it-swarm-id.com

Bagaimana saya harus mendistribusikan kunci publik saya?

Saya baru saja mulai menggunakan GPG dan membuat kunci publik. Agak sia-sia jika tidak ada yang tahu tentang itu. Bagaimana saya harus mendistribusikannya? Haruskah saya mempostingnya di profil saya di Facebook dan LinkedIn? Bagaimana dengan blog saya? Apa risikonya?

193

Cara terbaik untuk mendistribusikan kunci Anda adalah dengan menggunakan salah satu server kunci yang tersedia, seperti keyserver.ubuntu.com , pgp.mit.ed atau keyserver.pgp.com .

Jika Anda menggunakan Seahorse (manajer kunci default di bawah Ubuntu), itu secara otomatis menyinkronkan kunci Anda ke salah satu server ini. Pengguna kemudian dapat mencari kunci Anda menggunakan alamat email atau keyid Anda.

Jika Anda ingin memposting kunci publik di LinkedIn atau blog Anda, Anda dapat mengunggah kunci ke server Anda atau cukup tautkan ke halaman untuk kunci Anda di salah satu server kunci di atas. Secara pribadi, saya akan mengunggahnya ke salah satu server kunci dan menautkannya, karena lebih mudah untuk tetap up-to-date di satu tempat, daripada memiliki file di banyak lokasi yang berbeda. Anda juga dapat membagikan keyid Anda dengan orang-orang, dan mereka kemudian dapat menerima kunci Anda menggunakan gpg --recv-keys.

Jika Anda ingin memposting kunci publik Anda di Facebook, ada bidang untuk meletakkannya di bawah bagian Info Kontak di profil Anda. Anda juga dapat mengubah pengaturan keamanan Facebook Anda untuk menggunakan kunci publik yang sama ini untuk mengenkripsi email mereka kepada Anda.

Sebagai contoh, inilah kunci publik saya .

Sepengetahuan saya, tidak ada risiko yang terkait dengan penerbitan kunci publik Anda.

107
Mark Davidson

Tidak ada risiko mengekspos kunci pribadi Anda atau membatalkan kunci publik Anda, dengan menerbitkan kunci publik Anda dengan cara yang Anda dan @Mark jelaskan. Seperti yang dinyatakan @pboin, ia dirancang untuk tersedia bagi dunia.

Namun, ada masalah lain yang dihadapi ... Salah satu tujuan inti dari memiliki dan menerbitkan kunci publik Anda (memang, ini mungkin tujuan UTAMA), adalah untuk mengotentikasi diri Anda kepada pengguna lain, memungkinkan mereka untuk memverifikasi keaslian setiap pesan atau data yang Anda tanda tangani, dan lindungi/enkripsi data hanya untuk mata Anda.
Tapi bagaimana para pengguna itu tahu bahwa itu benar-benar kunci publik ANDA? Misalnya, jika saya ingin mengirim pesan pribadi ke @ Mark Davidson, menggunakan kunci yang diterbitkan di http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE493B06DD070AFC8 , bagaimana saya tahu bahwa itu adalah [~ # ~] nyata [~ # ~] Mark Davidson yang menerbitkan kunci itu atau yang mengarahkan saya ke sana?
Sepele bagi saya untuk menerbitkan kunci publik SENDIRI saya, baik di mit.edu, di LinkedIn, Facebook, dll, dan cukup menyebut diri saya Bill Clinton (atau Bill Gates). Bagaimana Anda bisa tahu sebaliknya?
Selain itu, jika entah bagaimana saya tahu ini benar-benar orang yang tepat (misalnya, saya ingin menghubungi blogger anonim, melalui pk yang diterbitkan di blog-nya - saya tidak tidak peduli siapa dia sebenarnya, pemilik situs - dan dengan demikian penerbit pk - adalah orang yang benar) - apa yang menjamin kunci publik tidak dirusak dalam perjalanan? Semua tautan dan situs yang disebutkan sejauh ini (ok, dengan pengecualian server kunci PGP) adalah HTTP - yaitu tidak ada perlindungan saluran, mis. Dapat dengan mudah diubah antara server dan browser.

