n...@nxmail.org wrote: > On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov <d...@gnui.org> wrote: >> Но во-первых, я что-то не вижу, чтобы это вас в самом деле беспокоило. Вот >> как вы мне прикажете вам лично написать, чтобы ваши чувства параноика не >> обидеть? Я, конечно, все уголки и закоулки Интернета не обшаривал, но >> — ни в DNS ни по одному из трех стандартов (PKA, CERT, DANE), >> — ни в WKD, >> — ни на развалинах пула SKS, >> — ни в новой открытой сети Hockeypuck в лице keyserver.ubuntu.com, >> — ни у проприетарных сервисов keys.openpgp.org и keys.mailvelope.com, [2] >> — ни в заголовках вашего письма (ни «автокриптом», ни иначе), >> — ни в его подписи (каковой вообще нет), >> я вашего ключа не нахожу. > > Спасибо, поправил это[, обнародовав ключ на keyserver.ubuntu.com и > keys.openpgp.org.]
Ну вот и славно.
И да, вы конечно, правы — в DNS ключи действительно размещать было ни к чему
(эти стандарты кроме GPG толком никто не поддерживает), а вот WKD в свете
нетсплита сети кейсерверов определенно не помешает.
Если неохота заводить свою директорию (хотя ничего сложного тут нет, пример
мэйкфайла ниже), то можно просто передоверить вышеупомянутому keys.openpgp.org
быть вашим WKD-сервером:
openpgpkey.nxmail.org. 10800 IN CNAME wkd.keys.openpgp.org.
> Этот ящик был создан для открытой переписки.
> На самом деле, в собственных клиентах Протонмейла сообщения подписываются
> (это сообщение должно быть подписано).
Таки нет, это ваше сообщение не было подписано (ну, только DKIMʼом). Это надо
явно включить (что, в общем-то, правильно).
> Но я не всегда их использую.
Как будто в других программах подписывать письма возбраняется. (Другое дело,
что по прямому назначению это может быть совершенно не нужно, но вот показать,
что вы криптографией в самом деле пользуетесь, а не просто обнародовали ключ, а
пароль уже давно забыли, — это наилучший способ.)
Так или иначе, я здесь не нашел ни одного вашего письма, отправленного через
иные MUA, так что не могу сразу подсказать конкретно, но если что — всегда
спрашивайте.
> До данного момента я передавал ключ лично в руки или пересылал по
> альтернативному зашифрованному каналу связи.
Ну, с таким-то подходом асимметричная криптография и вовсе не нужна. ;-)
# Makefile for openpgpkey.example.org WWW root. include Makefile.d/*.mk .DEFAULT_GOAL := .well-known/openpgpkey .well-known/openpgpkey: \ .well-known/openpgpkey(al...@example.org b...@example.org) .PHONY: clean clean: rm -rf .well-known
# Makefile.d/wkd.mk
.SECONDEXPANSION:
SHELL := /bin/bash
.SHELLFLAGS := -xc
AWK := gawk
GPG := gpg
GPG_WKS_CLIENT := /usr/lib/gnupg/gpg-wks-client
.well-known/openpgpkey/:
mkdir -p $@
cd $@ && touch policy
.ONESHELL:
.PHONY: .well-known/openpgpkey(%)
.well-known/openpgpkey(%): $$@/
gpg-pub-fingerprint ()
{
$(GPG) --list-key --with-colons "$$@" \
| $(AWK) -F: '$$1 == "fpr" { print $$10; exit 0; }'
}
fpr=$$(gpg-pub-fingerprint $%)
[[ $$fpr ]] || exit 1
$(GPG_WKS_CLIENT) -C $@ --install-key "$$fpr" $%
signature.asc
Description: PGP signature
