Re: Публикация PGP-ключей (was: О вольных и невольных врагах свободного Интернета)

2020-06-13 Пенетрантность Dmitry Alexandrov
n...@nxmail.org wrote:
> On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov  wrote:
>> Но во-первых, я что-то не вижу, чтобы это вас в самом деле беспокоило. Вот 
>> как вы мне прикажете вам лично написать, чтобы ваши чувства параноика не 
>> обидеть? Я, конечно, все уголки и закоулки Интернета не обшаривал, но
>> — ни в DNS ни по одному из трех стандартов (PKA, CERT, DANE),
>> — ни в WKD,
>> — ни на развалинах пула SKS,
>> — ни в новой открытой сети Hockeypuck в лице keyserver.ubuntu.com,
>> — ни у проприетарных сервисов keys.openpgp.org и keys.mailvelope.com, [2]
>> — ни в заголовках вашего письма (ни «автокриптом», ни иначе),
>> — ни в его подписи (каковой вообще нет),
>> я вашего ключа не нахожу.
>
> Спасибо, поправил это[, обнародовав ключ на keyserver.ubuntu.com и 
> keys.openpgp.org.]

Ну вот и славно.

И да, вы конечно, правы — в DNS ключи действительно размещать было ни к чему 
(эти стандарты кроме GPG толком никто не поддерживает), а вот WKD в свете 
нетсплита сети кейсерверов определенно не помешает.

Если неохота заводить свою директорию (хотя ничего сложного тут нет, пример 
мэйкфайла ниже), то можно просто передоверить вышеупомянутому keys.openpgp.org 
быть вашим WKD-сервером:

openpgpkey.nxmail.org.  10800   IN  CNAME   wkd.keys.openpgp.org.

> Этот ящик был создан для открытой переписки.
> На самом деле, в собственных клиентах Протонмейла сообщения подписываются 
> (это сообщение должно быть подписано).

Таки нет, это ваше сообщение не было подписано (ну, только DKIMʼом).  Это надо 
явно включить (что, в общем-то, правильно).

> Но я не всегда их использую.

Как будто в других программах подписывать письма возбраняется.  (Другое дело, 
что по прямому назначению это может быть совершенно не нужно, но вот показать, 
что вы криптографией в самом деле пользуетесь, а не просто обнародовали ключ, а 
пароль уже давно забыли, — это наилучший способ.)

Так или иначе, я здесь не нашел ни одного вашего письма, отправленного через 
иные MUA, так что не могу сразу подсказать конкретно, но если что — всегда 
спрашивайте.

> До данного момента я передавал ключ лично в руки или пересылал по 
> альтернативному зашифрованному каналу связи.

Ну, с таким-то подходом асимметричная криптография и вовсе не нужна.  ;-)

# Makefile for openpgpkey.example.org WWW root.

include Makefile.d/*.mk

.DEFAULT_GOAL := .well-known/openpgpkey

.well-known/openpgpkey: \
.well-known/openpgpkey(al...@example.org b...@example.org)

.PHONY: clean
clean:
	rm -rf .well-known
# Makefile.d/wkd.mk

.SECONDEXPANSION:
SHELL := /bin/bash
.SHELLFLAGS := -xc

AWK := gawk
GPG := gpg
GPG_WKS_CLIENT := /usr/lib/gnupg/gpg-wks-client

.well-known/openpgpkey/:
	mkdir -p $@
	cd $@ && touch policy

.ONESHELL:
.PHONY: .well-known/openpgpkey(%)
.well-known/openpgpkey(%): $$@/
	gpg-pub-fingerprint ()
	{
	$(GPG) --list-key --with-colons "$$@" \
	| $(AWK) -F: '$$1 == "fpr" { print $$10; exit 0; }'
	}
	fpr=$$(gpg-pub-fingerprint $%)
	[[ $$fpr ]] || exit 1
	$(GPG_WKS_CLIENT) -C $@ --install-key "$$fpr" $%


signature.asc
Description: PGP signature


Re: Discourse vs. рассылки (was: О вольных и невольных врагах свободного Интернета)

2020-06-13 Пенетрантность Dmitry Alexandrov
n...@nxmail.org wrote:
> On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov  wrote:
>> n...@nxmail.org wrote:
>>> И как вы представляете себе цензуру в лице теоретического Debian Discourse 
>>> Master?
>>
>> Вы никогда не видели цензоров на форумах, и даже вообразить их себе не 
>> можете? Вы это серьезно? Покажите мне хоть один форум без таковых?
>
> То есть удаление сообщений постфактум? Когда их уже получили адресаты, 
> подписанные на тему? Это не страшно

Все вы верно говорите, только это _я_ вам должен рассказывать, описывая чем от 
этого вашего «Дискурса» (ну или от Гитхаба) и отличается полноценный список 
рассылки, где непосредственным адресатам ушло напрямую, всем подписчикам ушло, 
на Gmane ушло, в mail-archive.com ушло, на nabble.com ушло, а кое-где еще в 
Юзнет ушло, — и уже и в общем-то не так и важно, а есть ли вообще среди 
множества архивов какой-то один авторитетный.