Saat menggunakan model X.509/PKI, selalu ada seseorang tepercaya yang menjamin Anda. Misalnya. Otoritas Sertifikat terkenal (dipercaya karena vendor browser memeriksa mereka, dan menambahkan sertifikat root mereka ke Toko Root Tepercaya di browser) memverifikasi identitas Anda, dan menandatangani kunci publik Anda /sertifikat. Dengan demikian, siapa pun yang ingin memverifikasi Anda adalah siapa Anda sebenarnya, dapat dengan mudah memeriksa tanda tangan, dan kemudian memeriksa identitas siapa pun yang menjamin Anda (dan kemudian ulangi sampai menemukan root CA yang terkenal tepercaya).

Namun, dalam model PGP, biasanya ada no otoritas tepercaya (meskipun versi saat ini mengizinkan ini). Sebaliknya, PGP didasarkan pada model web-of-trust, di mana jika Anda memercayai seseorang, mereka dapat menjamin identitas orang lain.

Bagaimanapun juga, hanya meletakkan kunci publik Anda di luar sana tidak membantu siapa pun memverifikasi identitas Anda, atau memastikan bahwa pesan terenkripsi hanya dapat dilihat oleh orang yang tepat.

Apa yang BISA Anda lakukan:

  • Publikasikan kunci publik Anda, seperti yang Anda dan @Mark katakan - tetapi kemudian berikan token kunci publik (pada dasarnya hash kunci publik, seperti sidik jari) melalui saluran aman . Misalnya. ini sekarang cukup singkat untuk membaca telepon jika dia mengenal Anda secara pribadi ... Saya bahkan pernah melihat seseorang mengenakan pk token-nya di kartu namanya, membagikan sebuah konferensi (memang ini dari vendor).
  • Mulailah menandatangani email Anda, kemudian verifikasi kepada penerima bahwa itu adalah tanda tangan Anda melalui saluran out-of-band (mis. Melalui telepon atau secara langsung ( terkesiap! ! ))
  • Rumit situasinya, dapatkan sertifikat X.509 standar, dan terapkan SSL (lebih disukai EV) di situs web Anda, maka siapa pun dapat mengunduh pk safe Anda dengan mengetahui bahwa itu berasal dari siapa pun yang memiliki nama domain itu ... (Oke, mungkin itu berfungsi lebih baik untuk perusahaan besar ...)
    Lihat bagaimana Microsoft melakukannya ...

Lagipula selain itu, itu benar-benar tergantung pada untuk apa pk ini - jika hanya untuk membuat ibumu kagum, maka jangan repot-repot dengan semua itu :)
Di sisi lain, jika Anda memiliki komunikasi yang sangat sensitif, atau dengan klien yang sadar keamanan, maka semua yang di atas adalah penting ...

79
AviD

Solusi umum adalah mengunggahnya ke keyserver . Ide bagus lain mungkin membuat entri di Biglumber . Ini membantu untuk berhubungan dengan orang lain dan mungkin untuk saling menandatangani kunci lainnya.

Selain itu Anda harus melihat ke kotak masuk Anda dan mencari kontak yang sudah menandatangani email mereka. Anda dapat mengirimi mereka surat informal, yang sekarang Anda miliki kunci dan arahkan ke sumber.

Entri blog tentang kunci Anda juga baik-baik saja. Anda harus memberikan tautan untuk mengunduh kunci Anda.

Jika Anda menggunakan tanda tangan di surat Anda, Anda bisa mengarahkan ke kunci baru Anda dan tentu saja masuk setiap surat.

Ingatkan bahwa Anda tidak dapat menghapus kunci setelah diunggah ke server kunci (dan didistribusikan di antaranya). Tentu saja, Anda dapat mencabutnya. Selain itu diasumsikan bahwa spammer mencari alamat-alamat email tersebut dan mengirimkan kepada Anda beberapa "tawaran yang bagus". Saat Anda melakukan kunci tuts dan mengunggah tanda tangan baru, tanda tangan mengungkapkan di mana Anda berada pada tanggal tertentu.

