it-swarm-tr.com

Genel anahtarımı nasıl dağıtmalıyım?

GPG kullanmaya yeni başladım ve genel bir anahtar oluşturdum. Kimse bilmiyorsa anlamsızdır. Nasıl dağıtmalıyım? Facebook ve LinkedIn'deki profilimde yayınlamalı mıyım? Bloguma ne dersin? Riskler nelerdir?

193

Anahtarınızı dağıtmanın en iyi yolu, kullanılabilir anahtar sunuculardan birini kullanmaktır, örneğin keyserver.ubuntu.com , pgp.mit.ed veya keyserver.pgp.com .

Seahorse (Ubuntu altındaki varsayılan anahtar yöneticisi) kullanırsanız, anahtarlarınızı otomatik olarak bu sunuculardan biriyle senkronize eder. Kullanıcılar daha sonra e-posta adresinizi veya anahtar kimliğinizi kullanarak anahtarınızı arayabilir.

Genel anahtarınızı LinkedIn veya blogunuza göndermek istiyorsanız, anahtarı sunucunuza yükleyebilir veya yukarıdaki anahtar sunucularından birinde anahtarınızın sayfasına bağlantı verebilirsiniz. Şahsen, dosyayı farklı konumlarda yüklemek yerine tek bir yerde güncel tutmak daha kolay olduğu için, anahtar sunucularından birine yükler ve bağlantı kurarım. Ayrıca anahtar kimliğinizi kişilerle paylaşabilirsiniz ve daha sonra gpg --recv-keys.

Genel anahtarınızı Facebook'ta yayınlamak istiyorsanız, profilinizin İletişim Bilgileri bölümünün altına yerleştirebileceğiniz bir alan vardır. Ayrıca, e-postalarını size şifrelemek için aynı ortak anahtarı kullanmak üzere Facebook güvenlik ayarlarınızı da değiştirebilirsiniz.

Örneğin, işte genel anahtarım .

Bildiğim kadarıyla, ortak anahtarınızı yayınlamakla ilişkili herhangi bir risk yoktur.

107
Mark Davidson

Genel anahtarınızı sizin ve @Mark'ın açıkladığı şekilde yayınlayarak özel anahtarınızı açığa çıkarma veya açık anahtarınızı geçersiz kılma riski yoktur. @Pboin'in belirttiği gibi, dünyaya açık olacak şekilde tasarlanmıştır.

Bununla birlikte, elinizde başka bir sorun daha var ... Genel anahtarınıza sahip olmanın ve yayınlamanın temel amaçlarından biri (aslında, bu muhtemelen ana amaçtır), kendinizi diğer kullanıcılara doğrulamak, herhangi birinin gerçekliğini doğrulamasını sağlamaktır. mesajlar veya veriler imzalayın ve verileri yalnızca gözleriniz için koruyun/şifreleyin.
Ancak bu kullanıcılar bunun gerçekten SİZİN ortak anahtarınız olduğunu nasıl bilebilirler? Örneğin, @Mark Davidson'a http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE493B06DD070AFC8 adresinde yayınlanan anahtarını kullanarak özel bir mesaj göndermek istersem, Bu anahtarı yayınlayan veya beni oraya yönlendiren [~ # ~] gerçek [~ # ~] Mark Davidson olduğunu nasıl bilebilirim?
KENDİ açık anahtarımı mit.edu'da LinkedIn, Facebook vb. Üzerinde yayınlamak ve kendime Bill Clinton (veya Bill Gates) demeniz önemsiz olurdu. Aksini nasıl bilebilirsin?
Ayrıca, eğer bir şekilde Bunun gerçekten doğru kişi olduğunu biliyorum (örneğin, blogunda yayınlanan pk aracılığıyla anonim bir blogcu ile iletişim kurmak istiyorum - Umrumda değil) gerçekte kim, sitenin sahibi - ve dolayısıyla pk yayıncısı - her nasılsa doğru kişidir) - ortak anahtarın yolda kurcalanmadığını garanti etmek için ne var? Şimdiye kadar bahsedilen tüm bağlantılar ve siteler (tamam, PGP anahtar sunucusu hariç) HTTP'dir - yani kanal koruması yoktur, yani sunucu ve tarayıcı arasında kolayca değiştirilebilir.

