Der keys.openpgp.org Server ist ein öffentlicher Service für die Verteilung von OpenPGP-Schlüsseln, üblicherweise als "Keyserver" bezeichnet.
- -Für Details zur Nutzung, siehe Nutzungshinweise
- -Ein OpenPGP Schlüssel enthält zwei Arten Information:
- -Traditionell wurden diese Bestandteile von Keyservern gemeinsam ausgeliefert. Auf keys.openpgp.org werden sie jedoch getrennt behandelt: Während Nicht-Identität-Informationen jedes Schlüssels frei hochgeladen werden können, werden Identitäts-Informationen nur unter bestimmten Bedingungen gespeichert und weiter veröffentlicht:
- -Die Nicht-Identitäts-Informationen eines Schlüssels sind rein technischer Natur, und können nicht zur direkten Identifikation von Personen verwendet werden. Sie werden nach Prüfung der kryptografischen Integrität ohne weitere Bestätigung gespeichert und verteilt. Fortgeschrittene OpenPGP-Anwendungen können keys.openpgp.org verwenden, um diese Informationen in allen bekannten Schlüsseln auf dem neusten Stand zu halten, und eine sichere und zuverlässige Kommunikation sicherzustellen.
- -Die Identitäts-Informationen eines OpenPGP-Schlüssels enthalten persönliche Daten ihres Besitzers. Sie werden ausschließlich mit dessen Zustimmung veröffentlicht, welche mit einer simplen Bestätigung via E-Mail abgefragt wird. Insbesondere kann ein Schlüssel nur mit Zustimmung anhand seiner E-Mail-Adressen in der Suche gefunden werden.
- -Dieser Dienst wird ehrenamtlich unterhalten. Die Betreiber dieses Dienstes kommen aus unterschiedlichen OpenPGP-Projekten, insbesondere Sequoia-PGP, OpenKeychain, und Enigmail. Du kannst uns unter #hagrid im Freenode IRC erreichen, oder #hagrid:stratum0.org auf Matrix. Natürlich sind wir auch per E-Mail verfügbar, unter support at keys punkt openpgp punkt org.
- -Technisch verwendet keys.openpgp.org die Hagrid Keyserver-Software, welche auf Sequoia-PGP basiert. Der Dienst wird gehostet auf der eclips.is Plattform, die von Greenhost unterhalten wird und sich auf Internet-Freedom-Projekte spezialisiert.
-Nein. Das Föderations-Modell des SKS Pools hat mehrere Probleme bezüglich Zuverlässigkeit, Widerstandsfähigkeit gegen Vandalismus, und Nutzbarkeit. Wir werden in Zukunft möglicherweise eine ähnlich verteilte Infrastruktur einführen, aber keys.openpgp.org wird nie Teil des SKS Pools werden.
- -Aktuell nein. Wir planen, keys.openpgp.org zu dezentralisieren. Mit mehreren Servern, die von unabhängigen Administratoren gepflegt werden, wäre es möglich die Zuverlässigkeit des Dienstes noch weiter verbessern.
- -Einige Leute haben bereits ihre Hilfe angeboten, eine Server-Instanz von Hagrid zu pflegen. Das wissen wir zu schätzen, allerdings würden wir voraussichtlich kein "offenes" Föderations-Modell wie SKS verwenden. Dafür gibt es zwei Gründe:
-Die Veröffentlichung von Identitäts-Informationen erfordert explizite Zustimmung ihres Besitzers. Für Identitäten die keine Email-Adressen sind, beispielsweise Bilder oder Links zu Webseiten, gibt es keine einfache Möglichkeit, diese Zustimmung einzuholen.
- -Hinweis: Manche OpenPGP-Anwendungen generieren Email-Adressen mit inkorrekter Formatierung. Diese Adressen werden möglicherweise von keys.openpgp.org nicht richtig erkannt.