> Там, где есть Discourse, я просто не пользуюсь почтой. Есть свободное 
> время - открыл, почитал, ответил, закрыл. Мне так удобнее.

 Бинго! Вот именно это и есть то, что делает переход с почты и Юзнета¹ на 
 «Дискурс» не просто вопросом чьего удобства или чьей-то привычки (это все 
 вкусовщина), а враждебным свободному Интернету актом.
 На сколько таких площадок вы заходите, когда у вас «есть свободное время»? 
 На две, на три, на пять? А что прикажете делать остальным? Тихо загнуться 
 без посетителей, да?
 И ведь что характерно, сами себе «дискурсмастера» получаются врагами. 
 Сегодня убьют lists.debian.org, чтобы завтра был discourse.debian.net — 
 послезавтра ждите debian.stackexchange.com.
>>>
>>> Не понимаю, поясните. Чем отличается "нет времени, не прочитал, не ответил 
>>> на письмо" от "нет времени, не зашёл на Discource"
>>
>> Покажите, пожалуйста, как вы зайдете на двадцать «Дискурсов» разом.
>
> Не было такой задачи, да и не планирую

Ну вот о том и речь.  Потому и ждите вслед за discourse.debian.netʼом 
debian.stackexchange.com.

> но, видимо, подпишусь на интересующие темы на каждом. Буду получать по RSS

И отвечать по нему же? ;-)

> или email обновления.

Ну то есть все вернулось на круги своя.

Осталось выяснить: зачем для этого нужно сперва убить открытый почтовый 
backbone.  Для того, чтобы заполучить хипстерский или какой угодно другой 
вебинтерфейс?  Так для этого как раз отрытый скелет беречь надо — чтобы _любой_ 
мог взять и никого не спрашивая и запилить _любой_ интерфейс, какой ему угодно.

Гугль вон захотел — и сделал Gmailʼообразные Гуглогруппы для всего Юзнета.  
Гугль плохой плохой пример «любого»?  Ну хорошо: Ларс в одиночку NNTP-интерфейс 
для трех четвертей рассылок всея СПО-нета уже двадцать лет держит, а им же 
лично написанный вебинтерфейс (который тут, кажется, даже @ser...@outerface.net 
хвалил) он закрыл только потому, что его ваш брат параноик достал кляузами — то 
удалить, се удалить.  narkive.com тоже, емнип, один человек и написал и 
содержит.  GNU Guix себе моднявый фронтэнд для Debbugsʼов [1] заимел силами 
одного Рикардо Вурмуса.

Иными словами, складывается мнение, что опираться на с умом спроектированное и 
десятилетиями обкатанное наследие предков легко и приятно (тогда как писать ни 
с чем не совместимые велосипеды нередко полезно для коммерческих интересов).

Короче говоря, я определенно разочаруюсь в Дебиане (как в людях), если они 
всерьез примут «Диксурс» на вооружение.

[1] https://issues.guix.gnu.org


signature.asc
Description: PGP signature


Re: Protonmail как образец embrace, extend & extinguish (was: О вольных и невольных врагах свободного Интернета)

2020-06-13 Пенетрантность Dmitry Alexandrov
n...@nxmail.org wrote:
> On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov  wrote:
>> n...@nxmail.org wrote:
>>> ваш "почтальон" - один из главных наблюдателей и лоббистов коммерческих 
>>> интересов в сегодняшнем Интернете.
>>
>> Вы так говорите «коммерческий» как будто это что-то плохое.
>
> По моему опыту - рано или поздно любой коммерчески успешный проект либо 
> закрывается

Тут очевидно «без» потеряно — «безуспешный».

> либо вводит максимально некомфортную для пользователей монетизацию, либо 
> продаёт личные данные на регулярной основе.

Так вот и примените ваш опыт к Протонмэйлу.  Что из этого их, по-вашему, ждет?

