Die beste Möglichkeit, Ihren Schlüssel zu verteilen, besteht darin, einen der verfügbaren Schlüsselserver zu verwenden, z. B. keyserver.ubuntu.com, pgp.mit.edu oder keyserver.pgp.com.

Wenn Sie Seahorse (Standardschlüsselmanager unter Ubuntu) verwenden, werden Ihre Schlüssel automatisch mit einem dieser Server synchronisiert. Benutzer können dann Ihren Schlüssel anhand Ihrer E-Mail-Adresse oder Schlüssel-ID nachschlagen.

Wenn Sie Ihren öffentlichen Schlüssel auf LinkedIn oder in Ihrem Blog veröffentlichen möchten, können Sie den Schlüssel entweder auf Ihren Server hochladen oder einfach auf die Seite für Ihren Schlüssel auf einem der oben genannten Keyserver verlinken. Persönlich würde ich es auf einen der Keyserver hochladen und darauf verlinken, da es einfacher ist, es an einem Ort auf dem neuesten Stand zu halten, anstatt die Datei an vielen verschiedenen Orten zu haben. Sie können Ihre Schlüssel-ID auch mit anderen Personen teilen, die dann Ihren Schlüssel mit gpg --recv-keys erhalten.

Wenn Sie Ihren öffentlichen Schlüssel dort auf Facebook veröffentlichen möchten ist ein Feld, in dem Sie es im Abschnitt "Kontaktinformationen" Ihres Profils platzieren können. Sie können auch Ihre Facebook-Sicherheitseinstellungen ändern, um denselben öffentlichen Schlüssel zum Verschlüsseln der E-Mails an Sie zu verwenden.

Hier ist beispielsweise mein öffentlicher Schlüssel.

Meines Wissens sind mit der Veröffentlichung Ihres öffentlichen Schlüssels keine Risiken verbunden.

Es besteht kein Risiko, Ihren privaten Schlüssel offenzulegen oder Ihren öffentlichen Schlüssel ungültig zu machen, indem Sie Ihren öffentlichen Schlüssel auf die von Ihnen und @Mark beschriebene Weise veröffentlichen. Wie @pboin sagte, soll es der Welt zur Verfügung stehen.

Es gibt jedoch noch ein anderes Problem ... Einer der Hauptzwecke beim Veröffentlichen und Veröffentlichen Ihres öffentlichen Schlüssels (in der Tat ist dies wahrscheinlich DER Hauptzweck) besteht darin, sich bei anderen Benutzern zu authentifizieren und zu aktivieren Sie überprüfen die Authentizität aller von Ihnen signierten Nachrichten oder Daten und schützen / verschlüsseln Daten nur für Ihre Augen.
Aber woher wissen diese Benutzer, dass es sich wirklich um IHREN öffentlichen Schlüssel handelt? Wenn ich beispielsweise eine private Nachricht an @Mark Davidson senden möchte, indem ich seinen veröffentlichten Schlüssel unter http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE493B06DD070AFC8 verwende. Woher weiß ich, dass es der ECHTE Mark Davidson war, der diesen Schlüssel veröffentlicht hat oder der mich dorthin geführt hat?
Es wäre für mich trivial, meinen EIGENEN öffentlichen Schlüssel entweder auf mit.edu zu veröffentlichen. auf LinkedIn, Facebook usw. und nenne mich einfach Bill Clinton (oder Bill Gates). Wie könnten Sie etwas anderes wissen?
Wenn irgendwie ich weiß, dass dies wirklich die richtige Person ist (z. B. möchte ich einen anonymen Blogger über den in seinem Blog veröffentlichten pk kontaktieren - ich weiß nicht ' Es ist egal, wer er wirklich ist, der Eigentümer der Website - und damit der pk-Verlag - ist sowieso die richtige Person. Was kann garantiert werden, dass der öffentliche Schlüssel unterwegs nicht manipuliert wurde? Alle bisher erwähnten Links und Sites (ok, mit Ausnahme des PGP-Schlüsselservers) sind HTTP - d. H. Kein Kanalschutz, d. H. Kann leicht zwischen Server und Browser geändert werden.

Bei Verwendung des X.509 / PKI-Modells gibt es immer jemanden, dem vertraut , der für Sie bürgt. Z.B. Eine bekannte Zertifizierungsstelle (vertrauenswürdig, weil die Browser-Anbieter sie überprüft und ihr Stammzertifikat dem Trusted Roots Store im Browser hinzugefügt haben) hat Ihre Identität überprüft und Ihren öffentlichen Schlüssel / Ihr Zertifikat signiert . Somit kann jeder, der überprüfen möchte, ob Sie der sind, von dem Sie sagen, dass Sie es sind, einfach die Signatur überprüfen und dann die Identität desjenigen überprüfen, der für Sie bürgt (und dann wiederholen, bis er die bekannte vertrauenswürdige Stammzertifizierungsstelle gefunden hat).

