Вопрос или проблема
https://sks-keyservers.net/ (снимок интернет-архива) говорит
Этот сервис устарел. Это означает, что он больше не поддерживается, и новые сертификаты HKPS не будут выдаваться. Ожидать надежности сервиса не стоит.
Обновление 2021-06-21: В связи с еще большим количеством запросов на удаление в соответствии с GDPR DNS-записи для пула больше не будут предоставляться.
Какие ключевые серверы я могу использовать для gpg --keyserver "$keyserver1" --recv-key keyid, от которых я могу ожидать, что они не исчезнут в ближайшее время?
Какие ключевые серверы я могу использовать для
gpg --keyserver "$keyserver1" --recv-key keyid, от которых я могу ожидать, что они не исчезнут в ближайшее время?
Рекомендуется использовать keys.openpgp.org, однако этот ключевой сервер включает только идентификаторы пользователей для ключей, владельцы которых лично подтвердили их через электронную почту (фактически исключая большие части экосистемы PGP). Он также не включает никакие сторонние подписи на ключах, чтобы уменьшить возможность атаки “отравленного ключа”. На декабрь 2021 года это является стандартным (если пользователем не настроен другой) ключевым сервером для GnuPG, упакованным Debian с версии gnupg2 2.2.17-1 (выпущенной в 2019 году).
Лично я бы порекомендовал ключевой сервер на основе Hockeypuck, такой как keyserver.ubuntu.com, который не так ограничен (хотя он лишает сторонних подписей). GnuPG с тех пор изменил это на стандартное начиная с версий 2.2.29 и 2.3.2.
Альтернативные публичные PGP ключевые серверы, которые поддерживают доступ через HKP (как когда-то использовали SKS ключевые серверы):
- keys.openpgp.org (основан на hagrid)
- keyserver.ubuntu.com (основан на Hockeypuck)
- keys.mailvelope.com (основан на Mailvelope)
Доступ через другие протоколы, поддерживаемые GnuPG:
- LDAP: keyserver.pgp.com (основан на Broadcom PGP Universal Server)
В связи с тем, что SKS ключевые серверы были отключены из-за проблем, связанных с GDPR, нам следует быть готовыми к тому, что в долгосрочной перспективе останутся только проверяющие ключевые серверы. Проверяющие ключевые серверы требуют, чтобы пользователь подтвердил свой адрес электронной почты перед публикацией PGP ключа.
(Части информации собраны с PGP Key Retrieval)
keys.gnupg.net также исчез.
По крайней мере, keyserver.ubuntu.com все еще функционален. Я смог использовать его из GnuPG только добавив префикс hkps:// и суффикс :443:
gpg2 --keyserver hkps://keyserver.ubuntu.com:443 --recv-keys XXXXXXXXXXXXXXXX
Обратите внимание, что его веб-интерфейс и многие другие, такие как https://pgp.key-server.io/, не позволяют искать ключ по его идентификатору, если вы вводите его как XXXXXXXXXXXXXXXX или XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX, но поиск по 0xXXXXXXXXXXXXXXXX или 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX работает нормально. Это также работает на https://pgp.mit.edu/, но там поиск очень медленный, и я не смог заставить это работать через GnuPG.
РЕЗЮМЕ
Старое
Чтобы добавить немного больше деталей к тому, что написал not2savvy:
В основном, PGP ключевые серверы работали на коде SKS-Keyserver, написанном десятилетия назад и не поддерживаемом. Они были взломаны в июне 2019 года и отключены навсегда. Подробности можно найти в этом сообщении от администратора FAQ GnuPG Роберта Дж. Хансена Сеть SKS Keyserver под атакой.
Новое
С тех пор было написано несколько новых PGP ключевых серверов, которые реализуют HKP-протокол
Проверяющие ключевые серверы – (Использовать)*
Проверяющие ключевые серверы – это новые серверы, которые проверяют адреса электронной почты загруженных ключей и разработаны для того, чтобы быть “устойчивыми к злоупотреблениям и проблемам конфиденциальности, которые преследуют старые SKS ключевые серверы”.
