
Usar o DANE para associar chaves públicas OpenPGP a endereços de e-mail está se tornando cada vez mais popular. Existem diferentes métodos implementados no GnuPG e usados como pka e cert. A IETF acaba de lançar um novo rascunho propondo um novoRegistro de recurso DNS OPENPGPKEY.
As pesquisas de chave pública levantaram questões de privacidade, pois poderiam vazar informações sobre com quem alguém está se comunicando. Torify GnuPG foi uma forma de resolver esses problemas. Existem três métodos amplamente utilizados para isso:
Usando
torsocks
:torsocks gpg --search [email protected]
Usando
http-proxy
a opçãokeyserver-options
do GnuPG:gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050
Usando um dos itens acima junto com um servidor de chaves disponível como Tor Hidden Service.
Como o GnuPG não possui suporte nativo para proxy de meias, vazamentos de DNS são um grande problema. Torna-se ainda mais dramático quando um vazamento de DNS também contém endereços de e-mail de pessoas com quem você está se comunicando. Nenhuma das abordagens mencionadas acima permite a obtenção de chaves do DNS e, ao mesmo tempo, evita vazamentos de DNS:
O uso
torsocks
não vaza informações no DNS, mas, portanto, bloqueia a busca de chaves DNS.Usar
http-proxy
a opçãokeyserver-options
do GnuPG vaza endereços de e-mail no DNS.Como o servidor de chaves não é usado, não importa se é um serviço oculto ou não.
Também tor-resolve
suporta apenas registros A de DNS e, portanto, não pode ser usado para recuperar informações de chave OpenPGP armazenadas no DNS como registros TXT
(pka), TYPE37
(cert) ou OPENPGPKEY
(IETF draf).
Existe alguma maneira de torificar o GnuPG sem problemas de vazamento de DNS e sem bloquear o suporte ao DANE?