Ho appena iniziato a utilizzare GPG e ho creato una chiave pubblica. È un po 'inutile se nessuno lo sa. Come dovrei distribuirlo? Devo postarlo sul mio profilo su Facebook e LinkedIn? E il mio blog? Quali sono i rischi?
Ho appena iniziato a utilizzare GPG e ho creato una chiave pubblica. È un po 'inutile se nessuno lo sa. Come dovrei distribuirlo? Devo postarlo sul mio profilo su Facebook e LinkedIn? E il mio blog? Quali sono i rischi?
Il modo migliore per distribuire la chiave è utilizzare uno dei server chiave disponibili, come keyserver.ubuntu.com , pgp.mit.edu o keyserver.pgp.com .
Se usi Seahorse (gestore delle chiavi predefinito in Ubuntu), sincronizza automaticamente le tue chiavi con una questi server. Gli utenti possono quindi cercare la tua chiave usando il tuo indirizzo email o keyid.
Se si desidera pubblicare la propria chiave pubblica su LinkedIn o sul proprio blog, è possibile caricare la chiave sul server o semplicemente collegarsi alla pagina per la chiave su uno dei server delle chiavi sopra. Personalmente, lo avrei caricato su uno dei server di chiavi e collegato ad esso, poiché è più facile tenerlo aggiornato in un posto, invece di avere il file in un sacco di posizioni diverse. Puoi anche condividere il tuo keyid con le persone, che possono quindi ricevere la tua chiave utilizzando gpg --recv-keys
.
Se volevi pubblicare la tua chiave pubblica su Facebook, c'è un campo per posizionarlo nella sezione Info contatto del tuo profilo. Puoi anche modificare le impostazioni di sicurezza di Facebook per utilizzare questa stessa chiave pubblica per crittografare le loro email.
Ad esempio, ecco la mia chiave pubblica .
Per quanto ne so, non ci sono rischi associati alla pubblicazione della tua chiave pubblica.
Non esiste il rischio di esporre la tua chiave privata o di invalidare la tua chiave pubblica, pubblicando la tua chiave pubblica nei modi che tu e @Mark avete descritto. Come ha affermato @pboin, è progettato per essere disponibile per il mondo.
Tuttavia, c'è un altro problema in mano ... Uno degli scopi principali di avere e pubblicare la tua chiave pubblica (in realtà, questo è probabilmente lo scopo principale), è quello di autenticarsi ad altri utenti, consentire loro di verificare la autenticità di tutti i messaggi o dati che firmi e proteggi / cripti i dati solo per i tuoi occhi.
Ma come fanno quegli utenti a sapere che è davvero la TUA chiave pubblica? Ad esempio, se voglio inviare un messaggio privato a @Mark Davidson, utilizzando la sua chiave pubblicata su link , come faccio a sapere che è stato REAL Mark Davidson a pubblicare quella chiave o che mi ha indicato lì?
Sarebbe banale per me pubblicare la mia chiave pubblica PROPRIA, su mit.edu, su LinkedIn, Facebook, ecc. E chiamarmi semplicemente Bill Clinton (o Bill Gates). Come potresti sapere altrimenti?
Inoltre, se in qualche modo so che questa è davvero la persona giusta (ad esempio, voglio contattare un blogger anonimo, tramite il pk pubblicato sul suo blog - non mi interessa chi sia veramente, il proprietario del sito - e quindi l'editore pk - è comunque la persona giusta) - cosa significa garantire che la chiave pubblica non sia stata manomessa durante il percorso? Tutti i link e i siti citati finora (ok, ad eccezione del keyserver PGP) sono HTTP - cioè non c'è protezione del canale, cioè possono essere facilmente modificati tra server e browser.
Quando usi il modello X.509 / PKI, c'è sempre qualcuno fidato che garantisce per te. Per esempio. una nota Autorità di certificazione (ritenuta attendibile dal fatto che i produttori di browser li hanno controllati e aggiunto il loro certificato di root all'archivio di Trusted Roots nel browser) ha verificato la propria identità e ha firmato la propria chiave / certificato pubblico. Pertanto, chiunque voglia verificare chi sei, chi può essere, può semplicemente controllare la firma e quindi controllare l'identità di chi ti garantisce (e poi ripetere fino alla ricerca della nota CA attendibile).
