Глобальный справочник PGP
Объявление PGPCorp и запуск в тестовую эксплуатацию сервиса PGP Global Directory вызвали неоднозначную реакцию в сообществе экспертов PGP. Наиболее активное и концептуальное обсуждение этой системы, её плюсов и минусов проходило последние дни в дискуссионном листе CryptoRights Foundation.
Большое число претензий вызвало оформление сообщений PGP GD. Действительно, HTML и перегруженность письма графикой – частые элементы спамерских и мошеннических phishing-рассылок – уже нередко приводила к маркировке запросов как спама. Эта особенность требует серьёзного внимания разработчиков, ведь если письмо сервера PGP GD будет забраковано почтовой службой пользователя, последний не сможет подтвердить запрос, и в итоге его открытый ключ не будет добавлен в базу или окажется из неё исключён. Было предложено не использовать в запросах HTML-оформление, а посылать их в виде простого текста.
Всеобщее недоумение вызвало то, что для любого email-адреса в PGP GD может быть зарегистрирован только один ключ. Это очень странно, если учесть, что активные пользователи PGP, работающие с программой многие годы, имеют по несколько дубликатных ключей разных типов для сохранения обратной совместимости с ранними версиями PGP либо используют эти ключи для различных ролевых целей. Однако при попытке добавить в базу PGP GD второй ключ, имеющий те же email-адреса, что и у уже хранящегося на сервере, система предлагает просто его заменить. Да, в некоторых ситуациях такая практика может способствовать защите от атак "человек в середине", но в общем смысле и в плане практичности совершенно несостоятельна.
Серьёзный спор развернулся вокруг дизайна механизма подтверждения. Было предложено не отправлять запрос сервера открытым текстом, благодаря чему ответить на него может любой, кому удастся получить доступ к почтовому ящику пользователя или перехватить письмо сервера; вместо этого сервер мог бы зашифровывать запрос ключом пользователя и отпрвлять по адресам, прописанным в сертификате ключа, либо требовать от пользователя заверить цифровой подписью сам ответ. Таким образом, если, например, пользователь более не использует данный почтовый ящик, ключ или забыл парольную фразу, спустя 2-4 недели ключ может быть удалён из базы без риска, что на запрос ответит злоумышленник или же это непреднамеренно сделает сам пользователь, ткнувший в ссылку в присланном ему письме. С другой стороны, такая схема подрывает возможность пользователя удалить с сервера ключ с забытым паролем, не дожидаясь следующей сессии опросов.
Помимо критики и предложений, были отловлены некоторые баги системы, например, то, что PGP GD пингует и заверяет своей подписью даже аннулированные email-адреса из сертификата ключа. Также возник вопрос, почему сервер автоматически подписывает записи сертификата, не содержащие email-адресов, и как эту возможность использовать для просовывания на сервер нелигетимного ключа, где email вписан вместо имени пользователя. Несколько удивило, зачем публичному серверу требуется SSL-защита, ведь вся передаваемая между ним и пользователем информация априори носит открытый характер. Также непонятно, зачем PGP GD заверяет прошедшие аттестацию ключи своей цифровой подписью, если он может подтвердить этот факт просто опубликовав подтверждённый ключ в собственной базе.
Как можно видеть, в нынешнем состоянии система PGP Global Directory ещё довольно сыра и во многом недоработана, что, впрочем, было предсказуемо, учитывая её текущий бета-статус (правда, некоторая непоследовательность, или даже непродуманность дизайна, вызывает тревогу). Будем надеяться, PGP Corporation учтёт пожелания и предложения сообщества и воплотит их в финальной версии своего нового сервера ключей. Однако альтернативные депозитарии, прежде всего, входящие в сеть pgp.net, останутся несмотря ни на что, и если окончательный результат деятельности разработчиков PGP GD разочарует наши ожидания, никто не запретит отказаться от его использования совсем.