Я бы предложил использовать проверяющие ключевые серверы:
- keys.openpgp.org
основанный на hagrid и проверяющий - keys.mailvelope.com
основанный на Mailvelope и проверяющий
Ключевой сервер Ubuntu ниже не проверяет адрес электронной почты ваших ключей, но это новый поддерживаемый ключевой сервер, который может реализовать проверку в будущем.
- keyserver.ubuntu.com основанный на Hockeypuck – не проверяет ваш адрес электронной почты
Я выбрал использовать
- pgp.surf.nl
- keyserver.bazon.ru
- agora.cenditel.gob.ve
- pgp.benny-baumann.de
Обратите внимание, что pgp.surf.nl теперь использует Hockeypuck.
Ответ или решение
С уходом SKS-ключевых серверов PGP, важным вопросом для специалистов в области ФИТ становится выбор альтернативных ключевых серверов, которые обеспечивают надежность и долгосрочную поддержку. Данная статья исследует текущие варианты ключевых серверов для GnuPG, а также их возможности и ограничения.
Проблема SKS-ключевых серверов
SKS-ключевые серверы были использованы в течение многих лет, однако их поддержка была прекращена из-за неэффективности, уязвимостей безопасности и проблем с соблюдением GDPR. С 2021 года на сайте sks-keyservers.net было объявлено о прекращении обслуживания, что создало неразбериху среди пользователей, продолжающих полагаться на их услуги.
Что вместо SKS-ключевых серверов?
На данный момент существуют несколько рекомендуемых альтернатив, включая как проверяющие, так и обычные ключевые серверы, которые можно использовать с GnuPG. Ниже представлены ключевые рекомендации.
1. Проверяющие ключевые серверы
Проверяющие ключевые серверы требуют от пользователей подтверждения собственного адреса электронной почты перед тем, как ключи будут опубликованы. Это помогает сократить количество "отравленных" ключей.
-
keys.openpgp.org: этот сервер разработан на базе проекта Hagrid и обеспечивает строгую верификацию для загружаемых ключей. Однако учтите, что он не поддерживает сторонние подписи, что может ограничить его использование.
-
keys.mailvelope.com: также основан на Mailvelope и требует подтверждения почтовых адресов перед размещением ключей.
2. Обычные ключевые серверы
Эти сервера, как правило, менее безопасны, так как они не требуют проверки адреса электронной почты, однако могут быть полезными в определенных сценариях.
-
keyserver.ubuntu.com: основан на Hockeypuck, но не предоставляет механизма верификации никого из пользователей. Тем не менее, этот сервер до сих пор функционирует и может использоваться в качестве временной альтернативы.
-
pgp.benny-baumann.de: еще один действующий ключевой сервер, который обеспечивает основные функции поиска и получения ключей.
-
pgp.surf.nl: использует Hockeypuck и может служить хорошей альтернативой.
-
keyserver.bazon.ru: поддерживает HKP и может использоваться для получения ключей.
3. Доступ через другие протоколы
Некоторые ключевые серверы предлагают доступ через другие протоколы, поддерживаемые GnuPG:
- LDAP: keyserver.pgp.com. Этот сервер основан на PGP Universal Server и может также быть полезен для получения ключей.
Заключение
В условиях, когда SKS-ключевые серверы прекратили свое существование, важно использовать новые, более надежные решения для управления PGP-ключами. Проверьте настройки GnuPG и установите предпочитаемый ключевой сервер, учитывая специфику ваших задач и требования к безопасности.
Используя предложенные решения, вы можете продолжать безопасно обмениваться данными, зная, что используете поддерживаемые ключевые серверы, которые будут сохранять ваши ключи в безопасности и доступности на протяжении долгого времени.