Вопрос или проблема
Я опубликовал свой GPG-ключ на keys.openpgp.org, keyserver.ubuntu.com и на своих собственных WKD, соответствующих каждому из двух адресов электронной почты на моих собственных доменах.
Другой пользователь обновил мой публичный ключ из моего WKD (по моей инструкции, используя gpg --auto-key-locate clear,nodefault,wkd --locate-key <адрес электронной почты>), сертифицировал его и отправил мне.
Новая подпись не появилась у меня, поэтому я импортировал ключ, который они прислали, во временное хранилище ключей, чтобы разобраться (я также не смог найти там сертификат, но это просто для контекста). Меня удивило, что публичный ключ, который они мне прислали, содержал (неотозванный) UID, соответствующий работе, которую я оставил год назад, для которой я опубликовал отзыв примерно в то время, когда покинул работу. Другой пользователь, предположительно, уже имел старую версию моего ключа, но поскольку дата истечения переданного публичного ключа соответствует моему последнему обновлению, я знаю, что они тоже должны были получить последнюю версию.
Я ожидал, что пользователь, импортирующий мой ключ из моего WKD, получил бы отзыв устаревшего UID, так как я бы ожидал, что публичный ключ, опубликованный в моем WKD (экспортированный с помощью gpg --no-armor --export <отпечаток> > <wkd-хэш>), будет включать его. Дальней экспериментируя, кажется, что получение ключей из WKD будет всегда импортировать только один соответствующий UID.
Я знаю, что keys.openpgp.org не публикует отозванные UID, так как они вообще не предоставляют UID. Предположительно, отзыв также должен быть на keyserver.ubuntu.com, но все серверы SKS сейчас довольно нестабильны. Тем не менее, ни обновление временного ключа из моего WKD, ни keyserver.ubuntu.com не сделали так, чтобы старый UID появился как отозванный. Импорт файла, который я загрузил в мой WKD, действительно отзывает старый UID.
В любом случае, теперь я задаюсь вопросом, как я могу надежно распространить отзыв о моем устаревшем UID.
Насколько я понимаю, поиск ключа в WKD только вернет искомый UID и не импортирует другие UID, которые могут храниться вместе с ним. Как упоминалось, openpgp.org вообще не публикует отозванные UID, и серверы SKS в основном закрыты и довольно ненадежны.
Я не смог найти способ распространить свой UID, кроме как опубликовать свой ключ на своем сайте, чтобы другие пользователи могли получить его напрямую.
Ответ или решение
Процесс публикации отзывов UID в эпоху Hagrid может показаться запутанным, особенно с учетом существующих проблем с инфраструктурой ключевых серверов и особенностями работы с WKD (Web Key Directory). В данной статье мы рассмотрим детальный подход к этой задаче, который обеспечит надежность и актуальность ваших ключей GPG.
### 1. Понимание проблемы
Ваша ситуация иллюстрирует сложность работы с UID в системе openPGP. Вы опубликовали свой ключ на нескольких ключевых серверах, включая keys.openpgp.org и keyserver.ubuntu.com, но сталкиваетесь с тем, что отзыв старого UID не отображается должным образом. Это может привести к путанице среди пользователей, которые взаимодействуют с вашим ключом.
### 2. Ограничения текущих систем
#### 2.1 WKD
Как вы уже отметили, поиск ключа через WKD извлекает только конкретный UID. Это ограничивает возможность распространять информацию о других UIDs, таких как отозванные. Таким образом, даже если вы обновили свой ключ на WKD, предыдущие UID, которые вы намеревались отозвать, будут продолжать отображаться, если другие пользователи не получат полной версии вашего ключа с соответствующими отзывами.
#### 2.2 Ключевые серверы
Ключевые серверы, такие как keyserver.ubuntu.com, в последнее время испытывают проблемы с надежностью. Выполнение обновлений может не всегда обеспечивать корректное отображение состояния отзывов. Учитывая периодические сбои в работе SKS серверов, ваши действия могут не отражаться вовремя.
### 3. Решение проблемы: шаги к публикации отзыва UID
#### 3.1 Публикация на собственном веб-сайте
Наиболее надежный способ гарантировать, что пользователи смогут получить актуальную информацию об отзыве вашего UID, — это опубликовать свежую версию вашего ключа на собственном веб-сайте. Убедитесь, что у вас есть страница, на которой представлены актуальные версии ключей с указанием статусов отзывов. Вы можете предоставить коды для загрузки и ссылки на версии ключей с новыми сертификатами.
#### 3.2 Перепубликация ключа
Если вы внесли изменения в свой ключ, такие как отзыв устаревших UID, обязательно перепубликуйте его на ключевых серверах. Это может включать в себя как keyserver.ubuntu.com, так и другие альтернативные серверы, которые могут быть более надежными. Это повысит вероятность того, что обновленная информация о вашем ключе будет распространена.
#### 3.3 Локальное распространение
Не забывайте о возможности личного распространения вашего ключа. Позвольте вашим контактам и коллегам напрямую импортировать ваш обновленный ключ из вашего веб-сайта или предоставьте его им через защищенные каналы связи, такие как зашифрованные сообщения или мессенджеры.
#### 3.4 Сообщения о состоянии UID
Рекомендуется вести открытое общение с вашими пользователями о состоянии вашего UID. Создайте информационное сообщение, чтобы объяснить причину отзыва UID и предоставить информацию о том, как пользователи могут убедиться, что у них есть актуальная информация.
### 4. Заключение
В современном мире открытых ключей публикация отзывов UID требует внимательного подхода и использования нескольких стратегий для обеспечения достоверности и актуальности. Ваши усилия по обновлению и публикации ключей имеют решающее значение для поддержания доверия среди ваших пользователей. Следуйте описанным шагам, и вы сможете эффективно управлять своей системой ключей, минимизируя возможные риски, связанные с устаревшей информации.