- -Eine Email-Adresse kann zu jedem Zeitpunkt mit nur genau einem Schlüssel veröffentlicht werden. Wenn eine Adresse für einen neuen Schlüssel bestätigt wird, entfernt diese Operation automatisch auch die Assoziation mit dem vorigen Schlüssel. Nicht-Identitäts Informationen sind davon nicht betroffen, und werden immer für alle Schlüssel verteilt.
- -Auf diese Weise wird sichergestellt, dass eine Suche per Email-Adresse zu jedem Zeitpunkt genau ein oder kein Ergebnis hat, niemals mehrere Kandidaten. Dies vermeidet eine unmögliche Rückfrage an den Nutzer ("Welcher Schlüssel ist der richtige?"), und macht so die Schlüssel-Suche per Email-Adresse deutlich nutzbarer.
- -Wir verwenden den modernen MTA-STS-Standard in Kombination mit STARTTLS Everywhere, um unerlaubtem Zugriff durch Angreifer während der Zustellung vorzubeugen.
- -Der MTA-STS-Mechanismus hängt von einer kompatiblen Konfiguration des empfangenden Email-Servers ab. Du kannst hier überprüfen, ob dein Email-Provider dies unterstützt. Falls der "MTA-STS" Eintrag auf der linken Seite kein grünes Häkchen anzeigt, erkundige dich am Besten bei deinem Provider, ob sie ihre Konfiguration updaten können.
- -Kurze Antwort: Nein.
- -Eine "Drittsignatur" auf einem Schlüssel ist eine Signatur, die von einem Dritten ausgestellt wurde. Diese Signaturen kommen üblicherweise zustande, indem man "den Schlüssel von jemand anders signiert", und sie sind die Basis des sogenannten "Web of Trust". Derartige Signaturen werden aktuell aus verschiedenen Gründen von keys.openpgp.org nicht verteilt.
- -Der mit Abstand wichtigste Grund ist Spam. Drittsignaturen ermöglichen es jedem, beliebige Daten an den Schlüssel von jemand anders anzuhängen. Auf diese Weise können so große Datenmengen an einen Schlüssel angehängt werden, dass der Schlüssel effektiv unbrauchbar wird. Schlimmstenfalls kann ein Angreifer anstößige oder illegale Daten anhängen.
- -Es gibt einige Ideen, dieses Problem zu lösen. Beispielsweise können Drittsignaturen mit dem Aussteller, statt dem Empfänger, ausgeliefert werden. Alternativ können Drittsignaturen erst nach Bestätigung durch den Empfänger ausgeliefert werden. Sollte genug Interesse an einer solchen Lösung bestehen, sind wir gerne bereit mit OpenPGP-Projekten für eine Umsetzung zu kooperieren.
- -Der Dienst auf keys.openpgp.org ist gedacht für die Verteilung und das Auffinden von Schlüsseln, nicht als de-facto "Certificate Authority". OpenPGP-Software, die verifizierte Kommunikation ermöglichen möchte, sollte dafür ein entsprechendes Vertrauens-Modell implementieren.
- -Wenn ein OpenPGP-Schlüssel eine seiner Identitäten als widerrufen markiert, ist diese ab diesem Zeitpunkt nicht mehr gültig. Diese Information sollte dann nach Möglichkeit an alle Clients verteilt werden, die bereits vorher Kenntnis von der Identität hatten.
-Leider gibt es keinen guten Weg, eine derart widerrufene Identität zu verteilen, ohne die Identität an sich zu offenbaren. Da widerrufene Identitäten nicht weiter verteilt werden sollten, können wir entsprechende Identitäten (mit oder ohne Widerruf) nicht mehr verteilen.
-Es gibt Lösungsansätze für dieses Problem, die eine Verteilung von Widerrufen erlauben, ohne die Identitäten an sich zu offenbaren. Bislang gibt es dafür allerdings keine fertige Spezifikation, oder Unterstützung in verwendeter OpenPGP-Software. Sobald sich hier die Situation verändert, werden wir natürlich auch auf keys.openpgp.org entsprechende Unterstützung einbauen.
- -Na klar!
