Сервер ключей

А пока о массовых чистках депозитариев я ничего не слышал. Они только растут и растут в объеме.

В pgp.net такая была проведена прошлой осенью. Базы полегчали примерно на одну пятую, но критерии, по которым проводилась чистка, мне неизвестны. Скорее всего, это были ключи, отозванные и просроченные ещё в середине-конце 90-х.

Ясно, спасибо! :)

После добавления ключа в PGP Global Directory мне пришло письмо, предлагающее подтвердить добавление ключа и содержащее вложенный файл. Я предполагаю, что он содержит подпись моего открытого ключа сервером. Так ли это? Если да, подскажите, пожалуйста, как я могу добавить её на свою связку и отправить на сервер.

В действительности сервер спрашивает у Вас не разрешение на добавление ключа в базу, а задаёт вопрос, действительно ли электронный адрес, на который выслал своё сообщение, принадлежит Вам и связан с открытым ключом, реквизиты которого — имя, ID и отпечаток — приведены в письме и на странице сервера, куда переходите по ссылке. Сервер спрашивает это для того, чтобы убедиться, что именно Вы, а не какой-то посторонний, добавил на сервер ключ, на котором указан Ваш электронный адрес.

Только после того, как Вы подтвердите, что это именно Ваш ключ, сервер его подпишет и добавит в базу. А что касается вложений, то это, скорее всего, какие-то картинки из html-оформления письма.

Спасибо.
Там файл с расширением sig. Я поэтому уже полторы недели пытаюсь из него подпись достать. А все на самом деле гораздо проще.

Только после того, как Вы подтвердите, что это именно Ваш ключ, сервер его подпишет и добавит в базу.

Разве сервер ставит подпись на ключ? Это же не Удостоверяющий уентр. Такой подписью (если он действительно подписывает ключ), на мой взгляд, сервер подписывает не авторство человека, а владение электронным адресом, что не дает серьезных оснований считать таким образом подписанный ключ принадлежащим определенному человеку. Может быть я не правильно понял, не знаю.

Подписывает, подписывает. :) Но Вы всё поняли верно. Как и любой робот-верификатор, он заверяет своей подписью не соответствие ключа и имени его владельца (такова практика заверения ключей людьми), а соответствие ключа и указанных электронных адресов, причём с учётом ограниченности механизма проверки, как это описано здесь и здесь.

Подпись PGPGD действительна только до следующего раунда проверки адресов. Если на следующий запрос сервера пользователь не ответит, сервер не продлит свою подпись и удалит ключ из базы.

Назначение подписи вполне понятно. Если пользователю достаточно только независимого подтвеждения, что данный ключ действительно связан с данным адресом, он просто может назначить ключу PGPGD полное доверие, и тогда заверенные им ключи будут достоверны априори.

Каждый волен сам определять свою политику доверия, этим и хороша Сеть доверия PGP. Например, мне для многих случаев подписи PGPGD вполне довольно чтобы отправить человеку зашифрованное письмо, однако давать ключу депозитария полное доверие я никогда не стану и не буду полагаться на его подпись при пересылке действительно важной информации.

Понятно, значит я еще не успел прочитать про PGPGD. Мой ключ в простом депозитарии. Ну как всегда, не успеваешь за всем уследить...

при проверке подписей файлов нет коннекта pgp 8.0.3 с серверами idap://keyserver.pgp.com, idap://europe.keys.pgp.com:1137 "unkown response from server", платформа Win XP.

Нашёл, исправил :))

Подпись PGPGD действительна только до следующего раунда проверки адресов. Если на следующий запрос сервера пользователь не ответит, сервер не продлит свою подпись и удалит ключ из базы.

А как много времени проходит до следующего раунда проверки? Если времени проходит мало, не будут ли связки ключей раздуваться просроченными подписями PGPGD?

Вий:
А как много времени проходит до следующего раунда проверки?

Шесть месяцев.

https://keyserver.pgp.com/vkd/VKDHelpPGPCom.html#tech

How long will my key stay in the PGP Global Directory?

Six months, after which a renewal email message will be sent.

Вий:
Если времени проходит мало, не будут ли связки ключей раздуваться просроченными подписями PGPGD?

А подписи от PGP Global Directory Verification Key ставятся гораздо чаще, чем раз в полгода. Посмотрите на даты подписей (cr. time) и их сроки истечения (exp time).

Поэтому разработчики GnuPG даже сделали специальную команду очистки ключа от недействительных (просроченных и т.п.) подписей.

Поэтому разработчики GnuPG даже сделали специальную команду очистки ключа от недействительных (просроченных и т.п.) подписей.

Только ведь общественные депозитарии ключей всё равно засоряться будут. IMO, пока от PGPGD больше вреда, чем пользы.

Скажите, через какой порт нужно искать ключи на сервере ldap://certserver.pgp.com? Через порт 11371 поиск работает на серверах keyserver.kjsl.com random.sks.keyserver.penguin.de subkeys.pgp.net pgp.mit.edu. На ldap://certserver.pgp.com видимо нужен другой порт.

11371 – порт по умолчанию протокола hkp://
389 – порт по умолчанию протокола ldap://
Есть еще ldaps:// (Secure LDAP), по умолчанию порт 636:
http://en.wikipedia.org/wiki/Ldap#Protocol_overview
Собственно, если перед именем сервера указать префикс ldap:// или ldaps:// (а по умолчанию подразумевается hkp://), GnuPG сам поймет, какой порт использовать.