X.509/PKI modelini kullanırken, her zaman sizin için kefil olan güvenilir vardır. Örneğin. iyi bilinen bir Sertifika Yetkilisi (tarayıcı satıcıları onları incelediği ve kök sertifikalarını tarayıcıdaki Güvenilen Kökler Deposuna eklediği için güvenilir) kimliğinizi doğruladı ve imzalı genel anahtarınız/sertifikanız. Böylece, kim olduğunuzu söylediğinizi doğrulamak isteyen herkes, imzayı kontrol edebilir ve sonra sizin için kefil olan kişinin kimliğini kontrol edebilir (ve sonra tanınmış güvenilir kök CA'yı bulana kadar tekrar edebilir).

Ancak, PGP modelinde genellikle hayır merkezi, güvenilir otorite vardır (ancak mevcut sürümler buna izin verir). Bunun yerine, PGP güven ağı modeline dayanır, burada birine güvenirseniz, başkasının kimliği için kefil olabilirler.

Ne olursa olsun, açık anahtarınızı oraya koymanız kimsenin kimliğinizi doğrulamasına yardımcı olmaz ve şifreli mesajların yalnızca doğru kişi tarafından görüntülenebilmesini sağlamaz.

Ne yapabilirsin:

  • Sizin ve @Mark'ın söylediği gibi ortak anahtarınızı yayınlayın - ancak daha sonra güvenli bir kanal aracılığıyla genel anahtar jeton (temelde ortak anahtarın bir parmak izi gibi bir karması) sağlayın. Örneğin. bu, sizi kişisel olarak tanıyorsa telefonla okumak için yeterince kısa ... Hatta birinin kartını pk jetonunu kartına koyduğunu, bir konferans verdiğini gördüm (kuşkusuz bu bir satıcıdan).
  • E-postalarınızı imzalamaya başlayın, ardından alıcıya bant dışı bir kanaldan imzanız olduğunu doğrulayın (örn. Telefonla veya şahsen ( gasp !!))
  • Durumu karmaşık hale getirin, standart bir X.509 sertifikası alın ve web sitenize SSL (tercihen EV) uygulayın, o zaman herkes bu alan adının sahibi olan kişiden geldiğini bilerek pk'nizi güvenli bir şekilde indirebilir ... (Tamam, belki işe yarıyor) büyük şirketler için daha iyi ...)
    Microsoft'un nasıl olduğunu kontrol edin yapıyor ...

Aaaaall bir yana, gerçekten bu pk ne için bağlıdır - sadece annenizi vay için ise, o zaman tüm bunlarla uğraşmayın :)
Öte yandan, gerçekten hassas iletişiminiz varsa veya güvenlik konusunda bilinçli istemciler varsa, yukarıdakilerin hepsi is önemlidir ...

79
AviD

Genel bir çözüm, bunu keyserver dizinine yüklemektir. Başka bir iyi fikir Biglumber adresinde bir giriş yapmak olabilir. Bu, diğer insanlarla iletişim kurmanıza ve belki de birbirlerinin anahtarlarını imzalamanıza yardımcı olur.

Ayrıca gelen kutunuza bakmalı ve e-postalarını zaten imzalamış olan kişileri aramalısınız. Artık bir anahtarınız olduğunu ve onları bir kaynağa yönlendirdiğiniz resmi olmayan bir posta gönderebilirsiniz.

Anahtarınızla ilgili bir blog girişi de iyidir. Anahtarınızı indirmek için bir bağlantı sağlamalısınız.

Postanızda imza kullanırsanız, yeni anahtarınızı gösterebilir ve elbette her posta imzalayabilirsiniz.

Bir anahtar sunucusuna yüklendikten (ve bunlar arasında dağıtıldıktan sonra) anahtarınızı silemeyeceğinizi hatırlatın. Tabii ki iptal edebilirsiniz. Ayrıca, spam gönderenlerin bu e-posta adreslerini aradığı ve size bazı "Güzel teklifler" gönderdiği varsayılmaktadır. İmzalar yaptığınızda ve yeni imzalar yüklediğinizde, imza belirli bir tarihte nerede olduğunuzu gösterir.

