PGP公開鍵をアップロードする場所 KeyServerはまだ存続していますか?


87

PGP公開鍵を公開サーバーにアップロードしたい。PGPが独立した組織になるまで、KeyServerについてよく耳にしましたが、シマンテックがPGPを買収した後、これらのサーバーの将来はどうなりますか?

公開鍵をオンラインに保つ他の方法はありますか?

回答:


81

はい、キーサーバーはまだ存在します:

データベースを継続的に同期する多数のサーバーで構成されるため、人々は通常SKSを使用します。一方、グローバルディレクトリは単一の商用サーバーであり、いつでもダウンする可能性があります。新しい非SKSキーサーバーについても同じことが言えます。

ただし、SKSには(ブロックチェーンのように)何でも受け入れて永久に保存するという問題があります。これは長い間問題を引き起こしてきましたが、2018年から2019年にかけて大規模に乱用され始めました。新しいキーサーバーは、相反する目標をどのように組み合わせるかを理解したいため、部分的には同期化されません。


人気者pgp.mit.eduはついにSKSにアップグレードされ、現在ではプールの一部となっています。また、SKSプールの一部ではない他のキーサーバーが多数存在します(同じステータスページにリストされています)。GnuPGのデフォルトのキーサーバーであるkeys.gnupg.netが、SKSプールのエイリアスにもなりました。

もう1つの広く知られているサーバーは、SKSプールの一部でsubkeys.pgp.netはありません(AFAIK)が、代わりに非常に古いバージョンのPKSをまだ実行しています。(ウェブサイトはアップしていますが、ダウンしているようにも見えます。)


電子メールアドレスが管理するドメイン名にある場合(つまり、任意のDNSレコードを作成できる場合)、DNSを使用してPGPキーを公開することもできます。そのための最も簡単な方法はPKAで、TXTレコードを作成する機能のみが必要です。DNSでのPGPキーの公開に関する記事を参照してください。

このガイドでは、PKAと他の2つの方法(CERTおよびIPGP CERT)について詳しく説明しています。

3つの方法すべての欠点の1つは、GnuPGを使用するように手動で構成する必要があり、PGP.comはDNSの使用もサポートしていないことです。一方、実質的にすべてのバージョンのPGPおよびGnuPGはキーサーバーを使用できます。

注: GnuPG 2.1.3は、PKA形式を完全に変更しました(CERTと古いPKAの混合に)。

GnuPGが古いリリースとの後方互換性を心配せずにマイナーリリースでこれを行ったことを考えると(実際、古いフォーマットは2.1.xでしばらくクラッシュしていました)、DNSでの公開キーの発行を提案するのはもう不安です。時間の無駄です。キーサーバーを使用します。


キー(private + publicを含む)を公開すると、プライベートも公開されますか?それ....はならない
Royi Namir

1
@grawity多くのリンクがsymantecに戻り、whois情報が結果を返さないため、PGP Global Directoryを使用しなくなりました。また、PGP Global DirectoryのSSLセキュリティもかなり悪いです。
目黒山14年

2
@meguroyama PGPは独自の「信頼のWeb」を使用してキーを検証するため、キーサーバーでのSSLサポートはプライバシー上の理由でのみ有効です(取得するキーを隠すため)。多くのSKSキーサーバーにはまだSSLが完全に欠けており、SSLを徐々に追加していますが、セキュリティの問題ではありません。
grawity

1
WHOIS情報については、ほとんどのSKSキーサーバーを実行しているユーザーもわかりません。これも問題ではありません。
grawity

1
@meguroyama:正しい–唯一の問題は、グローバルディレクトリが孤立していることです。キーを他のものと交換することはありません。一方、すべてのSKSキーサーバーは相互に同期します。1つがダウンしても、他の20人が作業を続けます。
grawity

2

更新:2017年には、公開キー検証へのソーシャルアプローチであるKeybaseの使用検討する必要があります

「キーベースは無料のオープンソースセキュリティアプリです。また、人々の公開ディレクトリでもあります。

キーベースアプリを使用すると、チャット、ファイル共有、公開ドキュメントの公開など、インターネット上で知り合いと暗号化的に安全な操作を実行できます。」


11
ただし、キーベースは公開キーサーバーシステムをまったく順守しておらず、実際、ユーザーがシステムに秘密キーを保存する必要があります。それはプロプライエタリのgpgのようなもので、信頼すべきではありません。
hopeseekr

2
これは既知の未解決の問題です... github.com/keybase/keybase-issues/issues/160
hopeseekr

6
ラベルは修正されませんが、PKをキーベースに送信することはオプション機能です。github.com/keybase/keybase-issues/issues/…およびgithub.com/keybase/keybase-issues/issues/…を
Gaia

2


2

今日、私は同じ問題に直面していましたが、タイムリーに返事keyserver.pgp.com/sks-keyservers.net/返事もありませんでした。

しかし、私はそれがkeyserver.ubuntu.com働いたことがわかりました。


1
プールの高可用性サブセット:ha.pool.sks-keyservers.netを使用する必要があります。キーサーバーを追加すると、信頼性の低いサーバーが照会されるため、信頼性が低下する可能性があります
Otto Allmendinger
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.