Дата рождения: 26.08.1976
schors
Вы мне вот что скажите, котаны, в 2015 году есть какой-нибудь discover для key servers PGP?
MadHatter
А он нужен? Они же между собой синкаются.
schors
грубо говоря, хочу автоматизировать проверку подписей у себя и контрагентов. и подписывание соответственно. напишу например вебмейл. я с ключами должен сделать чтотчобы людей не мучать этим "скопируй, добавь". допустим я решу каким доверять за них и/или они там готовы сказать "да/нет"
MadHatter
Плохая идея. Если хочешь облегчить жизнь другим, ты можешь дать им подписать твой ключ (с соблюдением всех необходимых ритуалов), а потом сам проверять и подписывать (с соблюдением всех необходмых ритуалов) ключи контрагентов. Если твой коллега подписал твой ключ, а ты своим ключом подписал ключ контрагента, то для коллеги цепочка доверия до контрагента есть, несмотря на то, что он его ключ лично не проверял. И таких звеньев может быть много.
schors
MadHatter
Расписанный процесс создания своего сервера? Не уверен, что есть хауту, но есть вот это: http://sourceforge.net/projects/pks/
MadHatter
Magistr
@Geladil, https://bitbucket.org/skske...yserver/wiki/Peering вот тут посвежей код и даже некоторые доки есть
MadHatter
Вот эти варианты, если я тебя правильно понял:
https://www.gnupg.org/gph/en/manual.html#AEN533
schors
Спасибо. На самом деле где-нибудь схемки для оценки бы было неплохо. Чтобы вот такие каши как у меня не причесывать. Если не лень будет сделаю
кто они? я вот с ключами dip.host должен сделать что?
gpg2 --send-keys <key-id1> <key-id2> ... <key-idn>
куда уйдут мои ключи и как бы мне сделать локальную копию для фирмы?
schors, локальную копию чего? кейсервера или ключа?
Твои публичные ключи уйдут на один из серверов и, ЕМНИП, в течение часа расползутся по всем остальным.
schors, запушить на любой географически ближайший (eu.pool.sks-keyservers.net например) или религиозно подходящий (keys.ubuntu.com какой, например)
а свой там не ппредусмотрено?
schors, предусмотрено, но там к ним какие-то требования были, надо сайтец читать
Свой сервер ключей нужен примерно настолько же, насколько нужен свой nntp сервер.
ну вообще если ключ с письмом идёт, но наверное да
Эээ... Каким письмом? Если ты про письмо, подписанное незнакомым ключом, то ты просто делаешь gpg2 --recv-keys <id незнакомого ключа>, а потом то же самое для ключей, которые его подписывают, пока не соединишь цепочки доверия или не задолбаешься. Некоторые гуи (ЕМНИП, kgpg) умеют это делать самостоятельно.
какой-то PKI x509 получается. хардкоженные сервера...
schors, шта?
а откуда этот список? как он автораскрывается?
grep keyserver ~/.gnupg/gpg.conf
ну т.е. харкоженный в конфиг список :)))
schors,
я сейчас умру от разгерметизации черепа
У тебя очень специфическое понимание захардкоженности. Вообще говоря, ответы на все твои вопросы есть в мануале (ссылка в /10). Не то, чтобы мне было трудно отвечать на них — я все равно как раз сейчас занимаюсь написанием политик безопасности для фирмы, включая инструкции по использованию gpg. Но все же как-то правильнее сначала почитать документацию, а потом уже задавать вопросы, если что-то осталось неясным.
Тьфу, не в /10, а в /13. Там же и по поводу отзыва ключа.
Кстати, а захардкоженность неймсерверов в конфигах тебя не смущает?
нет, оно подтягивается :)
Подтягивается из dhcp, где оно «захардкожено».
Воистину шта. Ты можешь добавить в конфиг gpg любой сервер ключей, какой хочешь. Если тебе так уж сильно нужно, то даже собственный изолированный. Но лучше все же один из тех, которые сихнронизируются между собой.
чего в этом смысле почитать?
https://pgp.mit.edu/faq.html
https://en.wikipedia.org/wi...rver_(cryptographic)
А вообще вот же основной источник: https://www.gnupg.org/gph/en/manual.html
И еще учти, что крайне желательно запилить мастер ключ, который будет храниться на зашифрованной флешке в ячейке швейцарского банка и которым ты будешь только подписывать подключи для регулярного использования. Чтобы можно было отзывать скомпрометированные подключи без потери подписей твоего ключа.
с отзывом я кстати вообще не понимаю как в PGP работает