- Wenn du Tor installiert hast,
- kannst du keys.openpgp.org anonym
- als
- Onion-Service verwenden:
-
zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion
Dies ist ein Problem in aktuellen Versionen von GnuPG. Bei dem Versuch einen Schlüssel von keys.openpgp.org zu aktualisieren, der keine Identitäts-Informationenbeinhaltet, bricht GnuPG den Import mit der folgenden Fehlermeldung ab:
-$ gpg --receive-keys A2604867523C7ED8-
- gpg: key A2604867523C7ED8: no user ID
Wir arbeiten mit dem GnuPG-Team an einer Lösung.
-Eine simple Statistik über die Gesamtzahl Email Adressen, die aktuell bestätigt sind. 📈
- --
-
-
-
Dies ist eine Statistik, wie ausgelastet der Server ist:
--
-
Auf dieser Seite sammeln wir Anleitungen zur Nutzung von keys.openpgp.org mit unterschiedlichen OpenPGP-Anwendungen. Wir sind noch dabei, weitere Anleitungen hinzuzufügen - falls du eine bestimmte vermisst, lass es uns einfach wissen.
- -
Enigmail für Thunderbird verwendet keys.openpgp.org als voreingestellten Keyserver seit Version 2.0.12.
-Alle Features sind verfügbar ab Enigmail 2.1 (für Thunderbird 68 und neuer):
-
GPG Suite für macOS verwendet keys.openpgp.org voreingestellt seit August 2019.
- -
OpenKeychain für Android verwendet keys.openpgp.org voreingestellt seit Juli 2019.
-Bislang gibt es allerdings keine integrierte Unterstützung für das Bestätigen von E-Mail-Adressen.
- -
Um GnuPG mit keys.openpgp.org zu konfigurieren, füge diese Zeile in der gpg.conf Datei hinzu:
-keyserver hkps://keys.openpgp.org- - -
gpg --auto-key-locate keyserver --locate-keys user@example.net-
gpg --refresh-keys-
Schlüssel können mit GnuPG's --send-keys Befehl hochgeladen werden, allerdings können auf diese Weise keine Identitäts-Informationen (was ist das?) bestätigt werden für die Suche per E-Mail-Adresse.
- -gpg --export deine_adresse@example.net | curl -T - {{ base_uri }}-
gpg --export deine_adresse@example.net > my_key.pub-
hkp-cacert ~/.gnupg/sks-keyservers.netCA.pem-
Diese Konfiguration ist nicht mehr notwendig, kann aber Probleme mit Keyserver-Zertifikaten verursachen. Die Zeile kann in aktuellen Versionen gefahrlos entfernt werden.
-gpg: key A2604867523C7ED8: no user ID- Es handelt sich um ein bekanntes Problem in GnuPG. Wir arbeiten mit dem GnuPG Team an einer Lösung. -
Nutzer mit erhöhten Anonymitäts-Anforderungen können keys.openpgp.org anonym als Onion Service verwenden. Wenn Tor installiert ist, verwende die folgende Konfiguration:
-keyserver hkp://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion- - -
Es gibt eine Schnittstelle (API) für integrierte Unterstützung in OpenPGP-Anwendungen. Siehe dazu unsere API-Dokumentation.
- -Fehlt eine Anleitung für die Anwendung, die du verwendest? Schick eine E-Mail an support at keys punkt openpgp punkt org, und wir werden versuchen eine entsprechende Anleitung hinzuzufügen.
- -Le serveur keys.openpgp.org est un service public pour la distribution et la recherche de clés compatibles OpenPGP, communément appelé « serveur de clés ».
- -Des instructions se trouvent dans notre guide d’utilisation.
