[gnupg-ru] Стандарты интернет-общения с PGP/GnuPG

Ivan Boldyrev boldyrev на uiggm.nsc.ru
Пт Май 7 12:21:54 CEST 2004 

On 8737 day of my life Igor Didkovsky wrote:
>> > А как его лучше импортировать? Все вокруг да около консоли и разных
>> > серверов ключей. Вот если бы каждый пользователь PGP взял за правило
>> > указывать расположение своего ключа в Интернет... 
>> 
>> У меня в заголовках каждого отправляемого сообщения содержатся
>> следующие строки:
>> 
>> X-PGP-KeyID: 0xE2B9AC8FAE956E17 (1024D)
>> X-PGP-Fingerprint: A645 1AA1 920B 88FF B4C0  E32C E2B9 AC8F AE95 6E17
>> X-Request-PGP: hkp://sks.keyserver.penguin.de
>
> За этот совет спасибо :) А что теперь будет в Sylpheed или любом другом
> почтовике с поддержкой GnuPG если я правильно укажу все эти параметры?

Скорее всего, ничего :)  Это информация для человека, а не для
почтовика.  Хотя бы потому, что возможных вариантов получения ключа в
X-Request-PGP может быть много, вплоть до посылки бумажного письма с
запросом :)

Кстати, если тебя волнует автоматический поиск ключа, то можешь
добавить себе в gpg.conf строку:

,----[ gpg.conf ]
|
| keyserver-options auto-key-retrieve
| keyserver hkp://sks.keyserver.penguin.de
|
`----

И тогда gpg будет искать ключ на сервере, если он не найден в
имеющейся связке ключей.  Но это может быстро забить твою связку
ключами незнакомых людей...

>> Кроме того, многие импортировали свои ключи на кейсерверы, и в
>> общем-то можно воспользоваться любым неглючным сервером.  Ситуацию
>> осложняют подписи подключами, но SKS-сервера умеют искать и по
>> подключам.
>
> Где-то видел как с консоли импортируют ключ с keyserver.net. 

keyserver.net -- не самый лучший сервер ключей.  Вот тебе пример с
sks.keyserver.penguin.de:

gpg --keyserver hkp://sks.keyserver.penguin.de --import 0xAE956E17

(0xAE956E17 -- это мой ключ).

Можещь добавить опцию --keyserver с параметром в gpg.conf (см. пример
выше).

> Не могу найти... Чего-то надо указать перед .keyserver.net, или в
> X-Request-PGP есть свои правила?

X-Request-PGP обрабатывается человеком :)

>> Для начала нужно убедить, что ключ действительно принадлежит тебе, а
>> не кому-то другому.
>
> Ну это если "совершенно секретно", как правило перед этапом шифрования
> идет обмен подписанными сообщениями (если изначально ясно что ты пишешь
> тому кому надо).

Вот тут то и проблема: как убедиться, что ты пишешь тому, кому надо...

>> Либо ключ мне передают лично, либо я импортирую его с того же
>> hkp://sks.keyserver.penguin.de.  Естественно, подпись я ставлю только
>> в первом случае.  Во втором случае я иногда позволяю себе делать
>> локальную подпись.   В принципе, и на импортированном ключе я мог бы
>> поставить подпись после соотв. проверки, но пока у меня не было
>> возможности сделать такую проверку.
>
> sign ?

Не понял вопроса.

>> Это всё, конечно, только предварительная схема...  Нужно её
>> дополнительно проанализировать.
>
> А не проще завести для сервера группы рассылки свой ключ? Принимать
> только сообщения от зарегистрированных (доверенных) подписчиков и в
> дальнейшем рассылать пришедший и вторично подписанный сервером
> группы текст каждому подписчику в отдельности? Или я чего-то упустил?

Как отличать зарегистрированных подписчиков?  По e-mail?  Я ведь могу
послать сообщение в любой список рассылки с любым адресом отправителя.
Например, я могу написать в этот список от твоего имени (разумеется,
это письмо не будет подписано твоим ключом).

К тому же иногда нужно общаться и вне списка рассылки :)

> Кто-то вообще не в курсе о новом стандарте подписи и продолжает
> слать inline (уродство редкостное, особенно если у тебя не настроен
> на него почтовик).

У некоторый нет возможности использовать PGP/MIME.  Например, если
пользователь по каким-то причинам (административным, например)
привязан к какой-то почтовой программе, или в некоторых списках
рассылки, где запрещены аттачменты.  Плюс ко всему известно, что
Yahoogroups.com иногда корёжит письма в PGP/MIME, а вот inline PGP
нормально проходит...

-- 
Ivan Boldyrev

                                                        Ваши байты биты!
-------------- next part --------------
A non-text attachment was scrubbed...
Name: отсутствует
Type: application/pgp-signature
Size: 188 bytes
Desc: отсутствует
Url : /pipermail/attachments/20040507/62d74a83/attachment.bin

Подробная информация о списке рассылки Gnupg-ru