PGP keysigning party
Коллеги,
В ходе ENOG 12 в Ереване мы провели небольшую встречу для подписи ключей PGP, в ходе которой выяснилось, что далеко не все участники понимают, зачем это нужно, а также принципы построения сети доверия в PGP и идентификации участников встречи.
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
The Keysigning Party HOWTO https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md
-- Kind regards, Sergey Myasoedov
On 7 жовт. 2016 р., at 19:19, Sergey Myasoedov sm@netartgroup.com wrote:
Коллеги,
В ходе ENOG 12 в Ереване мы провели небольшую встречу для подписи ключей PGP, в ходе которой выяснилось, что далеко не все участники понимают, зачем это нужно, а также принципы построения сети доверия в PGP и идентификации участников встречи.
Хочется узнать подробности: Сколько было участников? Какой сервер был использован? Какие длины ключей были у участников?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
The Keysigning Party HOWTO https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md
Хороший документ, меня настораживает только слово "ключница" - я бы перевёл это как "связка ключей" (keyring), по-русски ключница - это скорее сервер ключей :)
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге.
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было.
-- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
7 октября 2016 г., 22:22 пользователь Sergey Myasoedov sm@netartgroup.com написал:
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Интересно, а почему ресурс не https only ?
On Sat, 8 Oct 2016, Vladislav V. Prodan wrote:
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Интересно, а почему ресурс не https only ?
Так незачем же, public keys only, а они self-contained
8 октября 2016 г., 1:36 пользователь Dmitry Morozovsky marck@rinet.ru написал:
On Sat, 8 Oct 2016, Vladislav V. Prodan wrote:
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Интересно, а почему ресурс не https only ?
Так незачем же, public keys only, а они self-contained
Цитата из документа - The Keysigning Party HOWTO Поддельная сеть доверия Дмитрия будет ограничена по размерам и глубине количеством ключей, созданных или контролируемых Дмитрием.
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
-- Sincerely, D.Marck [DM5020, MCK-RIPE, DM3-RIPN] [ FreeBSD committer: marck@FreeBSD.org ]
*** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@rinet.ru ***
… и тут на встречу приходите вы и зачитываете отпечаток ключа со своей визитки.
И я, кстати, не подписываю непроверенные ключи. Но это моя личная политика. И я помню последних 4 байта отпечатка моего ключа.
-- Kind regards, Sergey Myasoedov
On 08 Oct 2016, at 00:56, Vladislav V. Prodan admin@support.od.ua wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
8 октября 2016 г., 2:04 пользователь Sergey Myasoedov sm@netartgroup.com написал:
… и тут на встречу приходите вы и зачитываете отпечаток ключа со своей визитки.
Приятно познакомиться :) На настоящем сайте biglumber.com мою ключ присутствует, но с небольшим кругом общения. А на поддельном, на порядок или два больше сеть доверия моего ключа.
Вы ведь не помните, сколько ключей вы подписали на подобных встречах. :)
И я, кстати, не подписываю непроверенные ключи. Но это моя личная политика. И я помню последних 4 байта отпечатка моего ключа.
Дело не в модификации вашего ключа, а в добавлении малознакомого ключа, для повышения доверия и значимости персоны :)
-- Kind regards, Sergey Myasoedov
On 08 Oct 2016, at 00:56, Vladislav V. Prodan admin@support.od.ua
wrote:
Некая недружественная страна делает подмену ДНС сайта
http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
On Sat, 8 Oct 2016, Vladislav V. Prodan wrote:
? и тут на встречу приходите вы и зачитываете отпечаток ключа со своей визитки.
Приятно познакомиться :) На настоящем сайте biglumber.com мою ключ присутствует, но с небольшим кругом общения. А на поддельном, на порядок или два больше сеть доверия моего ключа.
Вы ведь не помните, сколько ключей вы подписали на подобных встречах. :)
Это разумное допущение, но не универсальное ;)
И я, кстати, не подписываю непроверенные ключи. Но это моя личная политика. И я помню последних 4 байта отпечатка моего ключа.
Дело не в модификации вашего ключа, а в добавлении малознакомого ключа, для повышения доверия и значимости персоны :)
нет, ключи в keysigning party, если она правильно организована, приезжают совсем без подписей (возможно, за исключением self)
Делать ее как в этом году, опциональной и в параллель с чем-нибудь (типа ланча или тютюториала), и тогда ничего не проиграет.
Я попробую покопать тему неправомерной передачи адресного пространства, в том числе с использованием forged e-mail. Если там достаточно информации, которая может быть озвучена публично - можно подумать над докладом про это дело в первый день, и подписанием ключей во второй в тандеме.
2016-10-07 22:22 GMT+03:00 Sergey Myasoedov sm@netartgroup.com:
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге.
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было.
-- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация
этой ссылки будет
полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих
ENOG.
discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
On 8 жовт. 2016 р., at 02:51, Alex Semenyaka alex.semenyaka@gmail.com wrote:
Делать ее как в этом году, опциональной и в параллель с чем-нибудь (типа ланча или тютюториала), и тогда ничего не проиграет.
