*** Dmitry Alexandrov [2020-06-14 14:48]: >Да вот чтобы далеко не ходить — возьмем хотя бы вас. Откуда я могу ваш ключ >получить без проблем, как не с кейсервера? Из WKD? А вот шиш: WKD, как вы >совершенно справедливо пишете, опирается X.509, а ваша директория подписана >самопальным сертификатом:
Keyserver -- ничем не защищённый источник (возможно PKI). WKD с недоверенным trust anchor-ом (как в вашем случае): точно такой же недоверенный источник. И в том и в другом случае вы наверняка будете использовать WoT для решения можно ли доверять полученному ключу. Плюс из DANE можно достать ещё попробовать, который возможно "защищён" DNSSEC-ом, и точно также всё равно потребует WoT например. Всё это методы получения ключа, не более. Некоторые дополнительно могут предоставлять какие-то trust anchor-ы от которых вы *возможно* сможете отталкиваться (PKI (CA для TLS, root в DNSSEC)). Keyserver не вариант: я не контролирую что там за ключ, какие подписи на нём -- любой может там поставить какую-нибудь подпись и загрузить на сервер. А мне не хочется отвечать за мусор там расположенный. Не говоря про загрузку ключей с такими же UID-ами как и у меня: конечному пользователю, пытающемуся получить мой ключ, это только геморрой. А DANE, WKD -- это то, что под моим контролем. >(Да и вообще, мне казалось, что SRV указатели типа >_openpgpkey._tcp.stargrave.org из стандарта выкинули, не?) Надо будет посмотреть. Если выкинули, то уберу за ненадобностью, поднимал то давно. -- Sergey Matveev (http://www.stargrave.org/) OpenPGP: CF60 E89A 5923 1E76 E263 6422 AE1A 8109 E498 57EF
signature.asc
Description: PGP signature
