id: Гость   вход   регистрация
текущее время 13:10 21/06/2021
Автор темы: Гость, тема открыта 02/11/2013 17:39 Печать
Категории: софт, pgp, openpgp, стандарты, xmpp, свободный софт
https://www.pgpru.com/Форум/ПрактическаяБезопасность/КорректнаяПередачаПубличногоКлючаGpg
создать
просмотр
ссылки

Корректная передача публичного ключа gpg


Еще раз обращаюсь к данной теме. Хотелось бы разобраться в мелочах и вывести для себя тру способ передачи публичного ключа gpg.
Итак, допустим, что переписка по почте ведется с большим количеством реципиентов, и только малая часть из них
предпочтет использовать gnupg (обычное дело). Более того, предположим, что нужно предложить реципиентам использование
gnupg еще и для jabber. Это ещё какбы проблема этикета.


p.s.: на всякий случай – используется линукс и mutt.


Теперь вопросы:
1. Как лично вы считаете правильно было бы передать ключ? Указать в подписи к письму? Дать ссылку на файл?
2. Допустим, я не хочу размещать свой ключ на сервере ключей. Потому что не хочу, чтобы информация о данном емейле упоминалась там, ведь удалить оттуда уже невозможно, насколько я знаю. Как в таком случае передавать ключ? Ссылкой на какой-то хостинг? А может быть можно использовать ключ, который привязан к другому емейлу, а не к тому, с которого идет переписка?


3. Впервые знакомство с gpg произошло для меня на сайте diskcryptor.
Там автор предлагает связываться с ним посредством ключа <0xC.......E>
А так же зачем-то указывает Key fingerprint.
– что такое <0xC.......E> ?
– зачем он указывает key fingerprint?
– зачем это указывать, если ключ и так можно загрузить с одного из серверов ключей?


4. Поскольку предлагается использование этого публичного ключа и с джаббером, то может ли домен почты и домен джаббера отличаться между собой?
т.е. джаббер находится на каком-то общественном сервере, но ключ для удобства используется от почты на своем домене?


5. В thebat есть макрос, позволяющий вставлять полный текст ключа pgp прямо в подпись каждого письма.
Неужели кто-то захочет включать весь ключ в каждое письмо, ведь он занимает много места? Некоторые даже стандартную подпись недолюбливают.


Прошу разжевать, особенно 3-ий вопрос.


 
Комментарии
— SATtva (02/11/2013 17:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4094
С матчастью, видимо, не знакомились, иначе не было бы половины вопросов.

Как лично вы считаете правильно было бы передать ключ? Указать в подписи к письму? Дать ссылку на файл? ... Допустим, я не хочу размещать свой ключ на сервере ключей. Потому что не хочу, чтобы информация о данном емейле упоминалась там, ведь удалить оттуда уже невозможно, насколько я знаю. Как в таком случае передавать ключ?

Прикрепить аттачем к письму, например, или выложить на любой файлохостинг или даже pastebin (в ASCII-формате).

– что такое <0xC.......E> ?
– зачем он указывает key fingerprint?
– зачем это указывать, если ключ и так можно загрузить с одного из серверов ключей?

/Библиотека/Основы/ВведениеВКрипто/Глава1/ПодлинностьДоверие

Поскольку предлагается использование этого публичного ключа и с джаббером, то может ли домен почты и домен джаббера отличаться между собой?

/Библиотека/Основы/ВведениеВКрипто/Глава1/ЦифровыеСертификаты
На каждом ключе может быть произвольное количество UID'ов. Каждый UID может содержать собственную информацию о связи с пользователем.
— unknown (02/11/2013 21:23, исправлен 02/11/2013 21:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Допустим, я не хочу размещать свой ключ на сервере ключей. Потому что не хочу, чтобы информация о данном емейле упоминалась там, ведь удалить оттуда уже невозможно, насколько я знаю.

Кто-то из тех, с кем вы переписываетесь может сделать это вместо вас. Например, по ошибке.