Напоминаю, что хотя шифрованные письма они более писать не запрещают, и забрать 
и накопленные письма, и тайный ключ у них теперь можно¹, давать SMTP+IMAP 
только за деньги они все еще не стесняются.

-
¹ Да-да, раньше было нельзя.  И изменение, между прочим, есть прямое следствие 
такой штуки, как GDPR, — так что опрессивное законодательство тоже бывает 
полезным.

> прежде чем пользоваться коммерческим продуктом, я сначала уточняю, каким 
> образом можно от него отказаться и не потерять ничего.

Все верно.  Вот я и рассказываю, что́ можно потерять, сначала сев на 
Протонмэйл, а потом решив от него отказаться.  Можно потерять связь с людьми, 
которые знать не знают и знать ничего не хотят ни про какие стандарты 
шифрования, а задолбили только, что они пользуется «Secure Email Based in 
Switzerland», у которого инфраструктура «resides in Europeʼs most secure 
datacenter, underneath [прости господи] 1000 meters of solid rock», а вы — нет.

Тогда как та же Гуглопочта в этом отношении беспроблемна.

>>> Протонмэйл - это почтальон, который не вскрывает
>>
>> Как это? Если вы письмо надежно запечатали в криптообертку, то вскрыть его 
>> сможет только адресат. А если письмо открытое, то его и вскрывать нечего — 
>> оно открытое.
>
> Вы это понимаете, а среднестатистический пользователь электронной почты - нет.

Может быть, не берусь судить.  Даже если принять за аксиому, что он не слишком 
далекий человек — и сам почему-то этого не понимает, то не надо сбрасывать со 
счетов пропаганду еще более враждебно настроенных к открытым сетям компаний 
вроде «Телеграмма» или «Сигнала», которые себе тоже имя делают на шифровании.

> Смею высказать убеждение, что крупные провайдеры электронной почты умышленно 
> не афишируют этот факт

Вы так говорите «крупные», будто противопоставляете им Протонмэйл.

> чтобы пользователи и дальше хранили гигабайты личных или даже 
> конфиденциальных данных незашифрованных в ящиках.

Ну, не буду с этим спорить.

Сообщу только на всякий случай, что из крупных почтовых провайдеров, помимо 
Протонмэйла, пропагандирует PGP https://gmx.com.  Причем именно шифрование как 
всеобщий стандарт, а не как «Secure email: GMX is free encrypted mail».

Ну и та же Гуглопочта, да и думаю не она одна, вполне умеет в S/MIME (для 
вашего домена, естественно) и никуда этот функционал не прячет.

>> > и не читает мои письма,
>>
>> Это они вам сказали, да?
>
> Все их клиенты с открытым кодом.

Да, уже целых полтора месяца как. ;-)

И как же все-таки прекрасна эта опенсорсная мифология приложенная к программам, 
которые вы даже на уровне установил / обновил / удалил не можете толком 
контролировать, да что там — даже _знать_ вам не положено, когда они 
обновляется.

В любом случае, что вы в этом «открытом» коде хотели или боялись увидеть?

> Я доверился оценке независимых аудиторов и сообщества.

Оценке на предмет _чего_?  Клиент — это программа, исполняющаяся на вашей 
машине.

> Незашифрованные письма анализируются автоматически на предмет спама

Ну то есть _читают_ они ваши письма, если могут, — как и все остальные.  Ч. т. 
д.

>> > и не позволяет это сделать другим.
>>
>> Да ладно? Это как? Есть только один способ не позволить третьим лицам 
>> прочесть сообщение — зашифровать его.
>
> Так и есть.

Ну да.  Осталось выяснить, что, собственно, пользователь Протонмэйла должен для 
этого сделать?  То есть, допустим, вы хотите отправить личное письмо мне, не 
пользуясь другими юзерагентами, кроме фирменного — опишите, пожалуйста, 
последовательность действий.  Это чтобы было с чем сравнить действия, 
необходимые для отправки рекламной листовки вместо письма.

>> А во-вторых, вы, очевидно, просто позабыли (ну или не знали), с чего этот 
>> ваш «Протонмэйл» начинал несколько лет назад. А хватило у них неосторожности 
>> начать с того, чем впору заканчивать, уже подмяв под себя львиную долю 
>> рынка: с невозможности отправлять шифрованные письма.
>>
>> Получать — пожалуйста, а отправить можно было только листовку вида «я 
>> пользуюсь замечательной швейцарской почтой Protonmail, чтобы прочитать, что 
>> я вам написал, пройдите по ссылке». (Я не шучу: зайдите и сами посмотрите — 
>> они эту хрень до сих пор никуда с видного места не убрали.)
>
> Да, и сейчас есть такая возможность.

