PGP8x, 9x – поиск ключей на сервере
Hello
Обратил внимание на такую странность. В пакетах PGP-8 и -9 при поиске клчей по какому-либо критерию в результате поиска не окзывается более одного ключа. В версии 6x, вроде бы, было не так, но я не помню наверняка.
Например условие поиска: 'email' contine '@gmail.com'
Ответ – один ключ :)
причем если искать a@gmail.com, то в ответе опять будет один ключ, но другой :)
Это не мешает, если точно известен email или, тем более, keyID. Почти всегда так оно и есть. Но не всегда – будут проблемы, если у адресата зарегистрировано несколько разных ключей для одного и того же емейла. Какой из оных ключей окажется в ответе сервера – непонятно.
Так что вопрос мой малозначимый, больше из праздного любопытства – "что делать и кто виноват", то есть чем это объясняется и можно ли исправить?
Ссылки
[link1] https://www.pgpru.com/servisy/keyserver
Для поиска Вы используете какой-то конкретно сервер ключей? Какой? Проблема возникает только с ним или с любыми другими тоже?
Я использую те серверы, которые по умолчанию прописаны в настройках PGP.
В девятке это один keyserver.pgp.com.
Это могут быть специфические настройки сервера. Попробуйте, например, subkeys.pgp.net (это HKP/HTTP-сервер, не LDAP).
Не находит ничего, возможно нет связи с этим сервером. ping проходит, порт 80 на этот хосте открыт.
Номер порта там должен быть 80 или какой-то другой?
11371.
Безрезультатно.
Может я что-то не то сделал?
PGP Desktop -> tools -> options -> Keyservers ->
добавил subkeys.pgp.net, тип PGP keyserver HTTP, порт 11371
Остальные поля там недоступны.
Сохранил.
В списке ключесерверов он появился, однако в колонке trusted указано NO
PGP -> search for keys -> search on subkeys.pgp.net
email contine @gmail.com
Ничего не найдено.
Версия PGP 9.10, не кракнутая, свежепоставленная. Следы предыдущих версий из винды были вычищены.
Не пойму, что Вы вводите в строку поиска? Прямо "email contine @gmail.com"? С пробелами?
BTW, не посоветуете ли что надо сделать с такой ситуации: один из email-адресов, указанных в моем ключе, мне больше не принадлежит. Как я понял, удалать этот адрес из ключа бесполезно. Можно только отозвать свою подпись с него или отозвать весь ключ.
Логичнее отозвать свою автоподпись с данного UID.
:)
нет, конечно.
в параметрах поиска в первом селекторе выбираю "email", во втором "contines" и в поле для искомого значения пишу @gmail.com
Вы не спамер часом? Ни один сервер ключей не отдаст Вам ничего по такому запросу, конкретизируйте его.
Вот, кажется возможная причина начинает определятся.
В списке ключей rclick на чью-либо подпись, в появившемся меню выбрал "Get signing key from server". В результате ошибка:
Что интересно: если в списке кейсерверов subkeys.pgp.net поставить первым, то это сообщение об ошибке не появляется. Но все равно не работает.
Трафик не может блокироваться тем или иным брандмауэром?
:)
Я програмер в отпуске. Впрочем, по поводу спамеров Вы же сами и писали, что для них это не целевая аудитория.
Маловероятно. Прямой IP, роутер мой собственный, провайдер не слишком косорукий. Однако, как я уже проверил, сокет на указанный адрес успешно открывается
telnet subkeys.pgp.net 11371 — есть соединение
Но это не значит, что серверы ключей должны сами давать инструмент для харвестинга. Они не отвечают на запросы, возвращающие слишком большое число элементов.
Хм. Могли бы просто окраничить количество отдаваемых элементов. Вот у Вас же на сайте так и сделано. Первые полста подходящих записей. Но это их дело.
Ну да ладно, однако поиск по subkeys.pgp.com так и не работает. Например мой собственный ключ по ID не находит, хотя, теоретически, он там должен быть. Ведь база ключей, с которой работает Ваш сайт, связана с PGP-шной?
Нет, не связана. Можете видеть[link1], с какими серверами работает сайт. Сервер PGPCorp keyserver.pgp.com изолирован, он не синхронизируется с другими: если загрузили свой ключ только туда, то на HKP-серверах его не найдёте.
Cюрприз, однако.
Я решил посмотреть как в этом смысле будет себя вести другая версия PGP. Снял 9.10, поставил 8.10.
Кстати, в списке серверов у него уже есть keyserver.norply.org
Поиск не работает, socket error.
Взял IPtools просканировал порты на хостах, указанных в качестве HTTP-кейсерверов. Порт 11371 везде закрыт почему-то :(
Однако понятно, почему проверка telnet-ом работала :)
Автопилот ошибся, проверял subkeys.pgp.com
То есть фактически у меня просто нет связи с subkeys.pgp.net:11371
Трясти провайдера?
Он иногда бывает в дауне, но в данный момент от меня работает, так что возможно, что у Вас локальная проблема связности. Можете ещё попробовать pool.sks-keyservers.net:11371 — это по сути пул большинства открытых серверов, они там выдаются по порядку.
А вот этот работает. И выдает не одну запись, а пачкой. Нашел меня и пару однофамильцев.
Прекрасно, вот и решение проблемки.
Заодно узнал ответ на незаданный вопрос – где искать список всех имеющихся в сети открытых кейсерверов.
Спасибо большое за помощь :)