PGP keysigning party
Коллеги, В ходе ENOG 12 в Ереване мы провели небольшую встречу для подписи ключей PGP, в ходе которой выяснилось, что далеко не все участники понимают, зачем это нужно, а также принципы построения сети доверия в PGP и идентификации участников встречи. Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна. The Keysigning Party HOWTO https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md -- Kind regards, Sergey Myasoedov
On 7 жовт. 2016 р., at 19:19, Sergey Myasoedov <sm@netartgroup.com> wrote:
Коллеги,
В ходе ENOG 12 в Ереване мы провели небольшую встречу для подписи ключей PGP, в ходе которой выяснилось, что далеко не все участники понимают, зачем это нужно, а также принципы построения сети доверия в PGP и идентификации участников встречи.
Хочется узнать подробности: Сколько было участников? Какой сервер был использован? Какие длины ключей были у участников?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
The Keysigning Party HOWTO https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md
Хороший документ, меня настораживает только слово "ключница" - я бы перевёл это как "связка ключей" (keyring), по-русски ключница - это скорее сервер ключей :)
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге. Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198 Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было. -- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
7 октября 2016 г., 22:22 пользователь Sergey Myasoedov <sm@netartgroup.com> написал:
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Интересно, а почему ресурс не https only ? -- Vladislav V. Prodan System & Network Administrator support.od.ua
On Sat, 8 Oct 2016, Vladislav V. Prodan wrote:
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Интересно, а почему ресурс не https only ?
Так незачем же, public keys only, а они self-contained -- Sincerely, D.Marck [DM5020, MCK-RIPE, DM3-RIPN] [ FreeBSD committer: marck@FreeBSD.org ] ------------------------------------------------------------------------ *** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@rinet.ru *** ------------------------------------------------------------------------
8 октября 2016 г., 1:36 пользователь Dmitry Morozovsky <marck@rinet.ru> написал:
On Sat, 8 Oct 2016, Vladislav V. Prodan wrote:
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Интересно, а почему ресурс не https only ?
Так незачем же, public keys only, а они self-contained
Цитата из документа - The Keysigning Party HOWTO Поддельная сеть доверия Дмитрия будет ограничена по размерам и глубине количеством ключей, созданных или контролируемых Дмитрием. Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
-- Sincerely, D.Marck [DM5020, MCK-RIPE, DM3-RIPN] [ FreeBSD committer: marck@FreeBSD.org ] ------------------------------------------------------------------------ *** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@rinet.ru *** ------------------------------------------------------------------------
-- Vladislav V. Prodan System & Network Administrator support.od.ua
… и тут на встречу приходите вы и зачитываете отпечаток ключа со своей визитки. И я, кстати, не подписываю непроверенные ключи. Но это моя личная политика. И я помню последних 4 байта отпечатка моего ключа. -- Kind regards, Sergey Myasoedov
On 08 Oct 2016, at 00:56, Vladislav V. Prodan <admin@support.od.ua> wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
8 октября 2016 г., 2:04 пользователь Sergey Myasoedov <sm@netartgroup.com> написал:
… и тут на встречу приходите вы и зачитываете отпечаток ключа со своей визитки.
Приятно познакомиться :) На настоящем сайте biglumber.com мою ключ присутствует, но с небольшим кругом общения. А на поддельном, на порядок или два больше сеть доверия моего ключа. Вы ведь не помните, сколько ключей вы подписали на подобных встречах. :)
И я, кстати, не подписываю непроверенные ключи. Но это моя личная политика. И я помню последних 4 байта отпечатка моего ключа.
Дело не в модификации вашего ключа, а в добавлении малознакомого ключа, для повышения доверия и значимости персоны :)
-- Kind regards, Sergey Myasoedov
On 08 Oct 2016, at 00:56, Vladislav V. Prodan <admin@support.od.ua> wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
-- Vladislav V. Prodan System & Network Administrator support.od.ua
On Sat, 8 Oct 2016, Vladislav V. Prodan wrote:
? и тут на встречу приходите вы и зачитываете отпечаток ключа со своей визитки.