Im PGP-Modell gibt es jedoch normalerweise keine zentrale, vertrauenswürdige Berechtigung (obwohl aktuelle Versionen dies zulassen). Stattdessen basiert PGP auf dem Web-of-Trust-Modell. Wenn Sie jemandem vertrauen, kann dieser wiederum für die Identität eines anderen bürgen.

Unabhängig davon hilft es niemandem, Ihre Identität zu überprüfen und sicherzustellen, dass verschlüsselte Nachrichten nur von der richtigen Person angezeigt werden können.

Was Sie tun KÖNNEN:

• Veröffentlichen Sie Ihren öffentlichen Schlüssel, so wie Sie und @Mark es gesagt haben - und geben Sie dann ein Token mit öffentlichem Schlüssel an (im Grunde ein Hash des öffentlichen Schlüssels, wie ein Fingerabdruck) über einen sicheren Kanal. Z.B. Dies ist jetzt kurz genug, um über ein Telefon zu lesen, wenn er Sie persönlich kennt ... Ich habe sogar gesehen, wie jemand seinen pk-Token auf seine Visitenkarte legte und eine Konferenz verteilte (zugegebenermaßen von einem Verkäufer).
• Beginnen Sie mit dem Signieren Ihrer E-Mails und bestätigen Sie dem Empfänger, dass es sich um Ihre Signatur handelt, über einen Out-of-Band-Kanal (z. B. telefonisch oder persönlich ( keuchen !! ))
• Komplizieren Sie die Situation, erwerben Sie ein Standard-X.509-Zertifikat und implementieren Sie SSL (vorzugsweise EV) auf Ihrer Website. Dann kann jeder Ihr pk sicher herunterladen, in dem Wissen, dass es von dem stammt, dem das gehört Domainname ... (Okay, vielleicht funktioniert das besser für große Unternehmen ...)
  Überprüfen Sie, wie Microsoft das macht...

Abgesehen davon hängt es wirklich davon ab, wofür dieses Paket gedacht ist - wenn es nur darum geht, deine Mutter zu begeistern, dann kümmere dich nicht um all das :)
Andererseits, wenn du wirklich sensible Kommunikation hast, oder bei sicherheitsbewussten Clients sind alle oben genannten wichtig ...

Eine allgemeine Lösung besteht darin, es auf einen Keyserver hochzuladen. Eine andere gute Idee könnte sein, einen Eintrag bei Biglumber zu machen. Dies hilft, mit anderen Personen in Kontakt zu treten und sich möglicherweise gegenseitig Schlüssel zu signieren.

Außerdem sollten Sie in Ihren Posteingang schauen und nach Kontakten suchen, die ihre E-Mails bereits signieren. Sie können ihnen eine informelle E-Mail senden, dass Sie jetzt einen Schlüssel haben, und sie auf eine Ressource verweisen.

Ein Blogeintrag über Ihren Schlüssel ist ebenfalls in Ordnung. Sie sollten einen Link zum Herunterladen Ihres Schlüssels bereitstellen.

Wenn Sie in Ihrer E-Mail Signaturen verwenden, können Sie auf Ihren neuen Schlüssel verweisen und natürlich jede E-Mail signieren.

Erinnern Sie daran, dass Sie Ihren Schlüssel nicht löschen können, nachdem er auf einen Schlüsselserver hochgeladen (und unter diesen verteilt) wurde. Natürlich können Sie es widerrufen. Außerdem wird davon ausgegangen, dass Spammer nach diesen E-Mail-Adressen suchen und Ihnen einige "nette Angebote" senden. Wenn Sie Schlüsselsignaturen erstellen und die neuen Signaturen hochladen, zeigt die Signatur an, wo Sie sich zu einem bestimmten Datum befunden haben.

Beachten Sie, dass jede E-Mail-Adresse auf Ihrem Schlüssel in öffentlichen Webinterfaces angezeigt wird. Ich bekomme viel Spam in der E-Mail auf meinem Schlüssel, daher wurde meine aktuelle E-Mail-Adresse nicht auf den Schlüssel gesetzt.

Die einfache Antwort auf Ihre "Verteilungs" -Frage lautet, dass Sie eine Methode verwenden sollten, die für Sie und Ihre beabsichtigten Empfänger bequem ist und Ihren Anforderungen in Bezug auf den Datenschutz entspricht. Z.B. Ein Keyserver kann bequem zum Verteilen an viele Empfänger verwendet werden. Wie Ubi feststellt, setzt ein typischer Keyserver die UID (die normalerweise Ihre E-Mail-Adresse enthält) für alle Zeiten Spammern aus.