- -Une clé OpenPGP comprend deux sortes de renseignements :
- -Traditionnellement, ces renseignements ont toujours été distribués ensemble. Sur keys.openpgp.org, ils sont traités différemment. Bien que quelqu’un puisse téléverser toutes les parties d’une clé OpenPGP vers keys.openpgp.org, notre serveur de clés ne conservera et ne publiera que certaines parties, sous certaines conditions :
- -Tout renseignement non nominatif sera enregistré et distribué librement s’il passe un contrôle cryptographique d’intégrité. N’importe qui peut télécharger ces parties n’importe quand, car elles ne comprennent que des données techniques qui ne peuvent pas être utilisées pour identifier quelqu’un directement. Les logiciels OpenPGP de qualité peuvent utiliser keys.openpgp.org pour garder ces renseignements à jour pour n’importe quelle clé qu’il connaît. Cela permet aux utilisateurs d’OpenPGP d’assurer des communications sécurisées et fiables.
- -Les renseignements d’identité d’une clé OpenPGP ne sont distribués qu’avec consentement. Ils comprennent des données personnelles et ne sont pas strictement nécessaires pour qu’une clé soit utilisée pour le chiffrement ou la vérification par signature. Une fois que le propriétaire donne son consentement en attestant que son adresse courriel est la bonne, la clé peut être trouvée par son adresse courriel.
- -Ce service existe en tant qu’effort communautaire. Vous pouvez nous contacter #hagrid sur Freenode IRC, ainsi que #hagrid:stratum0.org sur Matrix. Vous pouvez bien sûr nous contacter aussi par courriel à l’adresse support arobase keys point openpgp point org. Les personnes derrière keys.openpgp.org proviennent de différents projets de l’écosystème OpenPGP, dont Sequoia-PGP, OpenKeychain et Enigmail.
- -D’un point de vue technique, keys.openpgp.org tourne sur le logiciel de serveur de clés Hagrid, fondé sur Sequoia-PGP. Nous utilisons la plateforme d’hébergement eclips.is, gérée par Greenhost, un fournisseur d’hébergement Web axé sur les projets qui promeuvent la liberté sur Internet.
-Non. Le modèle fédéré de la réserve SKS présente divers problèmes en matière de fiabilité, de résistance aux abus, de confidentialité et d’utilisabilité. Nous réaliserons peut-être quelque chose de semblable, mais keys.openpgp.org ne fera jamais partie de la réserve SKS même.
- -Pas pour le moment. Nous prévoyons décentraliser keys.openpgp.org ultérieurement. Avec plusieurs serveurs exploités par des opérateurs indépendants, nous pouvons espérer améliorer en plus la fiabilité de ce service.
- -Plusieurs personnes ont offert de nous aider en « faisant tourner une instance du serveur Hagrid ». Nous sommes très reconnaissants de ces offres, mais nous n’aurons probablement jamais de modèle fédéré « ouvert » comme SKS, où tout le monde peut exécuter une instance et faire partie d’une réserve. Il y a deux raisons :
-Pour distribuer des renseignements d’identité, nous exigeons un consentement explicite. Les identités qui ne sont pas des adresses courriel, telles que les images ou les URL de site Web ne nous permettent pas d’obtenir facilement ce consentement.
- -Note : Certains logiciels OpenPGP créent des clés avec des adresses courriel mal formatées. Ces adresse pourraient ne pas être reconnues correctement sur keys.openpgp.org.
- -Une adresse courriel ne peut être associée qu’avec une seule clé. Si une adresse est confirmée pour une nouvelle clé, elle n’apparaîtra plus avec aucune clé pour laquelle elle était confirmée précédemment. Les renseignements non nominatifs seront encore distribués pour toutes les clés.
- -Cela signifie qu’une recherche par adresse courriel ne retournera qu’une seule clé et non plusieurs candidates. Cela élimine un choix impossible pour l’utilisateur (« Quelle clé est la bonne ? ») et rend plus pratique la recherche de clés par adresse courriel.
- -Nous utilisons une norme moderne appelée MTA-STS combinée à STARTTLS Everywhere de la FFÉ (sites en anglais), afin de nous assurer que les courriels de confirmation sont envoyés en toute sécurité. Ces mesures protègent contre l’écoute et l’interception en cours de livraison.
