Re: Публикация GPG-ключей
Tim Sattarov wrote: > On 2020-06-13 04:26, Dmitry Alexandrov wrote: >> Tim Sattarov wrote: >>> я вот тоже не в порядке придирки, если письмо подписывается GPG ключом, то >>> может выложить его куда нибудь уже >> Безотносительно того, что ниже, ключ есть в WKD. Как бы вы к ней лично не >> относились, но теперь дело такое, что если ваша GPG-совместимая утилита — >> будь это сама GPG, Openkeychain или еще какой-нибудь зверек — WKD >> игнорирует, то она, надо думать, мисконфигурирована. > Я использую стандартные средства Debian для работы с GPG/PGP, Gnupg и в почте > Enigmail. GPG по-умолчанию WKD для retrievingʼа¹ вполне себе использует. В том числе, емнип, и в Дебиане. Вернер Кох (мэйнтейнер GPG), когда весь этот бардак только начинался, мне вообще сообщил, что сервера ключей не нужны, и должны умереть как класс. - ¹ Зд.: получение ключей для проверки подписи, в противопоставление «locatingʼу» — получению ключей для шифрования, где, впрочем, тоже использует. >> Ну уж пардоньте, я не знаю, что у вас там за «the keyserver». На Hockeypuck >> в лице hkps://keyserver.ubuntu.com он есть. На старый SKS-пул я отправлял, >> но конкретно сейчас обратно получить действительно не могу — вылетает по >> таймауту, или, проще говоря, висит. Впрочем, он теперь в таком состоянии, >> что это совсем не удивительно. Так или иначе, благодарю за сигнал, я сейчас >> попробую его туда еще раз окольным путем как-нибудь запихнуть. >> >> А если у вас проприетарный сервис типа keys.openpgp.org вместо кейсервера, >> то уж нет, спасибо, пока обойдусь как-нибудь. > У меня то что по дефолту прописано в настройках. Так в Дебиане он теперь (вопреки апстриму) и прописан [1]. А вот у вас, судя по выводу ниже, как раз старый SKS-пул — то ли это у вас Дебиан старый (старше 10-го), то ли вы ванильный GPG собрали, то ли таки на уровне пользователя поменяли. И, упаси боже, это никак не надо понимать как рекомендацию настраиваться на keys.openpgp.org как на основной. Но в ‘auto-key-locate’ добавить не помешает, да: # keyserver here stands for the default keyserver, as specified in # dirmngr.conf. Namely, one of entrypoints to the old SKS pool. Specified the # last as keyserver.ubuntu.com carries most of its content. auto-key-locate cert dane pka wkd hkps://keyserver.ubuntu.com hkps://keys.mailvelope.com hkps://keys.openpgp.org keyserver [1] https://salsa.debian.org/debian/gnupg2/-/blob/debian/master/debian/patches/Use-hkps-keys.openpgp.org-as-the-default-keyserver.patch > вот кстати сейчас он вполне даже нашёл твой ключ, похоже, что-то > синхронизировалось или ты его догрузил :) > 10:32 $ gpg -v --receive-keys 0xC8B0F8548EE7F3E7 > gpg: data source: https://192.146.137.140:443 > gpg: armor header: Version: SKS 1.1.6 > gpg: armor header: Comment: Hostname: pgpkeys.uk > gpg: pub ed25519/C8B0F8548EE7F3E7 2020-05-04 Dmitry Alexandrov > > gpg: key C8B0F8548EE7F3E7: "Dmitry Alexandrov " not changed > gpg: Total number processed: 1 > gpg: unchanged: 1 Ну, отсюда как раз недвусмысленно следует, что что у вас и раньше таки был. ;-) >>> А то каждый раз тормозит на открытии твоих писем.. >> Позвольте полюбопытствовать: а сколько вы так ключей накопили? > неважно сколько ключей, Позвольте, но откуда вы знаете, что мне важно, а что — нет? В свое время, раздумывая, не включить ли мне этот ‘auto-key-retrieve’, я отказался от этой идеи именно потому, что не хочу видеть в ключнице кучу людей, про которых вообще ничего могу сказать даже приблизительно — кто это такие и где я их письма мог встречать. Возможно, это глупость; ну да ладно... signature.asc Description: PGP signature
Re: Публикация GPG-ключей (was: To: undisclosed-recipients:;)
