3

Использование DANE для связи открытых ключей OpenPGP с адресами электронной почты становится все более популярным. В GnuPG реализованы разные методы, такие как pka и cert. IETF только что выпустил новый черновик, предлагающий новую запись ресурса OPENPGPKEY DNS.

При поиске открытых ключей возникали проблемы с конфиденциальностью, поскольку они могли утекать информацию о том, с кем кто-то общается. Torify GnuPG был одним из способов решения этих проблем. Для этого есть три широко используемых метода:

  1. Используя torsocks:

    torsocks gpg --search test@examples.com

  2. Использование опции http-proxy в keyserver-options сервера ключей GnuPG:

    gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050

  3. Использование одного из вышеперечисленных вместе с сервером ключей, доступным в качестве скрытой службы Tor.

Поскольку в GnuPG отсутствует встроенная поддержка прокси-серверов socks DNS, утечки являются серьезной проблемой. Это становится еще более драматичным, когда утечка DNS также содержит адреса электронной почты людей, с которыми вы общаетесь. Ни один из упомянутых выше подходов не позволяет извлекать ключи из DNS, одновременно предотвращая утечки DNS:

  1. Использование torsocks не приводит к утечке информации в DNS, но, следовательно, блокирует выборку ключа DNS.

  2. При использовании опции http-proxy в keyserver-options сервера ключей GnuPG происходит утечка адресов электронной почты в DNS.

  3. Поскольку сервер ключей не используется, не имеет значения, является ли он скрытым сервисом или нет.

Кроме того, tor-resolve поддерживает только DNS-записи A и поэтому не может использоваться для получения информации ключа OpenPGP, хранящейся в DNS, в виде записей TXT (pka), TYPE37 (cert) или OPENPGPKEY (IETF draf).

Есть ли какой-нибудь способ искажать GnuPG без проблем утечки DNS и без блокировки поддержки DANE?

0