Kulcsszerver

 ( Anonymous | 2013. augusztus 12., hétfő - 20:55 )

Snowden után megbolydult az internetes közélet, mindenki a privacy fontosságát ecseteli. Az tényként kijelenthető, nem fordítunk eleget adataink védelmére. Megvallom, soha nem használtam titkosított levelezést, max a DPG idején, mert az belső címre úgy küldte, ha akartam, ha nem. És volt benne valami ráció.

Körbefutottam a témát, készítettem kulcsot magamnak (az elsőt sikerült is rögtön megdöglesztenem egy sikeres felülírással, de hát tanulópénz).

Aztán nézelődtem, s rá kellett jönnöm, hogy magyar kulcsszerver kb. 1 van, az niif.hu üzemeltetésében (vagy csak nem találtam a többit). Gondoltam, összerakok egyet, tanulni jó lesz.

http://keyserver.dacr.hu/
Port a szokásos 11370, ha valaki innen akarna szinkelni.

Eléggé kis vason fut, így nem egy szélvész. Membership "készlet" gyűlik. Írtam az niif.hu fenntartóknak is, remélhetőleg velük is sikerül kölcsönösséget kiépíteni. Ha van itt valakinek kulcsszervere, szívesen felveszem az övét is.

szerk: upgrade 1.1.3-ra

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Értem én, hogy egyszerű volt összerakni, de ez nem így működik.
Ugyanis (bocsi) nem vagy megbízható harmadik fél, aki igazolhatja, hogy a public key tényleg azé, akié.

------------------------

a pgp kulcsoknál nem úgy van, hogy egymás kulcsait írjuk alá, és attól lesz megbízható egy adott kulcs, hogy egy általam megbízhatónak tartott fél aláírta?

és ez a szerver meg csak a publikus kulcsok kiszolgálására készült tükör kulcsszerver?

Te figyu, a kulcsszerver az csak a publikus kulcsokat tárolja, tükrözi. Ebben semmi megbízhatósági kérdés nincs.
A kulcspárok igazolása pedig aláírással történik, azaz bizalomhálót építesz ki.
Tételezzük fel, a kulcsszerveren van egy kulcs Bélához, a mail címét ismered, tudod, hogy az övé.
Ha valaki a tükörszerveren meghamisítja a kulcsot, akkor ahhoz nem ártana a címet is bitorolnia, különben nem ér az egész semmit, hiszen Te attól még Béla címére írsz egy hamis kulccsal, amit Béla nem tud megnyitni. Tehát a hamisítás akkor ér valamit, ha Te magad is a hamis címre írsz levelet.

A tükörszerver hitelességének igazolását meg igazából azok a partnerek jelentik, akik megbíztak benned, ezt a statisztika oldalon láthatod is, nálam talán a leghitelesebb szerver a keyserver.ut.mephi.ru, ami az orosz nukleáris tudományok egyeteme.

De ha neked van tudomásod arról, milyen megbízhatósági tanúsítványt kellene még beszerezni egy tükörszerverhez, jelezd és szívesen utánanézek.

Szerintem a kovetkezok kellenek:

PCI-DSS level 2
ISO 27001:2006
AQAP 2110

Ezek tuti kellenek! ;)

--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

magyarazd mar el kerlek, mi koze a PCI-DSS-nek (a level 2 veletlen sem tudom, hogy jon ide...) a srac kulcsszerverehez...

Ironia on. :)
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

Fülinek nincs humorerzeke.
Spock

Most komolyan megkérdezném: érted, hogy milyen szervert üzemeltetek?

Kulcstartora valot. :-D
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Persze ,hogy ertem de az ironiat sokan nem ertik. :)
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer

Ok, néha én sem :)

A smiley-bol gondolom, hogy csak ironia, de ha nem, [citation needed]
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Csatlakozok Dacr-hez, ne teveszd ossze a PGP kulcsszervert a SSL CA-val. A ketto kozott egy Grand Canyon van.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Sokan lehúztak írásod miatt, de sajnos nem a valódi problémát nem vizsgálta senki. Mégpedig: ne téveszd össze az azonosság tanúsítását egy titkosítási céladatbázissal. A tanúsítványok célja valóban az, hogy hogy valamilyen megfeleltetést adnak a cím mögött található üzemeltetőre, legyen az e-mail, server, szofver, stb cert. Ami itt létre lett hozva csak azt a funkciót váltja ki, hogy a címzettel előzetesen publikus kulcsot cserélj, vagy hogy egy aláírt üzenetet (eredetileg titkosításról volt szó, és nem adatintegritás ellenőrzésről) valóban az írta e alá aki küldte. Mivel ugye elsődleges cél a nyitó post alapján a titkosítás ennek így jelentősége nem sok van. A fenti kulcsszerver is ellát tanúsítási feladatokat persze, ha regisztráció idejében a címre és az aliasaira e-mail küldéssel visszaellenőrzést csinál, azaz teszteli, hogy a publikus kulcsban deklarált címek feltöltője hozzáfér a címek mögött lévő tárterülethez. Aki beállítja a szervert, annak csak annyit kell elhinnie: tudatosan nem módosítják a szerveren lévő adatokat, és ezzel gyakorlatilag a teljes szerepköre lezárul, PGP/GPG esetén ez nem is nagyon volt cél.
BTW: Ugyanez elérhető S/MIME segítségével. Ehhez sok helyen szerezhető lvl1 tanúsítvány is (ingyenesen), és az is kiválóan használható titkosításra, emiatt kulcsszervert installálni elég bohókás ötlet :)

Nem hiszem, hogy olyan nagyon bohókás lenne az ötlet. A Snowden ügy kirobbanása óta meredeken emelkedik a kulcsok szerverekre való feltöltése, azaz nagyon sokan észbe kaptak, s láthatóan elég sokan a PGP-t választották megoldásként.

+1

A NIIF-fel tortent valami elore lepes?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Semmi válasz, jelen pillanatban éppen a pool-ban sincsenek benne.
Viszont több helyről is kaptam membership felkérést.

A MIT-nek erdeklodj utana, asszem nekik van az egyik legnagyobb kulcsbazisuk.

Valamint jo lenne, ha a disztrok kulcsait is mirroroznad, az ubuntunak tudom, hogy van sajat kulcsos szekrenykeje, a tobbirol nem tudok erdemben nyilatkozni.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

mit-nek írtam, még ők sem válaszoltak.
Disztrókat köszi, filóztam már rajta.

No megvan, megkaptam a választ, felvettük egymást.

Cool.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Subscribe