Die Verwendung von DANE zur Verknüpfung öffentlicher OpenPGP-Schlüssel mit E-Mail-Adressen wird immer beliebter. In GnuPG sind verschiedene Methoden implementiert und werden verwendet, wie pka und cert. Die IETF hat gerade einen neuen Entwurf veröffentlicht, der eine neue Methode vorschlägt.OPENPGPKEY DNS-Ressourceneintrag.
Öffentliche Schlüsselsuche wirft Datenschutzprobleme auf, da sie Informationen darüber preisgeben können, mit wem jemand kommuniziert. Torify GnuPG war eine Möglichkeit, diese Probleme anzugehen. Dafür gibt es drei weit verbreitete Methoden:
Verwendung von
torsocks:torsocks gpg --search [email protected]Verwendungsoption
http-proxyinkeyserver-optionsGnuPG:gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050Verwenden Sie einen der oben genannten Dienste zusammen mit einem Schlüsselserver, der als Tor Hidden Service verfügbar ist.
Da GnuPG keine native Unterstützung für Socks-Proxys bietet, sind DNS-Lecks ein großes Problem. Noch dramatischer wird es, wenn ein DNS-Leck auch die E-Mail-Adressen der Personen enthält, mit denen Sie kommunizieren. Keiner der oben genannten Ansätze ermöglicht es, Schlüssel aus dem DNS abzurufen und gleichzeitig DNS-Lecks zu verhindern:
Durch die Verwendung
torsockswerden keine Informationen im DNS weitergegeben, daher wird aber der Abruf des DNS-Schlüssels blockiert.Durch die Verwendung
http-proxyder Optionkeyserver-optionsGnuPG werden E-Mail-Adressen im DNS preisgegeben.Da kein Schlüsselserver verwendet wird, spielt es keine Rolle, ob es sich um einen versteckten Tor-Dienst handelt oder nicht.
Unterstützt außerdem tor-resolvenur DNS-A-Einträge und kann daher nicht zum Abrufen von OpenPGP-Schlüsselinformationen verwendet werden, die im DNS als TXT(pka), TYPE37(cert) oder OPENPGPKEY(IETF draf)-Einträge gespeichert sind.
Gibt es eine Möglichkeit, GnuPG ohne DNS-Leckprobleme und ohne Blockierung der DANE-Unterstützung zu torifizieren?