On 2020-06-13 04:26, Dmitry Alexandrov wrote: > Tim Sattarov wrote: >> я вот тоже не в порядке придирки, если письмо подписывается GPG ключом, то >> может выложить его куда нибудь уже > Безотносительно того, что ниже, ключ есть в WKD. Как бы вы к ней лично не > относились, но теперь дело такое, что если ваша GPG-совместимая утилита — > будь это сама GPG, Openkeychain или еще какой-нибудь зверек — WKD игнорирует, > то она, надо думать, мисконфигурирована. Я использую стандартные средства Debian для работы с GPG/PGP, Gnupg и в почте Enigmail. >>> The key with ID 0xC8B0F8548EE7F3E7 is not available on the keyserver. > Ну уж пардоньте, я не знаю, что у вас там за «the keyserver». На Hockeypuck > в лице hkps://keyserver.ubuntu.com он есть. На старый SKS-пул я отправлял, > но конкретно сейчас обратно получить действительно не могу — вылетает по > таймауту, или, проще говоря, висит. Впрочем, он теперь в таком состоянии, > что это совсем не удивительно. Так или иначе, благодарю за сигнал, я сейчас > попробую его туда еще раз окольным путем как-нибудь запихнуть. > > А если у вас проприетарный сервис типа keys.openpgp.org вместо кейсервера, то > уж нет, спасибо, пока обойдусь как-нибудь. У меня то что по дефолту прописано в настройках. вот кстати сейчас он вполне даже нашёл твой ключ, похоже, что-то синхронизировалось или ты его догрузил :) 10:32 $ gpg -v --receive-keys 0xC8B0F8548EE7F3E7 gpg: data source: https://192.146.137.140:443 gpg: armor header: Version: SKS 1.1.6 gpg: armor header: Comment: Hostname: pgpkeys.uk gpg: pub ed25519/C8B0F8548EE7F3E7 2020-05-04 Dmitry Alexandrov gpg: key C8B0F8548EE7F3E7: "Dmitry Alexandrov " not changed gpg: Total number processed: 1 gpg: unchanged: 1 ✔ ~ >> А то каждый раз тормозит на открытии твоих писем.. > Позвольте полюбопытствовать: а сколько вы так ключей накопили? неважно сколько ключей, важно, что он каждый раз безуспешно пытается скачать/проверить на сервере и из-за этого возникает задержка. я по работе активно использую разного типа шифрование и GPG в их числе, так что ключей у меня достаточно много.
Re: Публикация GPG-ключей (was: To: undisclosed-recipients:;)
Tim Sattarov wrote: > я вот тоже не в порядке придирки, если письмо подписывается GPG ключом, то > может выложить его куда нибудь уже Безотносительно того, что ниже, ключ есть в WKD. Как бы вы к ней лично не относились, но теперь дело такое, что если ваша GPG-совместимая утилита — будь это сама GPG, Openkeychain или еще какой-нибудь зверек — WKD игнорирует, то она, надо думать, мисконфигурирована. >> The key with ID 0xC8B0F8548EE7F3E7 is not available on the keyserver. Ну уж пардоньте, я не знаю, что у вас там за «the keyserver». На Hockeypuck в лице hkps://keyserver.ubuntu.com он есть. На старый SKS-пул я отправлял, но конкретно сейчас обратно получить действительно не могу — вылетает по таймауту, или, проще говоря, висит. Впрочем, он теперь в таком состоянии, что это совсем не удивительно. Так или иначе, благодарю за сигнал, я сейчас попробую его туда еще раз окольным путем как-нибудь запихнуть. А если у вас проприетарный сервис типа keys.openpgp.org вместо кейсервера, то уж нет, спасибо, пока обойдусь как-нибудь. > А то каждый раз тормозит на открытии твоих писем.. Позвольте полюбопытствовать: а сколько вы так ключей накопили? signature.asc Description: PGP signature
Re: Protonmail как образец embrace, extend & extinguish (was: О вольных и невольных врагах свободного Интернета)
n...@nxmail.org wrote: > On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov wrote: >> n...@nxmail.org wrote: >>> ваш "почтальон" - один из главных наблюдателей и лоббистов коммерческих >>> интересов в сегодняшнем Интернете. >> >> Вы так говорите «коммерческий» как будто это что-то плохое. > > По моему опыту - рано или поздно любой коммерчески успешный проект либо > закрывается Тут очевидно «без» потеряно — «безуспешный». > либо вводит максимально некомфортную для пользователей монетизацию, либо > продаёт личные данные на регулярной основе. Так вот и примените ваш опыт к Протонмэйлу. Что из этого их, по-вашему, ждет? Напоминаю, что хотя шифрованные письма они более писать не запрещают, и забрать и накопленные письма, и тайный ключ у них теперь можно¹, давать SMTP+IMAP только за деньги они все еще не стесняются. - ¹ Да-да, раньше было нельзя. И изменение, между прочим, есть прямое следствие такой