27
qbi

Sadarilah, setiap alamat email pada kunci Anda akan ditampilkan di antarmuka web publik. Saya mendapatkan banyak spam pada email di kunci saya, jadi tidak memasukkan alamat email saya saat ini di kunci.

11
allo

Jawaban sederhana untuk pertanyaan "distribusi" Anda adalah bahwa Anda harus menggunakan metode apa pun yang cocok untuk Anda dan penerima yang Anda tuju, dan memenuhi kebutuhan Anda dalam hal privasi. Misalnya. keyserver dapat dengan mudah digunakan untuk mendistribusikan ke banyak penerima, tetapi seperti yang dicatat ubi, keyserver biasa mengekspos uid (yang biasanya memiliki alamat email Anda) kepada pengirim spam sepanjang waktu.

Pertanyaan yang lebih sulit adalah bagaimana penerima Anda memverifikasi bahwa mereka mendapatkan kunci yang tepat untuk Anda, daripada sesuatu yang dipalsukan yang memfasilitasi serangan? Anda mungkin ingin menukar sidik jari dengan orang lain "out-of-band", mis. melalui telepon. Atau Anda bisa mengandalkan "web of trust": rantai tanda tangan orang yang Anda percayai untuk tujuan itu. Lihat pertanyaan-pertanyaan ini untuk tips lebih lanjut:

7
nealmcb

Distribusi kunci publik masih merupakan masalah terbuka dengan PGP/GPG.

Unggah ke server kunci publik

  • orang lain dapat menandatangani kunci publik Anda dengan teks atau konten yang menghina yang tidak ingin Anda lihat sehubungan dengan kunci Anda
  • banyak pengguna lupa kata sandi, atau kehilangan kunci pencabutan dan mengubah alamat surat mereka dan tidak dapat menghapus kunci yang lama lagi.
  • hampir tidak mungkin, untuk menghapus kunci atau tanda tangan dari server ini
  • alat penambangan data untuk menganalisis data dari server kunci memang ada
  • satu mendapat lebih banyak spam ke alamat pada server kunci publik karena mereka mudah dipotong dan sangat menarik karena mereka mendukung banyak metadata: Seperti nama, surat, teman, stempel waktu.
  • ... tetapi semua orang dapat mengunggah kunci publik Anda ke server kunci. Ini dapat terjadi karena niat, atau karena kecelakaan. Sebagian besar alat PGP mendukung pengunggahan kunci publik yang diimpor dan jika Anda menunggu cukup lama seseorang akan mengunggahnya dan menandatangani kunci tersebut tanpa mengetahui Anda.

Unggah ke situs web sendiri

  • pengguna dapat menghapus atau mengubah kunci
  • mengunduh kunci dari situs web tepercaya penerima dapat menjadi indikator lain untuk kunci otentik
  • banyak pengguna profesional PGP memilih metode ini (juga)
  • menempatkan kunci di sebelah kontak di situs web Anda mengiklankan penggunaan PGP

Pertemuan pribadi

Untuk bacaan lebih lanjut, lihat

6
Jonas Stein

Untuk distribusi, itu sangat tergantung pada audiens Anda. Orang optimis dalam diri saya berharap bahwa orang-orang akan bersemangat untuk menggunakan kunci saya untuk mengenkripsi pesan dan memeriksa tanda tangan saya. Kenyataannya adalah bahwa mengelola itu bukan masalah. Saya telah melakukannya dengan sangat baik dengan menawarkannya di blog saya dan berdasarkan permintaan.

Adapun risikonya, itu dirancang agar tersedia untuk dunia. Fokuskan kekhawatiran tersebut pada pengamanan kunci pribadi. Letakkan kata sandi di sekitarnya, dan simpan dengan hati-hati.

6
pboin

Di Linux, Anda dapat menggunakan perintah:

$ gpg --keyserver hkp://keyserver.ubuntu.com --send-key "your key_index or email"
$ gpg --keyserver hkp://pgp.mit.edu --send-key "your key_index or email"
$ gpg --keyserver hkp://pool.sks-keyservers.net --send-key "your key_index or email"

Dan mengirimkannya ke server yang berbeda. Mereka akan menyebarkan kunci Anda.

4
John