Приятно познакомиться :) На настоящем сайте biglumber.com мою ключ присутствует, но с небольшим кругом общения. А на поддельном, на порядок или два больше сеть доверия моего ключа.
Вы ведь не помните, сколько ключей вы подписали на подобных встречах. :)
Это разумное допущение, но не универсальное ;)
И я, кстати, не подписываю непроверенные ключи. Но это моя личная политика. И я помню последних 4 байта отпечатка моего ключа.
Дело не в модификации вашего ключа, а в добавлении малознакомого ключа, для повышения доверия и значимости персоны :)
нет, ключи в keysigning party, если она правильно организована, приезжают совсем без подписей (возможно, за исключением self) -- Sincerely, D.Marck [DM5020, MCK-RIPE, DM3-RIPN] [ FreeBSD committer: marck@FreeBSD.org ] ------------------------------------------------------------------------ *** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@rinet.ru *** ------------------------------------------------------------------------
Можно дополнительно к этому публиковать ключи в своем DNS (DANE) https://tools.ietf.org/html/rfc7929 On 08/10/16 01:56, Vladislav V. Prodan wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
-- Nikolay Shopik Network Engineer +7 (495) 643-1840 x1000 Cross Tel - AS33842
В случае с PGP также полезной может быть и "старая" CERT запись, тем более что она давно поддерживается тем же GnuPG. https://tools.ietf.org/html/rfc4398 Anton Baskov <ab@antonbaskov.ru> +7 (911) 254-77-92, +7 (916) 716-89-46 10.10.16 12:47, Nikolay Shopik пишет:
Можно дополнительно к этому публиковать ключи в своем DNS (DANE)
https://tools.ietf.org/html/rfc7929
On 08/10/16 01:56, Vladislav V. Prodan wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
В новом RFC есть замечание к этому. Но конечно нужен свежий gnupg 2.1.9 или выше, чтобы использовать DANE. The OPENPGPKEY RRtype somewhat resembles the generic CERT record defined in [RFC4398]. However, the CERT record uses sub-typing with many different types of keys and certificates. It is suspected that its general application of very different protocols (PKIX versus OpenPGP) has been the cause for lack of implementation and deployment. Furthermore, the CERT record uses sub-typing, which is now considered to be a bad idea for DNS. On 18/10/16 01:24, Anton Baskov wrote:
В случае с PGP также полезной может быть и "старая" CERT запись, тем более что она давно поддерживается тем же GnuPG.
https://tools.ietf.org/html/rfc4398
Anton Baskov <ab@antonbaskov.ru> +7 (911) 254-77-92, +7 (916) 716-89-46
10.10.16 12:47, Nikolay Shopik пишет:
Можно дополнительно к этому публиковать ключи в своем DNS (DANE)
https://tools.ietf.org/html/rfc7929
On 08/10/16 01:56, Vladislav V. Prodan wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
_______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
-- Nikolay Shopik Network Engineer +7 (495) 643-1840 x1000 Cross Tel - AS33842
Делать ее как в этом году, опциональной и в параллель с чем-нибудь (типа ланча или тютюториала), и тогда ничего не проиграет. Я попробую покопать тему неправомерной передачи адресного пространства, в том числе с использованием forged e-mail. Если там достаточно информации, которая может быть озвучена публично - можно подумать над докладом про это дело в первый день, и подписанием ключей во второй в тандеме. 2016-10-07 22:22 GMT+03:00 Sergey Myasoedov <sm@netartgroup.com>:
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге.
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было.
-- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация
этой ссылки будет
полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
_______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
-- Alex Semenyaka
On 8 жовт. 2016 р., at 02:51, Alex Semenyaka <alex.semenyaka@gmail.com> wrote:
Делать ее как в этом году, опциональной и в параллель с чем-нибудь (типа ланча или тютюториала), и тогда ничего не проиграет.