штуки, как GDPR, — так что опрессивное законодательство тоже бывает полезным. > прежде чем пользоваться коммерческим продуктом, я сначала уточняю, каким > образом можно от него отказаться и не потерять ничего. Все верно. Вот я и рассказываю, что́ можно потерять, сначала сев на Протонмэйл, а потом решив от него отказаться. Можно потерять связь с людьми, которые знать не знают и знать ничего не хотят ни про какие стандарты шифрования, а задолбили только, что они пользуется «Secure Email Based in Switzerland», у которого инфраструктура «resides in Europeʼs most secure datacenter, underneath [прости господи] 1000 meters of solid rock», а вы — нет. Тогда как та же Гуглопочта в этом отношении беспроблемна. >>> Протонмэйл - это почтальон, который не вскрывает >> >> Как это? Если вы письмо надежно запечатали в криптообертку, то вскрыть его >> сможет только адресат. А если письмо открытое, то его и вскрывать нечего — >> оно открытое. > > Вы это понимаете, а среднестатистический пользователь электронной почты - нет. Может быть, не берусь судить. Даже если принять за аксиому, что он не слишком далекий человек — и сам почему-то этого не понимает, то не надо сбрасывать со счетов пропаганду еще более враждебно настроенных к открытым сетям компаний вроде «Телеграмма» или «Сигнала», которые себе тоже имя делают на шифровании. > Смею высказать убеждение, что крупные провайдеры электронной почты умышленно > не афишируют этот факт Вы так говорите «крупные», будто противопоставляете им Протонмэйл. > чтобы пользователи и дальше хранили гигабайты личных или даже > конфиденциальных данных незашифрованных в ящиках. Ну, не буду с этим спорить. Сообщу только на всякий случай, что из крупных почтовых провайдеров, помимо Протонмэйла, пропагандирует PGP https://gmx.com. Причем именно шифрование как всеобщий стандарт, а не как «Secure email: GMX is free encrypted mail». Ну и та же Гуглопочта, да и думаю не она одна, вполне умеет в S/MIME (для вашего домена, естественно) и никуда этот функционал не прячет. >> > и не читает мои письма, >> >> Это они вам сказали, да? > > Все их клиенты с открытым кодом. Да, уже целых полтора месяца как. ;-) И как же все-таки прекрасна эта опенсорсная мифология приложенная к программам, которые вы даже на уровне установил / обновил / удалил не можете толком контролировать, да что там — даже _знать_ вам не положено, когда они обновляется. В любом случае, что вы в этом «открытом» коде хотели или боялись увидеть? > Я доверился оценке независимых аудиторов и сообщества. Оценке на предмет _чего_? Клиент — это программа, исполняющаяся на вашей машине. > Незашифрованные письма анализируются автоматически на предмет спама Ну то есть _читают_ они ваши письма, если могут, — как и все остальные. Ч. т. д. >> > и не позволяет это сделать другим. >> >> Да ладно? Это как? Есть только один способ не позволить третьим лицам >> прочесть сообщение — зашифровать его. > > Так и есть. Ну да. Осталось выяснить, что, собственно, пользователь Протонмэйла должен для этого сделать? То есть, допустим, вы хотите отправить личное письмо мне, не пользуясь другими юзерагентами, кроме фирменного — опишите, пожалуйста, последовательность действий. Это чтобы было с чем сравнить действия, необходимые для отправки рекламной листовки вместо письма. >> А во-вторых, вы, очевидно, просто позабыли (ну или не знали), с чего этот >> ваш «Протонмэйл» начинал несколько лет назад. А хватило у них неосторожности >> начать с того, чем впору заканчивать, уже подмяв под себя львиную долю >> рынка: с невозможности отправлять шифрованные письма. >> >> Получать — пожалуйста, а отправить можно было только листовку вида «я >> пользуюсь замечательной швейцарской почтой Protonmail, чтобы прочитать, что >> я вам написал, пройдите по ссылке». (Я не шучу: зайдите и сами посмотрите — >> они эту хрень до сих пор никуда с видного места не убрали.) > > Да, и сейчас есть такая возможность. Она не просто есть, она в окне написания письма на самом видном месте. А вот поиск публичного ключа у них где?
