<div dir="ltr"><div>Hi and thank you for your responses!<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 25, 2021 at 4:03 PM Andrew Gallagher via Gnupg-devel <<a href="mailto:gnupg-devel@gnupg.org">gnupg-devel@gnupg.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 25/06/2021 11:08, Werner Koch via Gnupg-devel wrote:<br>
> On Fri, 25 Jun 2021 08:00, Jan Girlich said:<br>
> <br>
>> most PGP tools default to <a href="http://keys.openpgp.org" rel="noreferrer" target="_blank">keys.openpgp.org</a> these days.<br>
> <br>
> Which unfortunately is a non-OpenPGP compliant keyserver and not syncing<br>
> with other keyservers.  It has the same problems as the PGP.com keyserver<br>
> from the early 2000 years.  I would suggest not to use keyservers for key<br>
> discovery but install a web key directory or an internal LDAP server or<br>
> use the AD.<br>
<br>
I agree, WKD should be the first choice method to publish your own key, <br>
so long as you or someone PGP-friendly is in charge of your email domain <br>
(it's no use for gmail addresses, for example). But implementing WKD <br>
yourself does not help you discover other people's keys, unless you both <br>
belong to the same organisation (same applies to AD, LDAP etc).<br>
<br>
Most modern software will check WKD regardless of your keyserver <br>
settings, so if it is in use by your correspondent's email domain, it <br>
should Just Work. But for the majority of users, you still have to fall <br>
back to another discovery method.<br>
<br></blockquote><div><br></div><div><div>Our GPG Client (actually many of you may know the old KGpg client) has the option to search for keys on a specific server by default.</div><div>From what I hear, we can conclude that this is good by option and we have to replace with something, but we still do not know with what :/</div><div><br></div><div>I would not consider it as modern software :D at least no one has the time to work on the client and add features. So this is why I am asking here what to do, so that the very small developers team on TDE could take the right decision and not burn resources in vain.<br></div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
The keystore trilemma is not yet solved. You can have two out of three <br>
of decentralisation, universality, and abuse-resistance. WKD is <br>
decentralised and abuse-resistant but is not universal. <a href="http://keys.openpgp.org" rel="noreferrer" target="_blank">keys.openpgp.org</a> <br>
is universal and abuse-resistant but highly centralised (and <br>
functionally limited). Synchronising keyservers (SKS and Hockeypuck) are <br>
decentralised and universal but abuse-prone.<br>
<br>
Signature attestations will help tackle many of the abuse (and <br>
functional limitation) issues, if we can get them standardised in a <br>
future openpgp update (rfc4880tris?). But we will probably have to live <br>
with more than one system for the foreseeable future, given the <br>
different compromises required.<br>
<br></blockquote><div><br></div><div>So to put it short in the future there will be no openpgp server(s) because of the GDRP?</div><div>I was wondering who is objecting the existence of the SKS server. In the mail thread (from 2018) and the message from this month, it says only about more and more complains.</div><div>Could it be potential attack on the opengpg community - I could not follow until the end. Can you summarize who and how took the decision to take this server down?</div><div>Couple of years ago, I thought finally someone took care of GPG and did the right thing, so that one can have a single server, to look for and upload keys - now it seems it is over</div><div><br></div><div>thank you in advance</div><div><br></div><div>BR</div><div><br></div></div></div>