使用 DANE 將 OpenPGP 公鑰與電子郵件地址關聯起來變得越來越流行。 GnuPG 中實作並使用了不同的方法,例如 pka 和 cert。 IETF 剛剛發布了一份新草案,提出了新的OPENPGPKEY DNS 資源記錄。
公鑰查找會引發隱私問題,因為它們可能會洩露有關某人正在與誰通信的資訊。 Torify GnuPG 是解決這些問題的一種方法。為此,有三種廣泛使用的方法:
使用
torsocks:torsocks gpg --search [email protected]使用GnuPG
http-proxy中的選項:keyserver-optionsgpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050將上述之一與可用作 Tor 隱藏服務的金鑰伺服器一起使用。
由於 GnuPG 缺乏對襪子代理的本機支持,因此 DNS 洩漏是一個主要問題。當 DNS 洩漏還包含您正在通訊的人的電子郵件地址時,情況會變得更加戲劇性。上述方法都不允許從 DNS 取得金鑰,同時防止 DNS 洩漏:
使用
torsocks不會洩露 DNS 中的信息,但因此會阻止 DNS 金鑰獲取。使用GnuPG
http-proxy中的選項keyserver-options會洩漏 DNS 中的電子郵件地址。由於不使用密鑰伺服器,因此它是否是隱藏服務並不重要。
也tor-resolve僅支援 DNS A 記錄,因此不能用於檢索以TXT(pka)、TYPE37(cert) 或OPENPGPKEY(IETF draf) 記錄形式儲存在 DNS 中的 OpenPGP 金鑰資訊。
有沒有什麼方法可以在不出現 DNS 洩漏問題且不阻止 DANE 支援的情況下破解 GnuPG?