Она не просто есть, она в окне написания письма на самом видном месте.  А вот 
поиск публичного ключа у них где?

Re: Публикация GPG-ключей (was: To: undisclosed-recipients:;)

2020-06-13 Пенетрантность Tim Sattarov
On 2020-06-13 04:26, Dmitry Alexandrov wrote:
> Tim Sattarov  wrote:
>> я вот тоже не в порядке придирки, если письмо подписывается GPG ключом, то 
>> может выложить его куда нибудь уже
> Безотносительно того, что ниже, ключ есть в WKD.  Как бы вы к ней лично не 
> относились, но теперь дело такое, что если ваша GPG-совместимая утилита — 
> будь это сама GPG, Openkeychain или еще какой-нибудь зверек — WKD игнорирует, 
> то она, надо думать, мисконфигурирована.
Я использую стандартные средства Debian для работы с GPG/PGP, Gnupg и в почте 
Enigmail.

>>> The key with ID 0xC8B0F8548EE7F3E7 is not available on the keyserver.
> Ну уж пардоньте, я не знаю, что у вас там за «the keyserver».  На Hockeypuck 
> в лице hkps://keyserver.ubuntu.com он есть.  На старый SKS-пул я отправлял, 
> но конкретно сейчас обратно получить действительно не могу — вылетает по 
> таймауту, или, проще говоря, висит.  Впрочем, он теперь в таком состоянии, 
> что это совсем не удивительно.  Так или иначе, благодарю за сигнал, я сейчас 
> попробую его туда еще раз окольным путем как-нибудь запихнуть.
>
> А если у вас проприетарный сервис типа keys.openpgp.org вместо кейсервера, то 
> уж нет, спасибо, пока обойдусь как-нибудь.
У меня то что по дефолту прописано в настройках.
вот кстати сейчас он вполне даже нашёл твой ключ, похоже, что-то 
синхронизировалось или ты его
догрузил :)

10:32 $ gpg -v  --receive-keys 0xC8B0F8548EE7F3E7
gpg: data source: https://192.146.137.140:443
gpg: armor header: Version: SKS 1.1.6
gpg: armor header: Comment: Hostname: pgpkeys.uk
gpg: pub  ed25519/C8B0F8548EE7F3E7 2020-05-04  Dmitry Alexandrov 
gpg: key C8B0F8548EE7F3E7: "Dmitry Alexandrov " not changed
gpg: Total number processed: 1
gpg:  unchanged: 1
✔ ~

>> А то каждый раз тормозит на открытии твоих писем..
> Позвольте полюбопытствовать: а сколько вы так ключей накопили?
неважно сколько ключей, важно, что он каждый раз безуспешно пытается 
скачать/проверить на сервере и
из-за этого возникает задержка.
я по работе активно использую разного типа шифрование и GPG в их числе, так что 
ключей у меня
достаточно много.





Re: Публикация GPG-ключей (was: To: undisclosed-recipients:;)

2020-06-13 Пенетрантность Dmitry Alexandrov
Tim Sattarov  wrote:
> я вот тоже не в порядке придирки, если письмо подписывается GPG ключом, то 
> может выложить его куда нибудь уже

Безотносительно того, что ниже, ключ есть в WKD.  Как бы вы к ней лично не 
относились, но теперь дело такое, что если ваша GPG-совместимая утилита — будь 
это сама GPG, Openkeychain или еще какой-нибудь зверек — WKD игнорирует, то 
она, надо думать, мисконфигурирована.

>> The key with ID 0xC8B0F8548EE7F3E7 is not available on the keyserver.

Ну уж пардоньте, я не знаю, что у вас там за «the keyserver».  На Hockeypuck в 
лице hkps://keyserver.ubuntu.com он есть.  На старый SKS-пул я отправлял, но 
конкретно сейчас обратно получить действительно не могу — вылетает по таймауту, 
или, проще говоря, висит.  Впрочем, он теперь в таком состоянии, что это совсем 
не удивительно.  Так или иначе, благодарю за сигнал, я сейчас попробую его туда 
еще раз окольным путем как-нибудь запихнуть.

А если у вас проприетарный сервис типа keys.openpgp.org вместо кейсервера, то 
уж нет, спасибо, пока обойдусь как-нибудь.

> А то каждый раз тормозит на открытии твоих писем..

