PGP8x, 9x – поиск ключей на сервере


Hello

Обратил внимание на такую странность. В пакетах PGP-8 и -9 при поиске клчей по какому-либо критерию в результате поиска не окзывается более одного ключа. В версии 6x, вроде бы, было не так, но я не помню наверняка.

Например условие поиска: 'email' contine '@gmail.com'
Ответ – один ключ :)
причем если искать a@gmail.com, то в ответе опять будет один ключ, но другой :)

Это не мешает, если точно известен email или, тем более, keyID. Почти всегда так оно и есть. Но не всегда – будут проблемы, если у адресата зарегистрировано несколько разных ключей для одного и того же емейла. Какой из оных ключей окажется в ответе сервера – непонятно.

Так что вопрос мой малозначимый, больше из праздного любопытства – "что делать и кто виноват", то есть чем это объясняется и можно ли исправить?


Комментарии
— SATtva (09/07/2011 10:38)   
Для поиска Вы используете какой-то конкретно сервер ключей? Какой? Проблема возникает только с ним или с любыми другими тоже?
— thesis (09/07/2011 12:25)   
Я использую те серверы, которые по умолчанию прописаны в настройках PGP.
В девятке это один keyserver.pgp.com.
— SATtva (09/07/2011 12:57)   
Это могут быть специфические настройки сервера. Попробуйте, например, subkeys.pgp.net (это HKP/HTTP-сервер, не LDAP).
— thesis (09/07/2011 13:16)   
Не находит ничего, возможно нет связи с этим сервером. ping проходит, порт 80 на этот хосте открыт.
Номер порта там должен быть 80 или какой-то другой?
— SATtva (09/07/2011 13:19)   
11371.
— thesis (09/07/2011 18:26, исправлен 09/07/2011 18:27)   

Безрезультатно.
Может я что-то не то сделал?


PGP Desktop -> tools -> options -> Keyservers ->
добавил subkeys.pgp.net, тип PGP keyserver HTTP, порт 11371
Остальные поля там недоступны.
Сохранил.
В списке ключесерверов он появился, однако в колонке trusted указано NO


PGP -> search for keys -> search on subkeys.pgp.net
email contine @gmail.com


Ничего не найдено.


Версия PGP 9.10, не кракнутая, свежепоставленная. Следы предыдущих версий из винды были вычищены.

— SATtva (09/07/2011 18:32, исправлен 09/07/2011 18:33)   

Не пойму, что Вы вводите в строку поиска? Прямо "email contine @gmail.com"? С пробелами?

— thesis (09/07/2011 18:34, исправлен 09/07/2011 18:34)   

BTW, не посоветуете ли что надо сделать с такой ситуации: один из email-адресов, указанных в моем ключе, мне больше не принадлежит. Как я понял, удалать этот адрес из ключа бесполезно. Можно только отозвать свою подпись с него или отозвать весь ключ.

— SATtva (09/07/2011 18:36)   
Логичнее отозвать свою автоподпись с данного UID.
— thesis (09/07/2011 18:39)   


:)
нет, конечно.
в параметрах поиска в первом селекторе выбираю "email", во втором "contines" и в поле для искомого значения пишу @gmail.com

— SATtva (09/07/2011 18:47)   
Вы не спамер часом? Ни один сервер ключей не отдаст Вам ничего по такому запросу, конкретизируйте его.
— thesis (09/07/2011 18:48)   
Вот, кажется возможная причина начинает определятся.
В списке ключей rclick на чью-либо подпись, в появившемся меню выбрал "Get signing key from server". В результате ошибка:


Что интересно: если в списке кейсерверов subkeys.pgp.net поставить первым, то это сообщение об ошибке не появляется. Но все равно не работает.
— SATtva (09/07/2011 18:51)   
Трафик не может блокироваться тем или иным брандмауэром?
— thesis (09/07/2011 18:52)   

:)
Я програмер в отпуске. Впрочем, по поводу спамеров Вы же сами и писали, что для них это не целевая аудитория.
— thesis (09/07/2011 18:55)   


Маловероятно. Прямой IP, роутер мой собственный, провайдер не слишком косорукий. Однако, как я уже проверил, сокет на указанный адрес успешно открывается
telnet subkeys.pgp.net 11371 — есть соединение
— SATtva (09/07/2011 18:55)   
Но это не значит, что серверы ключей должны сами давать инструмент для харвестинга. Они не отвечают на запросы, возвращающие слишком большое число элементов.
— thesis (09/07/2011 19:11, исправлен 09/07/2011 19:17)   

Хм. Могли бы просто окраничить количество отдаваемых элементов. Вот у Вас же на сайте так и сделано. Первые полста подходящих записей. Но это их дело.


Ну да ладно, однако поиск по subkeys.pgp.com так и не работает. Например мой собственный ключ по ID не находит, хотя, теоретически, он там должен быть. Ведь база ключей, с которой работает Ваш сайт, связана с PGP-шной?

— SATtva (09/07/2011 19:38)   
Нет, не связана. Можете видеть[link1], с какими серверами работает сайт. Сервер PGPCorp keyserver.pgp.com изолирован, он не синхронизируется с другими: если загрузили свой ключ только туда, то на HKP-серверах его не найдёте.
— thesis (09/07/2011 21:05)   

Cюрприз, однако.

Я решил посмотреть как в этом смысле будет себя вести другая версия PGP. Снял 9.10, поставил 8.10.
Кстати, в списке серверов у него уже есть keyserver.norply.org

Поиск не работает, socket error.

Взял IPtools просканировал порты на хостах, указанных в качестве HTTP-кейсерверов. Порт 11371 везде закрыт почему-то :(

Однако понятно, почему проверка telnet-ом работала :)
Автопилот ошибся, проверял subkeys.pgp.com

То есть фактически у меня просто нет связи с subkeys.pgp.net:11371

Трясти провайдера?
— SATtva (09/07/2011 22:17)   
Он иногда бывает в дауне, но в данный момент от меня работает, так что возможно, что у Вас локальная проблема связности. Можете ещё попробовать pool.sks-keyservers.net:11371 — это по сути пул большинства открытых серверов, они там выдаются по порядку.
— thesis (09/07/2011 22:59)   
А вот этот работает. И выдает не одну запись, а пачкой. Нашел меня и пару однофамильцев.
Прекрасно, вот и решение проблемки.
Заодно узнал ответ на незаданный вопрос – где искать список всех имеющихся в сети открытых кейсерверов.

Спасибо большое за помощь :)

Ссылки
[link1] https://www.pgpru.com/servisy/keyserver