Предотвращение утечек DNS с помощью gnupg через TOR с одновременным разрешением извлечения ключей через DNS

Предотвращение утечек DNS с помощью gnupg через TOR с одновременным разрешением извлечения ключей через DNS

Использование DANE для связывания открытых ключей OpenPGP с адресами электронной почты становится все более популярным. Существуют различные методы, реализованные в GnuPG и используемые, например, pka и cert. IETF только что выпустила новый проект, предлагающий новыйЗапись ресурса DNS OPENPGPKEY.

Поиски открытого ключа вызывали проблемы с конфиденциальностью, поскольку они могли привести к утечке информации о том, с кем кто-то общается. Torify GnuPG был одним из способов решения этих проблем. Для этого есть три широко используемых метода:

  1. С использованием torsocks:

    torsocks gpg --search [email protected]

  2. Использование http-proxyопции в keyserver-optionsGnuPG:

    gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050

  3. Использование одного из вышеперечисленных вариантов вместе с сервером ключей, доступным как Tor Hidden Service.

Поскольку GnuPG не поддерживает прокси-сервер socks, утечки DNS являются серьезной проблемой. Все становится еще более драматичным, когда утечка DNS также содержит адреса электронной почты людей, с которыми вы общаетесь. Ни один из подходов, упомянутых выше, не позволяет извлекать ключи из DNS, предотвращая утечки DNS:

  1. Использование torsocksне приводит к утечке информации в DNS, но, следовательно, блокирует извлечение ключа DNS.

  2. Использование http-proxyопции keyserver-optionsGnuPG приводит к утечке адресов электронной почты в DNS.

  3. Поскольку сервер ключей не используется, не имеет значения, является ли он скрытым сервисом Tor или нет.

Также tor-resolveподдерживает только A-записи DNS и, следовательно, не может использоваться для извлечения информации о ключах OpenPGP, хранящейся в DNS в виде записей TXT(pka), TYPE37(cert) или OPENPGPKEY(IETF draft).

Есть ли способ торифицировать GnuPG без проблем с утечкой DNS и без блокировки поддержки DANE?

Связанный контент