¿Cómo debo distribuir mi clave pública?

La mejor manera de distribuir su clave es mediante uno de los servidores de claves disponibles, como keyserver.ubuntu.com , pgp.mit.edu o keyserver.pgp.com .

Si usa Seahorse (administrador de claves predeterminado en Ubuntu), sincroniza automáticamente sus claves con una de estos servidores Luego, los usuarios pueden buscar su clave usando su dirección de correo electrónico o keyid.

Si desea publicar su clave pública en LinkedIn o en su blog, puede subir la clave a su servidor o simplemente enlazar a la página de su clave en uno de los servidores de claves anteriores. Personalmente, lo subiría a uno de los servidores de claves y lo vincularía, ya que es más fácil mantenerlo actualizado en un solo lugar, en lugar de tener el archivo en un montón de ubicaciones diferentes. También puedes compartir tu Keyid con la gente, y ellos pueden recibir tu clave usando gpg --recv-keys .

Si desea publicar su clave pública en Facebook, hay un campo para colocarla en la sección Información de contacto de su perfil. También puede cambiar la configuración de seguridad de Facebook para usar esta misma clave pública para cifrar sus correos electrónicos.

Por ejemplo, aquí hay mi clave pública .

Según mi conocimiento, no existen riesgos asociados con la publicación de su clave pública.

No hay riesgo de exponer su clave privada o invalidar su clave pública, publicando su clave pública de la manera que usted y @Mark describieron. Como dijo @pboin, está diseñado para estar disponible para el mundo.

Sin embargo, hay otro problema a la mano ... Uno de los propósitos principales de tener y publicar su clave pública (de hecho, este es probablemente el propósito PRINCIPAL), es autenticarse ante otros usuarios, permitirles verificar el Autenticidad de cualquier mensaje o dato que firme, y proteja / cifra los datos solo para sus ojos.
Pero, ¿cómo sabrían esos usuarios que es realmente TU clave pública? Por ejemplo, si quiero enviar un mensaje privado a @Mark Davidson, usando su clave publicada en enlace , ¿cómo sé que fue el REAL Mark Davidson el que publicó esa clave o que me señaló allí?
Sería trivial para mí publicar mi clave pública PROPIA, ya sea en mit.edu, en LinkedIn, Facebook, etc., y simplemente llamarme Bill Clinton (o Bill Gates). ¿Cómo puedes saber lo contrario?
Además, si de alguna manera sé que esta es realmente la persona adecuada (por ejemplo, quiero contactar a un blogger anónimo, a través del pk publicado en su blog. No me importa quién es realmente, el propietario. ¿Cuál es la garantía de que la clave pública no se alteró en el camino? Todos los enlaces y sitios mencionados hasta ahora (ok, con la excepción del servidor de claves PGP) son HTTP, es decir, sin protección de canales, es decir, se pueden modificar fácilmente entre el servidor y el navegador.

Al utilizar el modelo X.509 / PKI, siempre hay alguien de confianza que responde por usted. P.ej. una conocida Autoridad de Certificación (de confianza porque los proveedores del navegador los examinaron y agregó su certificado raíz a la Tienda de Raíces de Confianza en el navegador) verificó su identidad y firmó su clave pública / certificado. Por lo tanto, cualquier persona que quiera verificar quién es quien dice que es, puede verificar la firma y luego verificar la identidad de la persona que lo avala (y luego repetirlo hasta encontrar la CA raíz confiable y conocida).

Sin embargo, en el modelo PGP, usualmente hay no central, autoridad confiable (aunque las versiones actuales SI lo permiten). En cambio, PGP se basa en el modelo de web de confianza, en el que si confía en alguien, puede responder por la identidad de otra persona.

En cualquier caso, el solo hecho de colocar su clave pública no ayuda a nadie a verificar su identidad, ni garantiza que la persona correcta solo pueda ver los mensajes cifrados.

Lo que PUEDES hacer:

• Publique su clave pública, como usted y @Mark dijeron, pero luego proporcione un token de clave pública (básicamente un hash de la clave pública, como una huella digital) a través de un canal seguro. P.ej. ahora es lo suficientemente breve como para leerlo por teléfono si él lo conoce personalmente ... Incluso he visto a alguien poner su token de pk en su tarjeta de visita, entregó una conferencia (es cierto que fue de un proveedor).
• Comience a firmar sus correos electrónicos, luego verifique al destinatario que fue su firma a través de un canal fuera de banda (por ejemplo, por teléfono o en persona ( ¡jadeo! ))
• Complicar la situación, obtener un certificado X.509 estándar e implementar SSL (preferiblemente EV) en su sitio web, entonces cualquiera puede descargar su pk con la certeza de que proviene de quien sea el propietario de ese nombre de dominio ... Quizás eso funcione mejor para las grandes empresas ...)
  Compruebe cómo lo hace ...