Re: Discourse vs. рассылки (was: О вольных и невольных врагах свободного Интернета)
n...@nxmail.org wrote: > On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov wrote: >> n...@nxmail.org wrote: >>> И как вы представляете себе цензуру в лице теоретического Debian Discourse >>> Master? >> >> Вы никогда не видели цензоров на форумах, и даже вообразить их себе не >> можете? Вы это серьезно? Покажите мне хоть один форум без таковых? > > То есть удаление сообщений постфактум? Когда их уже получили адресаты, > подписанные на тему? Это не страшно Все вы верно говорите, только это _я_ вам должен рассказывать, описывая чем от этого вашего «Дискурса» (ну или от Гитхаба) и отличается полноценный список рассылки, где непосредственным адресатам ушло напрямую, всем подписчикам ушло, на Gmane ушло, в mail-archive.com ушло, на nabble.com ушло, а кое-где еще в Юзнет ушло, — и уже и в общем-то не так и важно, а есть ли вообще среди множества архивов какой-то один авторитетный. > Там, где есть Discourse, я просто не пользуюсь почтой. Есть свободное > время - открыл, почитал, ответил, закрыл. Мне так удобнее. Бинго! Вот именно это и есть то, что делает переход с почты и Юзнета¹ на «Дискурс» не просто вопросом чьего удобства или чьей-то привычки (это все вкусовщина), а враждебным свободному Интернету актом. На сколько таких площадок вы заходите, когда у вас «есть свободное время»? На две, на три, на пять? А что прикажете делать остальным? Тихо загнуться без посетителей, да? И ведь что характерно, сами себе «дискурсмастера» получаются врагами. Сегодня убьют lists.debian.org, чтобы завтра был discourse.debian.net — послезавтра ждите debian.stackexchange.com. >>> >>> Не понимаю, поясните. Чем отличается "нет времени, не прочитал, не ответил >>> на письмо" от "нет времени, не зашёл на Discource" >> >> Покажите, пожалуйста, как вы зайдете на двадцать «Дискурсов» разом. > > Не было такой задачи, да и не планирую Ну вот о том и речь. Потому и ждите вслед за discourse.debian.netʼом debian.stackexchange.com. > но, видимо, подпишусь на интересующие темы на каждом. Буду получать по RSS И отвечать по нему же? ;-) > или email обновления. Ну то есть все вернулось на круги своя. Осталось выяснить: зачем для этого нужно сперва убить открытый почтовый backbone. Для того, чтобы заполучить хипстерский или какой угодно другой вебинтерфейс? Так для этого как раз отрытый скелет беречь надо — чтобы _любой_ мог взять и никого не спрашивая и запилить _любой_ интерфейс, какой ему угодно. Гугль вон захотел — и сделал Gmailʼообразные Гуглогруппы для всего Юзнета. Гугль плохой плохой пример «любого»? Ну хорошо: Ларс в одиночку NNTP-интерфейс для трех четвертей рассылок всея СПО-нета уже двадцать лет держит, а им же лично написанный вебинтерфейс (который тут, кажется, даже @ser...@outerface.net хвалил) он закрыл только потому, что его ваш брат параноик достал кляузами — то удалить, се удалить. narkive.com тоже, емнип, один человек и написал и содержит. GNU Guix себе моднявый фронтэнд для Debbugsʼов [1] заимел силами одного Рикардо Вурмуса. Иными словами, складывается мнение, что опираться на с умом спроектированное и десятилетиями обкатанное наследие предков легко и приятно (тогда как писать ни с чем не совместимые велосипеды нередко полезно для коммерческих интересов). Короче говоря, я определенно разочаруюсь в Дебиане (как в людях), если они всерьез примут «Диксурс» на вооружение. [1] https://issues.guix.gnu.org signature.asc Description: PGP signature
