Использование DANE для связи открытых ключей OpenPGP с адресами электронной почты становится все более популярным. В GnuPG реализованы разные методы, такие как pka и cert. IETF только что выпустил новый черновик, предлагающий новую запись ресурса OPENPGPKEY DNS.
При поиске открытых ключей возникали проблемы с конфиденциальностью, поскольку они могли утекать информацию о том, с кем кто-то общается. Torify GnuPG был одним из способов решения этих проблем. Для этого есть три широко используемых метода:
Используя
torsocks:torsocks gpg --search test@examples.comИспользование опции
http-proxyвkeyserver-optionsсервера ключей GnuPG:gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050Использование одного из вышеперечисленных вместе с сервером ключей, доступным в качестве скрытой службы Tor.
Поскольку в GnuPG отсутствует встроенная поддержка прокси-серверов socks DNS, утечки являются серьезной проблемой. Это становится еще более драматичным, когда утечка DNS также содержит адреса электронной почты людей, с которыми вы общаетесь. Ни один из упомянутых выше подходов не позволяет извлекать ключи из DNS, одновременно предотвращая утечки DNS:
Использование
torsocksне приводит к утечке информации в DNS, но, следовательно, блокирует выборку ключа DNS.При использовании опции
http-proxyвkeyserver-optionsсервера ключей GnuPG происходит утечка адресов электронной почты в DNS.Поскольку сервер ключей не используется, не имеет значения, является ли он скрытым сервисом или нет.
Кроме того, tor-resolve поддерживает только DNS-записи A и поэтому не может использоваться для получения информации ключа OpenPGP, хранящейся в DNS, в виде записей TXT (pka), TYPE37 (cert) или OPENPGPKEY (IETF draf).
Есть ли какой-нибудь способ искажать GnuPG без проблем утечки DNS и без блокировки поддержки DANE?