¿Por qué no es obligatorio que los servidores de claves solo estén disponibles a través de HTTPS?

Navega tus respuestas
0

Si busco inurl:http+keyserver en Google, en las primeras 10 páginas de resultados que puedo encontrar estos:

Y estos son solo los servidores de claves basados en www. ¿Tienen cero pistas sobre la seguridad de TI? HTTPS no es un santo grial, ¡pero es mucho mejor que el texto simple! La configuración correcta de HTTPS requiere que HTTP no esté habilitado (¡al menos un redireccionamiento!) Y un certificado HTTPS válido ...

Pregunta: ¿Por qué no es obligatorio que los servidores de claves solo estén disponibles a través de HTTPS? Hoy en día, Let's Encrypt es gratis y no requiere mantenimiento. ¿Hay algún buen argumento para no usar una conexión segura (encriptada y auténtica)?

ACTUALIZACIÓN : durante un MiTM, las claves que no se envían a través de HTTPS pueden modificarse, por lo tanto, no importa que cualquiera pueda cargar las claves a los servidores de llaves, ¡todo está perdido! HTTPS tendría que ser obligatorio! ¡Al menos una mejor oportunidad!

    
pregunta pepite 08.12.2016 - 16:18
fuente

2 respuestas

7

¿Necesitas HTTPS para las claves PGP?

Para PGP, ya tenemos un mecanismo PKI incorporado, llamado web de confianza, por lo que no necesariamente necesitamos el servidor de claves HTTPS.

Incluso si los servidores de claves entregaron sus claves a través de HTTPS, no podría estar seguro de la exactitud de las claves, ya que cualquiera puede enviar claves arbitrarias al servidor. Servir las claves no confiables a través de HTTPS no haría que fuesen confiables de repente.

¿Necesitas HTTPS en general?

Por lo tanto, no hay ninguna razón por la cual las claves PGP se deban servir específicamente a través de HTTPS.

Sin embargo, todavía hay argumentos válidos para HTTPS, principalmente relacionados con la privacidad y la integridad. Ver, por ejemplo, Vamos a cifrar todo .

¿Por qué los servidores de claves no fuerzan a HTTPS?

La mayoría de esas páginas no admiten HTTPS o no tienen un certificado válido, por lo que forzar todo el tráfico a través de HTTPS no sería una buena idea, ya que las haría menos accesibles.

¿Pero por qué no soportan HTTPS? Probablemente porque es demasiado problema para ellos configurar. Claro, Let's Encrypt proporciona certificados gratuitos, pero alguien todavía tiene que configurarlos.

    
respondido por el tim 08.12.2016 - 17:37
fuente
0

Usted tiene un argumento justo, sobre HTTPS. Aunque, PGP hace uso de la criptografía de clave pública. Una clave (una clave pública) que puede distribuir a sus amigos para cifrar y enviarle datos cifrados. La otra clave (clave privada), solo tú tienes acceso.

Esa es una de las razones por las cuales las personas tienen que generar una nueva clave emparejarse cuando pierden su clave privada.

Cuando envía la clave a los servidores de claves públicas de PGP y no se les llama "servidores de claves públicas" por casualidad. Lo único que un intruso puede hacer en posesión de su clave pública es: encriptar los datos. Pero no pueden descifrar o adivinar la clave privada.

Es por eso que creo que estos servidores no se preocupan por HTTPS. Es porque la única información que debe ser escuchada es pública.

    
respondido por el abstractj 08.12.2016 - 17:13
fuente

Lea otras preguntas en las etiquetas

Como usuario, ¿es una buena práctica el uso de contraseñas encriptadas con MD5 en sitios web? [duplicar] ¿Es posible la inyección de código en algún idioma compilado o interpretado?