, de hecho, requiere que los usuarios almacenen sus claves privadas en su sistema. Es como un gpg patentado, en el que uno no debe confiar, ¡en mi humilde opinión!
hopeseekr
2
Es un problema conocido que no se arregla ... github.com/keybase/keybase-issues/issues/160
hopeseekr
66
No está etiquetado, no se solucionará, y enviar el PK a la base de teclas es una característica opcional. Ver github.com/keybase/keybase-issues/issues/… y github.com/keybase/keybase-issues/issues/…
Gaia
2
además, blog.filippo.io/…
Gaia