27
qbi

Anahtarınızdaki tüm e-posta adreslerinin herkese açık web arayüzlerinde gösterileceğini unutmayın. Anahtarımdaki e-postada çok fazla spam alıyorum, bu nedenle mevcut e-posta adresimi anahtara koymadı.

11
allo

"Dağıtım" sorunuzun basit cevabı, sizin ve hedeflediğiniz alıcılar için uygun olan herhangi bir yöntemi kullanmanız ve gizlilik açısından ihtiyaçlarınızı karşılamanızdır. Örneğin. bir keyserver birçok alıcıya dağıtmak için rahatlıkla kullanılabilir, ancak ubi notlarında tipik bir keyserver uid'i (tipik olarak e-posta adresiniz olan) her zaman spam göndericilerine gösterir.

Çok daha zor soru, alıcınızın bir saldırıyı kolaylaştıran sahte bir şey yerine sizin için doğru anahtarı aldıklarını nasıl doğruladığıdır? Anahtarın bir parmak izini diğer kişi "bant dışı" ile, ör. telefonda. Ya da "güven ağına" güvenebilirsiniz: amaç için güvendiğiniz insanların bir imza zinciri. Daha fazla ipucu için şu sorulara bakın:

7
nealmcb

Genel anahtarın dağıtımı, PGP/GPG ile ilgili hala açık bir sorundur.

Genel bir anahtar sunucusuna yükleyin

  • diğerleri anahtarınızı, anahtarınızla bağlantılı olarak görmek istemediğiniz hakaret edici bir metin veya içerikle imzalayabilir
  • birçok kullanıcı şifreyi unutur veya iptal anahtarını kaybeder ve posta adreslerini değiştirir ve artık eski anahtarı kaldıramaz.
  • bu sunuculardan bir anahtarı veya imzayı kaldırmak neredeyse imkansız
  • bir anahtar sunucudan verileri analiz etmek için veri madenciliği araçları var
  • bir genel anahtar sunucusundaki adreslere biraz daha spam gelir, çünkü kırpılması kolay ve çok ilginçtir çünkü çok sayıda meta veriyi desteklerler: Ad, posta, arkadaşlar, zaman damgası gibi.
  • ... ancak herkes genel anahtarınızı bir anahtar sunucusuna yükleyebilir. Bu niyetle veya kazayla olabilir. Çoğu PGP aracı, içe aktarılan ortak anahtarların yüklenmesini destekler ve yeterince beklerseniz biri yükler ve sizi tanımadan anahtarı imzalar.

Kendi web sitenize yükleyin

  • kullanıcı anahtarı kaldırabilir veya değiştirebilir
  • alıcının güvenilir bir web sitesinden bir anahtar indirmek, otantik bir anahtar için başka bir gösterge olabilir
  • pGP'nin birçok profesyonel kullanıcısı bu yöntemi seçti (de)
  • anahtarı web sitenize kişinin yanına yerleştirmek PGP kullanımını tanıtır

Kişisel toplantı

Daha fazla okuma için bakınız

6
Jonas Stein

Dağıtım için, bu gerçekten kitlenize bağlıdır. İçimdeki iyimser, insanların mesajları şifrelemek ve imzalarımı kontrol etmek için anahtarımı kullanmaya istekli olmasını umuyor. Gerçek şu ki, onu yönetmek sorun değil. Blogumda ve istek üzerine sunarak çok iyi yaptım.

Risklere gelince, dünyaya kolayca erişilebilecek şekilde tasarlanmıştır. Bu endişeleri özel anahtarı korumaya odaklayın. Etrafına bir şifre koyun ve dikkatli bir şekilde koruyun.

6
pboin

Linux'ta şu komutu kullanabilirsiniz:

$ gpg --keyserver hkp://keyserver.ubuntu.com --send-key "your key_index or email"
$ gpg --keyserver hkp://pgp.mit.edu --send-key "your key_index or email"
$ gpg --keyserver hkp://pool.sks-keyservers.net --send-key "your key_index or email"

Ve farklı sunuculara gönderdi. Anahtarınızı yayarlar.

4
John