- -Le mécanisme MTA-STS dépend de la bonne configuration des serveurs de courriel. Vous pouvez exécuter ce test pour voir si votre fournisseur de services de courriel le prend en charge. Si l’entrée « MTA-STS » située sur la gauche ne présente pas de coche verte, veuillez demander à votre fournisseur de mettre à jour sa configuration.
- -Tout simplement, non.
- -Une « signature par un tiers » est la signature d’une clé effectuée par quelque autre clé. Généralement, ce sont les signatures produites en signant la clé de quelqu’un, qui constituent la fondation de la « toile de confiance ». Pour plusieurs raisons, ces signatures ne sont actuellement pas distribuées par keys.openpgp.org.
- -La raison principale est les contenus indésirables. Les signatures par des tiers permettent de joindre des données arbitraires à la clé de n’importe qui, et rien n’empêche un utilisateur malveillant de joindre tant de méga-octets de données obèses à une clé qu’elle devient pratiquement inutilisable. Pis encore, il pourrait joindre du contenu offensif ou illégal.
- -Des idées de solution existent pour résoudre ce problème. Par exemple, les signatures pourraient être distribuées avec le signataire plutôt qu’avec la personne à qui la signature est destinée. Nous pourrions aussi exiger, avant distribution, une contre-signature de la personne à qui la signature est destinée, afin de prendre en charge un déroulement genre « caff » (page en anglais). Si cela suscite suffisamment d’intérêt, nous sommes prêts à collaborer avec d’autres projets OpenPGP pour concevoir une solution.
- -Le service keys.openpgp.org est conçu pour la distribution et la recherche de clés, pas comme une autorité de certification de facto. Les mises en œuvre par des clients qui souhaitent offrir des communications vérifiées devraient reposer sur leur propre modèle de confiance.
- -Si une clé OpenPGP marque l’une de ses identités comme révoquée, cette identité ne devrait plus être considérée comme valide pour la clé. Ce renseignement devrait idéalement aussi être distribué à tous les clients OpenPGP qui connaissent déjà la nouvelle identité révoquée.
-Malheureusement, il n’existe actuellement aucune bonne façon de distribuer des révocations qui ne divulguerait pas aussi l’identité révoquée même.
-Des solutions à ce problème ont été proposées, qui permettent la distribution de révocations sans aussi divulguer l’identité même. Cependant, il n’existe jusqu’à présent aucune spécification finale ni prise charge par des logiciels OpenPGP. Nous espérons qu’une solution sera mise en place dans un avenir proche et nous la déploierons sur keys.openpgp.org dès que nous le pourrons.
- -Bien sûr ! si vous avez installé Tor, vous pouvez accéder anonymement à keys.openpgp.org en tant que service onion :
zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion
Un problème existe avec les versions actuelles de GnuPG. Si vous tentez de mettre à jour une clé de keys.openpgp.org qui ne comporte pas de renseignement d’identité, GnuPG refusera de traiter la clé :
-$ gpg --receive-keys A2604867523C7ED8-
-gpg: « A2604867523C7ED8 » n'est pas un identifiant de clef : ignoré
Nous travaillons avec l’équipe GnuPG afin de résoudre ce problème.
-Sur cette page, nous recueillons des renseignements sur la façon d’utiliser span class="brand">keys.openpgp.org avec différents logiciels OpenPGP.
Nous continuons à en ajouter de nouveaux. Si certains manquent, veuillez nous écrire et nous nous efforcerons de les ajouter.
Enigmail pour Thunderbird utilise keys.openpgp.org par défaut depuis la version 2.0.12.
-Une prise en charge totale est offerte depuis Enigmail 2.1 (pour Thunderbird 68 (page en anglais) ou version ultérieure :
-GPG Suite pour macOS utilise keys.openpgp.org par défaut depuis août 2019.
- -OpenKeychain pour Android utilise keys.openpgp.org par défaut depuis juillet 2019.
-Notez qu’il n’y a actuellement pas de prise en charge intégrée du téléversement ni de la confirmation d’adresses courriel.