Das much Die schwierigere Frage ist, wie Ihr Empfänger überprüft, ob er den richtigen Schlüssel für Sie erhalten hat, anstatt etwas Fälschendes, das einen Angriff erleichtert. Möglicherweise möchten Sie einen Fingerabdruck des Schlüssels mit der anderen Person "außerhalb des Bandes" austauschen, z. über das Telefon. Oder Sie können sich auf das "Netz des Vertrauens" verlassen: eine Signaturkette von Personen, denen Sie zu diesem Zweck vertrauen. Weitere Tipps finden Sie in diesen Fragen:

• Sollte das Abrufen von GPG-Schlüsseln nicht eine sichere Verbindung verwenden?

  li

• Welche Risiken sind mit der Verbindung zu einem nicht vertrauenswürdigen Public-Key-Server verbunden?

Für die Verteilung hängt es wirklich von Ihrem Publikum ab. Der Optimist in mir hofft, dass die Leute gerne meinen Schlüssel verwenden, um Nachrichten zu verschlüsseln und meine Signaturen zu überprüfen. Die Realität ist, dass die Verwaltung kein Problem war. Ich habe es sehr gut gemacht, indem ich es auf meinem Blog und auf Anfrage angeboten habe.

Was die Risiken betrifft, ist es so konzipiert, dass es der Welt leicht zugänglich ist. Konzentrieren Sie diese Bedenken auf den Schutz des privaten Schlüssels. Legen Sie ein Passwort darum und schützen Sie es sorgfältig.

Die Verteilung des öffentlichen Schlüssels ist bei PGP / GPG immer noch ein offenes Problem.

Auf einen öffentlichen Schlüsselserver hochladen

• können andere Unterschreiben Sie Ihren Schlüssel öffentlich mit einem beleidigenden Text oder Inhalt, den Sie im Zusammenhang mit Ihrem Schlüssel nicht sehen möchten.
• Viele Benutzer vergessen das Passwort oder verlieren den Sperrschlüssel und ändern ihre E-Mail-Adresse und können den alten nicht entfernen Schlüssel mehr.
• Es ist fast unmöglich, jemals einen Schlüssel oder eine Signatur von diesen Servern zu entfernen.
• Data Mining-Tools zur Analyse von Daten von einem Schlüsselserver existieren Etwas mehr Spam an die Adressen auf einem öffentlichen Schlüsselserver, da sie einfach zuzuschneiden und sehr interessant sind, weil sie viele Metadaten unterstützen: wie Name, E-Mail, Freunde, Zeitstempel.
• ... aber jeder kann hochladen Ihr öffentlicher Schlüssel zu einem Keyserver. Dies kann absichtlich oder versehentlich geschehen. Die meisten PGP-Tools unterstützen das Hochladen importierter öffentlicher Schlüssel. Wenn Sie lange genug warten, wird sie von jemandem hochgeladen und signiert, ohne Sie zu kennen.

Auf eigene Website hochladen

• Der Benutzer kann den Schlüssel entfernen oder ändern.
• Das Herunterladen eines Schlüssels von einer vertrauenswürdigen Website des Empfängers kann ein weiterer Indikator für einen authentischen Schlüssel sein.
• Viele Fachleute Benutzer von PGP haben (auch) diese Methode gewählt.
• Wenn Sie den Schlüssel neben dem Kontakt auf Ihrer Website platzieren, wird für die Verwendung von PGP geworben.

Persönliches Meeting

• Ein möglicher Angriff besteht darin, einen gefälschten Schlüssel zu pflanzen. Paranoide Menschen treffen sich persönlich und tauschen auf Papier gedruckte Schlüssel aus.

• Dies könnte in einem QR-Code auf Ihrer Karte stehen (ziemlich berühmt). siehe Gibt es einen Standard zum Drucken eines öffentlichen Schlüssels als Barcode?

Weitere Informationen finden Sie unter

• http://secushare.org/PGP
• http://en.wikipedia.org/wiki/Key_server_(cryptographic)
• http://cryptome.org/2013/07/mining-pgp-keyservers.htm

Unter Linux können Sie den folgenden Befehl verwenden:

  $ gpg --keyserver hkp: //keyserver.ubuntu.com --send-key "Ihr Schlüsselindex oder Ihre E-Mail-Adresse" $ gpg - -keyserver hkp: //pgp.mit.edu --send-key "Ihr Schlüsselindex oder E-Mail" $ gpg --keyserver hkp: //pool.sks-keyservers.net --send-key "Ihr Schlüsselindex oder Ihre E-Mail"  

und an verschiedene Server gesendet. Sie werden Ihren Schlüssel weitergeben.