
Использование DANE для связывания открытых ключей OpenPGP с адресами электронной почты становится все более популярным. Существуют различные методы, реализованные в GnuPG и используемые, например, pka и cert. IETF только что выпустила новый проект, предлагающий новыйЗапись ресурса DNS OPENPGPKEY.
Поиски открытого ключа вызывали проблемы с конфиденциальностью, поскольку они могли привести к утечке информации о том, с кем кто-то общается. Torify GnuPG был одним из способов решения этих проблем. Для этого есть три широко используемых метода:
С использованием
torsocks
:torsocks gpg --search [email protected]
Использование
http-proxy
опции вkeyserver-options
GnuPG:gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050
Использование одного из вышеперечисленных вариантов вместе с сервером ключей, доступным как Tor Hidden Service.
Поскольку GnuPG не поддерживает прокси-сервер socks, утечки DNS являются серьезной проблемой. Все становится еще более драматичным, когда утечка DNS также содержит адреса электронной почты людей, с которыми вы общаетесь. Ни один из подходов, упомянутых выше, не позволяет извлекать ключи из DNS, предотвращая утечки DNS:
Использование
torsocks
не приводит к утечке информации в DNS, но, следовательно, блокирует извлечение ключа DNS.Использование
http-proxy
опцииkeyserver-options
GnuPG приводит к утечке адресов электронной почты в DNS.Поскольку сервер ключей не используется, не имеет значения, является ли он скрытым сервисом Tor или нет.
Также tor-resolve
поддерживает только A-записи DNS и, следовательно, не может использоваться для извлечения информации о ключах OpenPGP, хранящейся в DNS в виде записей TXT
(pka), TYPE37
(cert) или OPENPGPKEY
(IETF draft).
Есть ли способ торифицировать GnuPG без проблем с утечкой DNS и без блокировки поддержки DANE?