Позвольте полюбопытствовать: а сколько вы так ключей накопили?


signature.asc
Description: PGP signature


Re: Публикация GPG-ключей

2020-06-13 Пенетрантность Dmitry Alexandrov
Tim Sattarov  wrote:
> On 2020-06-13 04:26, Dmitry Alexandrov wrote:
>> Tim Sattarov  wrote:
>>> я вот тоже не в порядке придирки, если письмо подписывается GPG ключом, то 
>>> может выложить его куда нибудь уже
>> Безотносительно того, что ниже, ключ есть в WKD.  Как бы вы к ней лично не 
>> относились, но теперь дело такое, что если ваша GPG-совместимая утилита — 
>> будь это сама GPG, Openkeychain или еще какой-нибудь зверек — WKD 
>> игнорирует, то она, надо думать, мисконфигурирована.
> Я использую стандартные средства Debian для работы с GPG/PGP, Gnupg и в почте 
> Enigmail.

GPG по-умолчанию WKD для retrievingʼа¹ вполне себе использует.  В том числе, 
емнип, и в Дебиане.

Вернер Кох (мэйнтейнер GPG), когда весь этот бардак только начинался, мне 
вообще сообщил, что сервера ключей не нужны, и должны умереть как класс.

-
¹ Зд.: получение ключей для проверки подписи, в противопоставление «locatingʼу» 
— получению ключей для шифрования, где, впрочем, тоже использует.

>> Ну уж пардоньте, я не знаю, что у вас там за «the keyserver».  На Hockeypuck 
>> в лице hkps://keyserver.ubuntu.com он есть.  На старый SKS-пул я отправлял, 
>> но конкретно сейчас обратно получить действительно не могу — вылетает по 
>> таймауту, или, проще говоря, висит.  Впрочем, он теперь в таком состоянии, 
>> что это совсем не удивительно.  Так или иначе, благодарю за сигнал, я сейчас 
>> попробую его туда еще раз окольным путем как-нибудь запихнуть.
>>
>> А если у вас проприетарный сервис типа keys.openpgp.org вместо кейсервера, 
>> то уж нет, спасибо, пока обойдусь как-нибудь.
> У меня то что по дефолту прописано в настройках.

Так в Дебиане он теперь (вопреки апстриму) и прописан [1].  А вот у вас, судя 
по выводу ниже, как раз старый SKS-пул — то ли это у вас Дебиан старый (старше 
10-го), то ли вы ванильный GPG собрали, то ли таки на уровне пользователя 
поменяли.

И, упаси боже, это никак не надо понимать как рекомендацию настраиваться на 
keys.openpgp.org как на основной.  Но в ‘auto-key-locate’ добавить не помешает, 
да:

# keyserver here stands for the default keyserver, as specified in
# dirmngr.conf.  Namely, one of entrypoints to the old SKS pool.  
Specified the
# last as keyserver.ubuntu.com carries most of its content.
auto-key-locate cert dane pka wkd hkps://keyserver.ubuntu.com 
hkps://keys.mailvelope.com hkps://keys.openpgp.org keyserver


[1] 
https://salsa.debian.org/debian/gnupg2/-/blob/debian/master/debian/patches/Use-hkps-keys.openpgp.org-as-the-default-keyserver.patch

> вот кстати сейчас он вполне даже нашёл твой ключ, похоже, что-то 
> синхронизировалось или ты его догрузил :)

> 10:32 $ gpg -v  --receive-keys 0xC8B0F8548EE7F3E7
> gpg: data source: https://192.146.137.140:443
> gpg: armor header: Version: SKS 1.1.6
> gpg: armor header: Comment: Hostname: pgpkeys.uk
> gpg: pub  ed25519/C8B0F8548EE7F3E7 2020-05-04  Dmitry Alexandrov 
> 
> gpg: key C8B0F8548EE7F3E7: "Dmitry Alexandrov " not changed
> gpg: Total number processed: 1
> gpg:  unchanged: 1

Ну, отсюда как раз недвусмысленно следует, что что у вас и раньше таки был. ;-)

>>> А то каждый раз тормозит на открытии твоих писем..
>> Позвольте полюбопытствовать: а сколько вы так ключей накопили?
> неважно сколько ключей,

Позвольте, но откуда вы знаете, что мне важно, а что — нет?

В свое время, раздумывая, не включить ли мне этот ‘auto-key-retrieve’, я 
отказался от этой идеи именно потому, что не хочу видеть в ключнице кучу людей, 
про которых вообще ничего могу сказать даже приблизительно — кто это такие и 
где я их письма мог встречать.  Возможно, это глупость; ну да ладно...


signature.asc
Description: PGP signature