Публичные сервисы обмена информацией (в т.ч. и почтой) толкуют приватность пользователя в выгодном для себя свете. Они могут сканировать содержимое писем для проверки против вирусов, пресечения рассылки спама, а со своей стороны вместо спама — для подсовывания пользователю контекстной таргетированной рекламы. Если бы им было по какой-то причине выгодно, они могли бы анализировать всю PGP-переписку не только для спецслужб, но и для коммерческих целей. Ну, если завтра какой-то сервис случайно сольёт метаданные коммерческим компаниям или в даже в паблик — с каких адресов кто какими ключами переписывался, это не вызовет удивления. Если через провайдера America Online базы поисковых запросов с привязками к пользователям утекали…


Как в таком случае передавать ключ? Ссылкой на какой-то хостинг?

Не забудьте в любом случае сверить полные отпечатки, про которые вы спрашивали.


А может быть можно использовать ключ, который привязан к другому емейлу, а не к тому, с которого идет переписка?

Можно даже несуществующий мейл указать — это поле носит чисто информативный характер.

— Гость (03/11/2013 07:36)   <#>
Как лично вы считаете правильно было бы передать ключ? Указать в подписи к письму? Дать ссылку на файл?

Зависит от того, нужна ли анонимность. Если не нужна, то всё равно как. Можете хоть на сервер ключей выложить. Если нужна, то все операции с ключом производить через Tor. Если уже есть шифрованный канал, можно заменить ключ на новый, выслав абоненту свой публичный ключ в шифрованной переписке и попросив его не выкладывать ключ на сервер ключей. Реально на такие уловки полагаться на стоит, но кто-то может захотеть.

2. Допустим, я не хочу размещать свой ключ на сервере ключей. Потому что не хочу, чтобы информация о данном емейле упоминалась там, ведь удалить оттуда уже невозможно, насколько я знаю.

В поле uid можно написать всё, что угодно. После генерации ключа его можно отредактировать, изменив записи в uid. Вы не обязаны придерживаться формата "Имя Фамилия (comment) e-mail". Можете вместо всего этого написать одну строку hahaha и всё, только учтите что вашим абонентам придётся вручную указывать ваш ключ в программах (и почтовых и jabber). И если у вашего абонента много ключей, он может сам забыть, кому какой ключ принадлежит.

Там автор предлагает связываться с ним посредством ключа <0xC.......E>
А так же зачем-то указывает Key fingerprint.
– что такое <0xC.......E> ?

Key ID, последние цифры от key fingerprint.

зачем он указывает key fingerprint?

Сверять ключи проще по их отпечаткам, чем по полному тексту.

зачем это указывать, если ключ и так можно загрузить с одного из серверов ключей?

key id можно сбрутфорсить, сбрутфорсить key fingerprint нельзя. Т.е. никакое третье лицо не сможет создать ключ с точно таким же фингерпринтом. Через доверенный канал вы получаете правильный фингерпринт (отпечаток). Если в этот момент произошла подмена, то всё, вы её можете более не заметить.

Ключи можно загрузить с сервера ключей, но многим (особенно под Tor) часто удобней забрать ключи со страницы автора, поэтому всё равно выкладывают вкупе с фингерпринтом.

4. Поскольку предлагается использование этого публичного ключа и с джаббером, то может ли домен почты и домен джаббера отличаться между собой?

И джабберу, и почтовым программам всё равно, что прописано в ключе. Это поле чисто для информации. Какой использовать ключ — всегда можно выбрать руками.

Неужели кто-то захочет включать весь ключ в каждое письмо, ведь он занимает много места? Некоторые даже стандартную подпись недолюбливают.

Да, это было бы глупо. Достаточно указывать фингерпринт ключа или даже ссылку на свой сайт, где этот фингерпринт написан.
— SATtva (03/11/2013 10:52)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4094
После генерации ключа его можно отредактировать, изменив записи в uid.

Информация о предыдущих редакциях записи по-прежнему останется на ключе. Полностью её удалить можно, только если ключ ранее никому не передавался.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3