Re: Публикация PGP-ключей (was: О вольных и невольных врагах свободного Интернета)
n...@nxmail.org wrote:
> On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov wrote:
>> Но во-первых, я что-то не вижу, чтобы это вас в самом деле беспокоило. Вот
>> как вы мне прикажете вам лично написать, чтобы ваши чувства параноика не
>> обидеть? Я, конечно, все уголки и закоулки Интернета не обшаривал, но
>> — ни в DNS ни по одному из трех стандартов (PKA, CERT, DANE),
>> — ни в WKD,
>> — ни на развалинах пула SKS,
>> — ни в новой открытой сети Hockeypuck в лице keyserver.ubuntu.com,
>> — ни у проприетарных сервисов keys.openpgp.org и keys.mailvelope.com, [2]
>> — ни в заголовках вашего письма (ни «автокриптом», ни иначе),
>> — ни в его подписи (каковой вообще нет),
>> я вашего ключа не нахожу.
>
> Спасибо, поправил это[, обнародовав ключ на keyserver.ubuntu.com и
> keys.openpgp.org.]
Ну вот и славно.
И да, вы конечно, правы — в DNS ключи действительно размещать было ни к чему
(эти стандарты кроме GPG толком никто не поддерживает), а вот WKD в свете
нетсплита сети кейсерверов определенно не помешает.
Если неохота заводить свою директорию (хотя ничего сложного тут нет, пример
мэйкфайла ниже), то можно просто передоверить вышеупомянутому keys.openpgp.org
быть вашим WKD-сервером:
openpgpkey.nxmail.org. 10800 IN CNAME wkd.keys.openpgp.org.
> Этот ящик был создан для открытой переписки.
> На самом деле, в собственных клиентах Протонмейла сообщения подписываются
> (это сообщение должно быть подписано).
Таки нет, это ваше сообщение не было подписано (ну, только DKIMʼом). Это надо
явно включить (что, в общем-то, правильно).
> Но я не всегда их использую.
Как будто в других программах подписывать письма возбраняется. (Другое дело,
что по прямому назначению это может быть совершенно не нужно, но вот показать,
что вы криптографией в самом деле пользуетесь, а не просто обнародовали ключ, а
пароль уже давно забыли, — это наилучший способ.)
Так или иначе, я здесь не нашел ни одного вашего письма, отправленного через
иные MUA, так что не могу сразу подсказать конкретно, но если что — всегда
спрашивайте.
> До данного момента я передавал ключ лично в руки или пересылал по
> альтернативному зашифрованному каналу связи.
Ну, с таким-то подходом асимметричная криптография и вовсе не нужна. ;-)
# Makefile for openpgpkey.example.org WWW root.
include Makefile.d/*.mk
.DEFAULT_GOAL := .well-known/openpgpkey
.well-known/openpgpkey: \
.well-known/openpgpkey(al...@example.org b...@example.org)
.PHONY: clean
clean:
rm -rf .well-known
# Makefile.d/wkd.mk
.SECONDEXPANSION:
SHELL := /bin/bash
.SHELLFLAGS := -xc
AWK := gawk
GPG := gpg
GPG_WKS_CLIENT := /usr/lib/gnupg/gpg-wks-client
.well-known/openpgpkey/:
mkdir -p $@
cd $@ && touch policy
.ONESHELL:
.PHONY: .well-known/openpgpkey(%)
.well-known/openpgpkey(%): $$@/
gpg-pub-fingerprint ()
{
$(GPG) --list-key --with-colons "$$@" \
| $(AWK) -F: '$$1 == "fpr" { print $$10; exit 0; }'
}
fpr=$$(gpg-pub-fingerprint $%)
[[ $$fpr ]] || exit 1
$(GPG_WKS_CLIENT) -C $@ --install-key "$$fpr" $%
signature.asc
Description: PGP signature