Я предлагаю делать её во время Ланча, на специально выделенной PGP table. Why? 1) место четко обозначено, проходящие мимо могут увидеть, спросить, и в следующий раз прийти с ключом; 2) не нужно выбирать - еда или безопасность; 3) за обеденным столом компьютер - моветон, и нам это как раз подходит; 4) люди будут сидеть все рядом и видеть и слышать друг друга; 5) бумагу удобно передать по кругу; 6) это инновация :) Минус - много людей не поместится, но тогда можно сделать два key ring table, И за каждым будет модератор, доверяющий ключам другого (других) модераторов; При очень большом числе участников делается отдельный moderator table и они сначала подписывают Ключи друг друга (but this is very very nice problem to have :)
Я попробую покопать тему неправомерной передачи адресного пространства, в том числе с использованием forged e-mail. Если там достаточно информации, которая может быть озвучена публично - можно подумать над докладом про это дело в первый день, и подписанием ключей во второй в тандеме.
У нас обычно на второй день PC lunch, но можно и совместить (хотя я бы разнёс.) Альтернатива - coffee break party, но получаса может и не хватить.
2016-10-07 22:22 GMT+03:00 Sergey Myasoedov <sm@netartgroup.com>:
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге.
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было.
-- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
_______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
-- Alex Semenyaka _______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
Письмо было отослано с другого адреса.
On 8 жовт. 2016 р., at 18:52, Dmitry Kohmanyuk <dk@hostmaster.ua> wrote:
On 8 жовт. 2016 р., at 02:51, Alex Semenyaka <alex.semenyaka@gmail.com> wrote:
Делать ее как в этом году, опциональной и в параллель с чем-нибудь (типа ланча или тютюториала), и тогда ничего не проиграет.
Я предлагаю делать её во время Ланча, на специально выделенной PGP table. Why?
1) место четко обозначено, проходящие мимо могут увидеть, спросить, и в следующий раз прийти с ключом;
2) не нужно выбирать - еда или безопасность;
3) за обеденным столом компьютер - моветон, и нам это как раз подходит;
4) люди будут сидеть все рядом и видеть и слышать друг друга;
5) бумагу удобно передать по кругу;
6) это инновация :)
Минус - много людей не поместится, но тогда можно сделать два key ring table, И за каждым будет модератор, доверяющий ключам другого (других) модераторов;
При очень большом числе участников делается отдельный moderator table и они сначала подписывают Ключи друг друга (but this is very very nice problem to have :)
Я попробую покопать тему неправомерной передачи адресного пространства, в том числе с использованием forged e-mail. Если там достаточно информации, которая может быть озвучена публично - можно подумать над докладом про это дело в первый день, и подписанием ключей во второй в тандеме.
У нас обычно на второй день PC lunch, но можно и совместить (хотя я бы разнёс.) Альтернатива - coffee break party, но получаса может и не хватить.
2016-10-07 22:22 GMT+03:00 Sergey Myasoedov <sm@netartgroup.com>:
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге.
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было.
-- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
_______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
-- Alex Semenyaka _______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
Идея отличная, только ключей не видно ;) Андрей Sergey Myasoedov wrote on 07/10/16 18:19:
Коллеги,
В ходе ENOG 12 в Ереване мы провели небольшую встречу для подписи ключей PGP, в ходе которой выяснилось, что далеко не все участники понимают, зачем это нужно, а также принципы построения сети доверия в PGP и идентификации участников встречи.
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
The Keysigning Party HOWTO https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md
-- Kind regards, Sergey Myasoedov
_______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
participants (10)
-
Alex Semenyaka -
Alexander Nechitaylo -
Andrei Robachevsky -
Anton Baskov -
Dmitry Kohmanyuk -
Dmitry Kohmanyuk -
Dmitry Morozovsky -
Nikolay Shopik -
Sergey Myasoedov -
Vladislav V. Prodan