Où télécharger la clé publique PGP? Les KeyServers survivent-ils encore?


87

Je souhaite télécharger ma clé publique PGP sur un serveur public. Jusqu'au moment où PGP était une organisation indépendante, j'ai beaucoup entendu parler de KeyServers, mais après que Symantec ait acquis PGP, quel est l'avenir de ces serveurs?

Existe-t-il un autre moyen de garder mes clés publiques en ligne?

Réponses:


81

Oui, les serveurs de clés existent toujours:

Les gens utilisent généralement SKS, car il se compose de nombreux serveurs qui synchronisent leur base de données en continu. Pendant ce temps, Global Directory est un serveur unique, exploité commercialement, qui peut tomber en panne à tout moment. Il en va de même pour les nouveaux serveurs de clés non-SKS.

Cependant, SKS a le problème d'accepter quoi que ce soit et de le stocker pour toujours (un peu comme une blockchain). Cela cause des problèmes depuis longtemps, mais a commencé à être massivement maltraité en 2018-2019. Les nouveaux serveurs de clés ne sont pas synchronisés en partie parce qu'ils veulent trouver comment combiner des objectifs opposés.


Le populaire pgp.mit.edua finalement évolué vers SKS et fait maintenant partie du pool. Il existe également un groupe d'autres serveurs de clés qui ne font pas partie du pool SKS (répertoriés dans la même page d'état). Le serveur de clés par défaut pour GnuPG, keys.gnupg.netest désormais également un alias du pool SKS.

Un autre serveur bien connu, nesubkeys.pgp.net fait pas partie du pool SKS car (autant que je sache), il exécute toujours une très ancienne version de PKS. (Il semble également être en panne, même si le site Web est en place.)


Si votre adresse électronique se trouve sur un nom de domaine que vous gérez (des enregistrements DNS arbitraires peuvent être créés), il est également possible de publier votre clé PGP à l'aide de DNS. La méthode la plus simple est PKA, qui nécessite uniquement la possibilité de créer des enregistrements TXT. voir l'article sur la publication des clés PGP dans le DNS .

La PKA, ainsi que deux autres méthodes (CERT et IPGP CERT), sont décrites plus en détail dans ce guide .

L’un des inconvénients de ces trois méthodes est que GnuPG doit être configuré manuellement pour pouvoir les utiliser et que PGP.com ne prend même pas en charge l’utilisation de DNS. En attendant, pratiquement toutes les versions de PGP et de GnuPG peuvent utiliser des serveurs de clés.

Remarque: GnuPG 2.1.3 a complètement changé le format PKA (en un mélange de CERT et d’ancien PKA).

Étant donné que GnuPG l'a fait dans une version mineure sans se soucier de la compatibilité avec l'ancien format (en fait, l'ancien format utilisait le crash 2.1.x pendant un certain temps après), je ne suis plus à l'aise de suggérer une publication dans le DNS de pubkey . C'est une perte de temps. Utilisez des serveurs de clés.


Lorsque je publie une clé (qui contient privé + public), publie-t-il également une clé privée ??? il ne faut pas ....
Royi Namir

1
@grawity Je n'utilise plus PGP Global Directory car de nombreux liens renvoient vers symantec et que les informations whois ne renvoient aucun résultat, ce qui m'inquiète beaucoup. La sécurité SSL pour PGP Global Directory est également très mauvaise .
meguroyama

2
@meguroyama PGP utilise son propre "Web of trust" pour la vérification des clés. Par conséquent, la prise en charge de SSL dans les serveurs de clés n'est utile que pour des raisons de confidentialité (pour masquer les clés que vous récupérez). De nombreux serveurs de clés SKS n’ont toujours pas accès à SSL, et s’ils l’ajoutent lentement, ce n’est pas un problème de sécurité.
Grawity

1
En ce qui concerne les informations WHOIS - vous ne savez pas non plus qui gère la plupart des serveurs de clés SKS; Et cela aussi n'a pas d'importance.
Grawity

1
@meguroyama: C'est vrai. Le seul problème est que l'annuaire global est isolé. il n'échange les clés avec rien d'autre. D'autre part, tous les serveurs de clés SKS se synchronisent les uns avec les autres; si on tombe en panne, deux douzaines d’autres continuent à travailler.
grawity

3

J’étais confronté au même problème aujourd’hui et j’ai constaté que ni l’une keyserver.pgp.com/ni l’ autre ne sks-keyservers.net/me répondaient au bon moment.

Cependant, j'ai trouvé que ça keyserver.ubuntu.comfonctionnait.


1
Vous devez utiliser le sous-ensemble de haute disponibilité du pool: ha.pool.sks-keyservers.net - ajouter plus de serveurs de clés peut diminuer la fiabilité, car des serveurs moins fiables sont interrogés
Otto Allmendinger

2

MISE À JOUR: en 2017, vous pouvez envisager d'utiliser Keybase , l'approche sociale de la vérification des clés publiques.

"Keybase est une application de sécurité open source gratuite. C'est également un répertoire public de personnes.

L'application Keybase vous aide à effectuer des opérations sécurisées de manière cryptographique avec des personnes que vous connaissez sur Internet: chatter, partager des fichiers, voire publier des documents publics. "


11
Mais Keybase ne respecte pas du tout le système de serveur de clés public et demande en fait aux utilisateurs de stocker leurs clés privées sur leur système. C'est comme un gpg propriétaire, auquel on ne devrait pas faire confiance, à mon humble avis!
hopeseekr

2
C'est un problème connu qui persiste
hopeseekr

6
Ce n'est pas étiqueté ne résoudra pas le problème, et l'envoi du PK à Keybase est une fonctionnalité optionnelle. Voir github.com/keybase/keybase-issues/issues/… et github.com/keybase/keybase-issues/issues/…
Gaia,

2
Gaia

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.