Tuttavia, nel modello PGP, di solito c'è l'autorizzazione centrale no (sebbene le versioni correnti lo consentano). Invece, PGP si basa sul modello del web-of-trust, in cui, se ti fidi di qualcuno, puoi garantire a turno l'identità di qualcun altro.
Indipendentemente da ciò, solo inserendo la tua chiave pubblica non aiuta nessuno a verificare la tua identità, né a garantire che i messaggi crittografati siano visibili solo dalla persona giusta.
Che cosa puoi fare:
Aaaaall a parte questo, dipende davvero da cosa è questo pk - se è solo per stupire tua madre, allora non preoccuparti di tutto questo :)
D'altra parte, se si dispone di comunicazioni veramente sensibili o di client attenti alla sicurezza, allora tutti i precedenti sono importanti ...
Una soluzione generale è caricarla in un keyserver . Un'altra buona idea potrebbe essere quella di inserire una voce in Biglumber . Questo aiuta a entrare in contatto con altre persone e magari a firmarsi a vicenda.
Inoltre dovresti dare un'occhiata alla tua casella di posta e cercare i contatti che già firmano le loro email. Potresti mandare loro una mail informale, che ora hai una chiave e indirizzarla a una risorsa.
Anche un blog sulla tua chiave va bene. Dovresti fornire un link per scaricare la tua chiave.
Se utilizzi le firme nella tua posta, puoi puntare alla nuova chiave e ovviamente firmare ogni mail.
Ricorda che non puoi cancellare la tua chiave dopo che è stata caricata su un server delle chiavi (e distribuita tra di loro). Certo, puoi revocarlo. Inoltre si presume che gli spammer cerchino tali indirizzi e-mail e ti inviino alcune "belle offerte". Quando esegui le assegnazioni dei tasti e carichi le nuove firme, la firma rivela dove sei stato in una data specifica.
Tieni presente che qualsiasi indirizzo email sulla tua chiave verrà mostrato su interfacce web pubbliche. Ho ricevuto un sacco di spam sull'e-mail sulla mia chiave, quindi non ha inserito il mio attuale indirizzo e-mail sulla chiave.
Per la distribuzione, dipende molto dal tuo pubblico. L'ottimista in me spera che le persone siano ansiose di usare la mia chiave per crittografare i messaggi e controllare le mie firme. La realtà è che gestirlo è stato un problema. L'ho fatto molto bene offrendolo sul mio blog e su richiesta.
Per quanto riguarda i rischi, è progettato per essere prontamente disponibile per il mondo. Concentrare le preoccupazioni sulla salvaguardia della chiave privata. Metti una password intorno e guardala attentamente.
La semplice risposta alla tua domanda di "distribuzione" è che dovresti usare qualsiasi metodo che funzioni convenientemente per te e per i tuoi destinatari, e soddisfi le tue esigenze in termini di privacy. Per esempio. un server di chiavi può essere convenientemente utilizzato per la distribuzione a molti destinatari, ma come nota in ubi un tipico server di chiavi espone l'uid (che in genere ha il tuo indirizzo email) agli spammer per sempre.
La molto domanda più difficile è come il destinatario verifica se ha preso la chiave giusta per te, piuttosto che qualcosa falsificato che faciliti un attacco? Potresti voler scambiare un'impronta della chiave con l'altra persona "fuori banda", ad es. per telefono. Oppure puoi contare sulla "rete di fiducia": una catena di firme di persone di cui ti fidi per lo scopo. Vedi queste domande per ulteriori suggerimenti:
La distribuzione della chiave pubblica è ancora un problema aperto con PGP / GPG.
Carica su un server delle chiavi pubblico
Carica nel tuo sito web
Riunione personale
un possibile attacco è piantare una chiave falsa. I paranoidi si incontrano di persona e scambiano le chiavi stampate su carta.
potrebbe trovarsi in un codice QR sulla tua carta (molto famoso); vedi Esiste uno standard per stampare una chiave pubblica come codice a barre?
Per ulteriori letture vedi
In Linux, puoi usare il comando:
$ gpg --keyserver hkp://keyserver.ubuntu.com --send-key "your key_index or email"
$ gpg --keyserver hkp://pgp.mit.edu --send-key "your key_index or email"
$ gpg --keyserver hkp://pool.sks-keyservers.net --send-key "your key_index or email"
E inviato a diversi server. Propagheranno la tua chiave.
Leggi altre domande sui tag cryptography key-management pgp