Perché non è obbligatorio che i server delle chiavi siano disponibili solo tramite HTTPS?

0

Se trovo Google per inurl:http+keyserver , sulle prime 10 pagine di risultati che riesco a trovare questi:

E questi sono solo i server delle chiavi basati su www. Hanno zero indizi sulla sicurezza IT? HTTPS non è un Santo Graal, ma è molto meglio del testo in chiaro! La corretta configurazione di HTTPS richiede che HTTP non sia abilitato (almeno un redir!) E un certificato HTTPS valido ...

Domanda: Perché non è obbligatorio che i server delle chiavi siano disponibili solo tramite HTTPS? Let's Encrypt di oggi è gratuito e non richiede manutenzione. C'è qualche buona ragione per non usare una connessione sicura (criptata e autentica)?

UPDATE : durante un MiTM, le chiavi che non vengono inviate tramite HTTPS possono essere modificate, quindi non importa che qualcuno possa caricare le chiavi su keyservers, il tutto è già perso! HTTPS dovrebbe essere obbligatorio! Almeno una possibilità migliore!

    
posta pepite 08.12.2016 - 16:18
fonte

2 risposte

7

Necessità di HTTPS per le chiavi PGP?

Per PGP, abbiamo già creato un meccanismo PKI, chiamato web of trust, quindi non necessariamente bisogno di server delle chiavi HTTPS.

Anche se i server delle chiavi servivano le loro chiavi su HTTPS, non si poteva essere sicuri della correttezza delle chiavi, dato che chiunque può inviare chiavi arbitrarie al server. La pubblicazione delle chiavi non sicure su HTTPS non le renderebbe attendibili all'improvviso.

Necessità di HTTPS in generale?

Quindi non vi è alcun motivo per cui le chiavi PGP devono essere specificatamente fornite su HTTPS.

Ci sono comunque argomenti validi per HTTPS, principalmente per quanto riguarda la privacy e l'integrità. Vedi ad esempio Let's Encrypt Everything .

Perché i keyserver non impongono HTTPS?

Molte di queste pagine non supportano HTTPS o non hanno un certificato valido, quindi forzare tutto il traffico su HTTPS non sarebbe una buona idea, in quanto le renderebbe meno accessibili.

Ma perché non supportano HTTPS? Probabilmente perché creare troppi problemi è troppo difficile. Certo, Let's Encrypt fornisce certificati gratuiti, ma qualcuno deve ancora configurarli.

    
risposta data 08.12.2016 - 17:37
fonte
0

Hai un argomento equo, su HTTPS. Sebbene, PGP faccia uso della crittografia a chiave pubblica. Una chiave (una chiave pubblica) che puoi distribuire ai tuoi amici per crittografare e inviare i dati crittografati a te. L'altra chiave (chiave privata), solo tu hai accesso.

Questo è uno dei motivi per cui le persone devono generare una nuova chiave coppia quando perdono la chiave privata.

Quando si invia la chiave ai server di chiavi pubbliche PGP e non vengono chiamati "server a chiave pubblica" per caso. L'unica cosa che un intercettatore può fare in possesso della tua chiave pubblica è: crittografare i dati. Ma non possono decifrare o indovinare la chiave privata.

Ecco perché credo che questi server non si preoccupino di HTTPS. È perché l'unica informazione da intercettare è pubblica.

    
risposta data 08.12.2016 - 17:13
fonte

Leggi altre domande sui tag