- -Afin de configurer GnuPG pour utiliser keys.openpgp.org comme serveur de clés, ajoutez cette ligne à votre fichier gpg.conf :
-keyserver hkps://keys.openpgp.org- - -
gpg --auto-key-locate keyserver --locate-keys utilisateur@exemple.net-
gpg --refresh-keys-
Les clés peuvent être téléversées avec la commande --send-keys de GnuPG, mais les renseignements d'identité ne peuvent pas être confirmés de cette façon afin qu’une recherche par adresse courriel trouve la clé. (Qu’est-ce que cela signifie ?)
- -gpg --export votre_adresse_courriel@exemple.net | curl -T - {{ base_uri }}-
gpg --export votre_adresse_courriel@exemple.net > ma_clé.pub-
hkp-cacert ~/.gnupg/sks-keyservers.netCA.pem-
Cette configuration n’est plus nécessaire, mais empêche les certificats ordinaires de fonctionner. Il est recommandé de simplement supprimer cette ligne de la configuration.
-gpg: key A2604867523C7ED8: no user ID- C’est un problème connu de GnuPG. Nous nous efforçons de résoudre ce problème avec l’équipe de GnuPG. -
Pour les utilisateurs qui souhaitent être particulièrement prudents, il est possible d’accéder anonymement à keys.openpgp.org en tant que service onion. Si vous avez installé Tor, utilisez la configuration suivante :
-keyserver hkp://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion- - -
Nous offrons une API pour une prise en charge intégrée dans les applications OpenPGP. Consultez la documentation de notre API.
- -Vous manque-t-il un guide pour votre mise en œuvre favorite ? Ce site est évolutif et nous cherchons à l’améliorer. Envoyez-nous un courriel à l’adresse support arobase keys point openpgp point org si vous souhaitez nous aider.
- -在此页面,我们收集不同OpenPGP软件上使用 -keys.openpgp.org的信息 -我们仍在努力添加更多的支持。如果你发现有一些缺失 -请写给我们,我们会尝试添加对它的支持。
- -Thunderbird 组件Enigmail从版本 2.0.12 开始默认使用keys.openpgp.org
-从 Enigmail 2.1 开始有完整的支持 -(Thunderbird 68或更高版本):
-Mac系统 GPG Suite -从2019年8月开始默认使用keys.openpgp.org。
- -安卓系统OpenKeychain -从2019年9月开始默认使用keys.openpgp.org。
-注意,目前并不支持程序内置的,上传并验证电子邮件的操作。
- -要配置GnuPG使用 -keys.openpgp.org作为密钥服务器 -在gpg.conf文件里添加如下行:
-keyserver hkps://keys.openpgp.org- - -
gpg --auto-key-locate keyserver --locate-keys user@example.net-
gpg --refresh-keys-
密钥可以通过GnuPG的--send-keys命令上传, -但是通过此方法不能证明身份信息。 -即,你不能让此密钥通过电子邮件地址被搜索到(那是什么?)。
- -gpg --export your_address@example.net | curl -T - {{ base_uri }}-
gpg --export your_address@example.net > my_key.pub-
hkp-cacert ~/.gnupg/sks-keyservers.netCA.pem-
这些配置已经没有必要了, -反而会让某些证书无法运行。 -推荐直接在配置文件中删除这一行。
-gpg: key A2604867523C7ED8: no user ID- 这是GnuPG的已知问题。 -我们正与 GnuPG 团队合作来解决这个问题。 -
对于需要额外安全性的用户, -keys.openpgp.org也可以通过 -洋葱服务匿名访问。 -如果你安装了洋葱浏览器, -则使用如下配置:
-keyserver hkp://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion- - -
我们提供API以方便在 OpenPGP 应用程序中开发集成支持。 -查阅我们的API 文档。
- -缺少您最喜欢的实施指南? 该网站正在开发中, -我们正在寻求改进。 -如果你想帮助我们,请发送邮件到support@keys.openpgp.org
- -