Корректная передача публичного ключа gpg
Еще раз обращаюсь к данной теме. Хотелось бы разобраться в мелочах и вывести для себя тру способ передачи публичного ключа gpg.
Итак, допустим, что переписка по почте ведется с большим количеством реципиентов, и только малая часть из них
предпочтет использовать gnupg (обычное дело). Более того, предположим, что нужно предложить реципиентам использование
gnupg еще и для jabber. Это ещё какбы проблема этикета.
p.s.: на всякий случай – используется линукс и mutt.
Теперь вопросы:
1. Как лично вы считаете правильно было бы передать ключ? Указать в подписи к письму? Дать ссылку на файл?
2. Допустим, я не хочу размещать свой ключ на сервере ключей. Потому что не хочу, чтобы информация о данном емейле упоминалась там, ведь удалить оттуда уже невозможно, насколько я знаю. Как в таком случае передавать ключ? Ссылкой на какой-то хостинг? А может быть можно использовать ключ, который привязан к другому емейлу, а не к тому, с которого идет переписка?
3. Впервые знакомство с gpg произошло для меня на сайте diskcryptor.
Там автор предлагает связываться с ним посредством ключа <0xC.......E>
А так же зачем-то указывает Key fingerprint.
– что такое <0xC.......E> ?
– зачем он указывает key fingerprint?
– зачем это указывать, если ключ и так можно загрузить с одного из серверов ключей?
4. Поскольку предлагается использование этого публичного ключа и с джаббером, то может ли домен почты и домен джаббера отличаться между собой?
т.е. джаббер находится на каком-то общественном сервере, но ключ для удобства используется от почты на своем домене?
5. В thebat есть макрос, позволяющий вставлять полный текст ключа pgp прямо в подпись каждого письма.
Неужели кто-то захочет включать весь ключ в каждое письмо, ведь он занимает много места? Некоторые даже стандартную подпись недолюбливают.
Прошу разжевать, особенно 3-ий вопрос.
С матчастью[link1], видимо, не знакомились, иначе не было бы половины вопросов.
Прикрепить аттачем к письму, например, или выложить на любой файлохостинг или даже pastebin (в ASCII-формате).
/Библиотека/Основы/ВведениеВКрипто/Глава1/ПодлинностьДоверие[link2]
/Библиотека/Основы/ВведениеВКрипто/Глава1/ЦифровыеСертификаты[link3]
На каждом ключе может быть произвольное количество UID'ов. Каждый UID может содержать собственную информацию о связи с пользователем.
Кто-то из тех, с кем вы переписываетесь может сделать это вместо вас. Например, по ошибке.
Публичные сервисы обмена информацией (в т.ч. и почтой) толкуют приватность пользователя в выгодном для себя свете. Они могут сканировать содержимое писем для проверки против вирусов, пресечения рассылки спама, а со своей стороны вместо спама — для подсовывания пользователю контекстной таргетированной рекламы. Если бы им было по какой-то причине выгодно, они могли бы анализировать всю PGP-переписку не только для спецслужб, но и для коммерческих целей. Ну, если завтра какой-то сервис случайно сольёт метаданные коммерческим компаниям или в даже в паблик — с каких адресов кто какими ключами переписывался, это не вызовет удивления. Если через провайдера America Online базы поисковых запросов с привязками к пользователям утекали…
Не забудьте в любом случае сверить полные отпечатки, про которые вы спрашивали.
Можно даже несуществующий мейл указать — это поле носит чисто информативный характер.
Зависит от того, нужна ли анонимность. Если не нужна, то всё равно как. Можете хоть на сервер ключей выложить. Если нужна, то все операции с ключом производить через Tor. Если уже есть шифрованный канал, можно заменить ключ на новый, выслав абоненту свой публичный ключ в шифрованной переписке и попросив его не выкладывать ключ на сервер ключей. Реально на такие уловки полагаться на стоит, но кто-то может захотеть.
В поле uid можно написать всё, что угодно. После генерации ключа его можно отредактировать, изменив записи в uid. Вы не обязаны придерживаться формата "Имя Фамилия (comment) e-mail". Можете вместо всего этого написать одну строку hahaha и всё, только учтите что вашим абонентам придётся вручную указывать ваш ключ в программах (и почтовых и jabber). И если у вашего абонента много ключей, он может сам забыть, кому какой ключ принадлежит.
Key ID, последние цифры от key fingerprint.
Сверять ключи проще по их отпечаткам, чем по полному тексту.
key id можно сбрутфорсить, сбрутфорсить key fingerprint нельзя. Т.е. никакое третье лицо не сможет создать ключ с точно таким же фингерпринтом. Через доверенный канал вы получаете правильный фингерпринт (отпечаток). Если в этот момент произошла подмена, то всё, вы её можете более не заметить.
Ключи можно загрузить с сервера ключей, но многим (особенно под Tor) часто удобней забрать ключи со страницы автора, поэтому всё равно выкладывают вкупе с фингерпринтом.
И джабберу, и почтовым программам всё равно, что прописано в ключе. Это поле чисто для информации. Какой использовать ключ — всегда можно выбрать руками.
Да, это было бы глупо. Достаточно указывать фингерпринт ключа или даже ссылку на свой сайт, где этот фингерпринт написан.
Информация о предыдущих редакциях записи по-прежнему останется на ключе. Полностью её удалить можно, только если ключ ранее никому не передавался.