Dejando eso de lado, realmente depende de para qué sirve este pk: si es solo para sorprender a tu madre, entonces no te preocupes por todo eso :)
Por otro lado, si tiene comunicaciones realmente confidenciales, o con clientes preocupados por la seguridad, entonces todo lo anterior es importante ...

Una solución general es subirla a un servidor de llaves . Otra buena idea podría ser hacer una entrada en Biglumber . Esto ayuda a ponerse en contacto con otras personas y quizás a firmar claves entre sí.

Además, deberías echar un vistazo a tu bandeja de entrada y buscar contactos que ya hayan firmado sus correos electrónicos. Podría enviarles un correo informal, que ahora tiene una clave y señalarlos a un recurso.

Una entrada de blog sobre tu clave también está bien. Debe proporcionar un enlace para descargar su clave.

Si usa firmas en su correo, puede apuntar a su nueva clave y, por supuesto, firmar cada correo.

Recuerde que no puede eliminar su clave después de cargarla en un servidor de claves (y distribuirla entre ellas). Por supuesto, puedes revocarlo. Además, se supone que los spammers buscan esas direcciones de correo electrónico y le envían algunas "buenas ofertas". Cuando haces firmas clave y subes las nuevas firmas, la firma revela dónde has estado en una fecha específica.

Tenga en cuenta que cualquier dirección de correo electrónico en su clave se mostrará en las interfaces web públicas. Recibo una gran cantidad de correo no deseado en el correo electrónico de mi clave, por lo que no puse mi dirección de correo electrónico actual en la clave.

Para la distribución, realmente depende de su audiencia. El optimista en mí espera que la gente esté ansiosa por usar mi clave para cifrar mensajes y verificar mis firmas. La realidad es que su gestión no ha sido un problema. Lo he hecho muy bien al ofrecerlo en mi blog y a pedido.

En cuanto a los riesgos, está diseñado para estar disponible para el mundo. Enfoca esas preocupaciones en salvaguardar la clave privada. Ponga una contraseña a su alrededor y guárdela con cuidado.

La respuesta simple a su pregunta de "distribución" es que debe usar cualquier método que sea conveniente para usted y sus destinatarios, y que satisfaga sus necesidades en términos de privacidad. P.ej. un servidor de claves se puede usar convenientemente para distribuir a muchos destinatarios, pero como ubi observa, un servidor de claves típico expone el uid (que normalmente tiene su dirección de correo electrónico) a los spammers de todos los tiempos.

La pregunta más difícil de mucho es ¿cómo verifica el destinatario que obtuvo la clave correcta para ti, en lugar de algo falsificado que facilita un ataque? Es posible que desee intercambiar una huella digital de la clave con la otra persona "fuera de banda", por ejemplo. sobre el telefono. O puede confiar en la "red de confianza": una cadena de firmas de personas en las que confía para este propósito. Vea estas preguntas para obtener más consejos:

• No debería GPG la obtención de claves utiliza una conexión segura?

• ¿Qué riesgos son inherentes a la conexión a un servidor de claves públicas no confiable?

La distribución de la clave pública sigue siendo un problema abierto con PGP / GPG.

Subir a un servidor de claves público

• otros pueden firmar su clave pública con un texto o contenido insultante que no desea ver en relación con su clave
• muchos usuarios olvidan la contraseña o pierden la clave de revocación y cambiaron su dirección de correo y ya no pueden eliminar la clave anterior.
• es casi imposible, eliminar una clave o una firma de estos servidores
• existen herramientas de minería de datos para analizar datos de un servidor de claves
• uno recibe un poco más de spam en las direcciones de un servidor de claves público porque son fáciles de recortar y muy interesantes porque admiten muchos metadatos: Como nombre, correo, amigos, marca de tiempo.
• ... pero todos pueden cargar su clave pública en un servidor de claves. Esto puede suceder por intención, o por accidente. La mayoría de las herramientas de PGP admiten la carga de claves públicas importadas y, si esperas el tiempo suficiente, alguien las cargará y firmará la clave sin conocerte.

Subir al sitio web propio

• el usuario puede eliminar o cambiar la clave
• descargar una clave de un sitio web confiable del destinatario puede ser otro indicador para una clave auténtica
• muchos usuarios profesionales de PGP eligieron este método (también)
• colocar la clave junto al contacto en su sitio web anuncia el uso de PGP

Reunión personal

• un posible ataque es plantar una clave falsa. Los paranoicos se reúnen en persona e intercambian llaves impresas en papel.

• esto podría estar en un código QR en su tarjeta (bastante famoso); vea ¿Existe un estándar para ¿imprimiendo una clave pública como un código de barras?

Para más información, consulte

• enlace
• enlace
• enlace

En Linux, puedes usar el comando:

$ gpg --keyserver hkp://keyserver.ubuntu.com --send-key "your key_index or email"
$ gpg --keyserver hkp://pgp.mit.edu --send-key "your key_index or email"
$ gpg --keyserver hkp://pool.sks-keyservers.net --send-key "your key_index or email"

Y lo enviamos a diferentes servidores. Ellos propagarán su clave.