Prevenindo vazamentos de DNS usando gnupg sobre TOR e permitindo a busca de chaves via DNS

Prevenindo vazamentos de DNS usando gnupg sobre TOR e permitindo a busca de chaves via DNS

Usar o DANE para associar chaves públicas OpenPGP a endereços de e-mail está se tornando cada vez mais popular. Existem diferentes métodos implementados no GnuPG e usados ​​como pka e cert. A IETF acaba de lançar um novo rascunho propondo um novoRegistro de recurso DNS OPENPGPKEY.

As pesquisas de chave pública levantaram questões de privacidade, pois poderiam vazar informações sobre com quem alguém está se comunicando. Torify GnuPG foi uma forma de resolver esses problemas. Existem três métodos amplamente utilizados para isso:

  1. Usando torsocks:

    torsocks gpg --search [email protected]

  2. Usando http-proxya opção keyserver-optionsdo GnuPG:

    gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050

  3. Usando um dos itens acima junto com um servidor de chaves disponível como Tor Hidden Service.

Como o GnuPG não possui suporte nativo para proxy de meias, vazamentos de DNS são um grande problema. Torna-se ainda mais dramático quando um vazamento de DNS também contém endereços de e-mail de pessoas com quem você está se comunicando. Nenhuma das abordagens mencionadas acima permite a obtenção de chaves do DNS e, ao mesmo tempo, evita vazamentos de DNS:

  1. O uso torsocksnão vaza informações no DNS, mas, portanto, bloqueia a busca de chaves DNS.

  2. Usar http-proxya opção keyserver-optionsdo GnuPG vaza endereços de e-mail no DNS.

  3. Como o servidor de chaves não é usado, não importa se é um serviço oculto ou não.

Também tor-resolvesuporta apenas registros A de DNS e, portanto, não pode ser usado para recuperar informações de chave OpenPGP armazenadas no DNS como registros TXT(pka), TYPE37(cert) ou OPENPGPKEY(IETF draf).

Existe alguma maneira de torificar o GnuPG sem problemas de vazamento de DNS e sem bloquear o suporte ao DANE?

informação relacionada