Я предлагаю делать её во время Ланча, на специально выделенной PGP table. Why?
1) место четко обозначено, проходящие мимо могут увидеть, спросить, и в следующий раз прийти с ключом;
2) не нужно выбирать - еда или безопасность;
3) за обеденным столом компьютер - моветон, и нам это как раз подходит;
4) люди будут сидеть все рядом и видеть и слышать друг друга;
5) бумагу удобно передать по кругу;
6) это инновация :)
Минус - много людей не поместится, но тогда можно сделать два key ring table, И за каждым будет модератор, доверяющий ключам другого (других) модераторов;
При очень большом числе участников делается отдельный moderator table и они сначала подписывают Ключи друг друга (but this is very very nice problem to have :)
Я попробую покопать тему неправомерной передачи адресного пространства, в том числе с использованием forged e-mail. Если там достаточно информации, которая может быть озвучена публично - можно подумать над докладом про это дело в первый день, и подписанием ключей во второй в тандеме.
У нас обычно на второй день PC lunch, но можно и совместить (хотя я бы разнёс.) Альтернатива - coffee break party, но получаса может и не хватить.
2016-10-07 22:22 GMT+03:00 Sergey Myasoedov sm@netartgroup.com:
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге.
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было.
-- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
-- Alex Semenyaka _______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
Можно дополнительно к этому публиковать ключи в своем DNS (DANE)
https://tools.ietf.org/html/rfc7929
On 08/10/16 01:56, Vladislav V. Prodan wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
Письмо было отослано с другого адреса.
On 8 жовт. 2016 р., at 18:52, Dmitry Kohmanyuk dk@hostmaster.ua wrote:
On 8 жовт. 2016 р., at 02:51, Alex Semenyaka alex.semenyaka@gmail.com wrote:
Делать ее как в этом году, опциональной и в параллель с чем-нибудь (типа ланча или тютюториала), и тогда ничего не проиграет.
Я предлагаю делать её во время Ланча, на специально выделенной PGP table. Why?
место четко обозначено, проходящие мимо могут увидеть, спросить, и в следующий раз прийти с ключом;
не нужно выбирать - еда или безопасность;
за обеденным столом компьютер - моветон, и нам это как раз подходит;
люди будут сидеть все рядом и видеть и слышать друг друга;
бумагу удобно передать по кругу;
это инновация :)
Минус - много людей не поместится, но тогда можно сделать два key ring table, И за каждым будет модератор, доверяющий ключам другого (других) модераторов;
При очень большом числе участников делается отдельный moderator table и они сначала подписывают Ключи друг друга (but this is very very nice problem to have :)
Я попробую покопать тему неправомерной передачи адресного пространства, в том числе с использованием forged e-mail. Если там достаточно информации, которая может быть озвучена публично - можно подумать над докладом про это дело в первый день, и подписанием ключей во второй в тандеме.
У нас обычно на второй день PC lunch, но можно и совместить (хотя я бы разнёс.) Альтернатива - coffee break party, но получаса может и не хватить.
2016-10-07 22:22 GMT+03:00 Sergey Myasoedov sm@netartgroup.com:
Учитывая, что пришло 6 человек, из них трое из программного комитета, особого интереса тема не вызовет и при планировании конференции просто проиграет по баллам в рейтинге.
Касательно письма Дмитрия - почти все ответы можно получить по ссылке http://biglumber.com/x/web?keyring=6198
Участников было шестеро, как я написал, и один из участников предъявил свой fingerprint без аплоада своего ключа на сервер. Одного из зарегистрировавшихся на подписании ключей не было.
-- Kind regards, Sergey Myasoedov
а почему бы не сделать это отдельной темой доклада в спб?
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
Определённо полезно, и будет здорово повторять эти встречи на следующих ENOG.
discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
-- Alex Semenyaka _______________________________________________ discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
Идея отличная, только ключей не видно ;)
Андрей
Sergey Myasoedov wrote on 07/10/16 18:19:
Коллеги,
В ходе ENOG 12 в Ереване мы провели небольшую встречу для подписи ключей PGP, в ходе которой выяснилось, что далеко не все участники понимают, зачем это нужно, а также принципы построения сети доверия в PGP и идентификации участников встречи.
Я нашел неплохой документ, в котором это описано. Думаю, публикация этой ссылки будет полезна.
The Keysigning Party HOWTO https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md
-- Kind regards, Sergey Myasoedov
discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
В случае с PGP также полезной может быть и "старая" CERT запись, тем более что она давно поддерживается тем же GnuPG.
https://tools.ietf.org/html/rfc4398
Anton Baskov ab@antonbaskov.ru +7 (911) 254-77-92, +7 (916) 716-89-46
10.10.16 12:47, Nikolay Shopik пишет:
Можно дополнительно к этому публиковать ключи в своем DNS (DANE)
https://tools.ietf.org/html/rfc7929
On 08/10/16 01:56, Vladislav V. Prodan wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
В новом RFC есть замечание к этому. Но конечно нужен свежий gnupg 2.1.9 или выше, чтобы использовать DANE.
The OPENPGPKEY RRtype somewhat resembles the generic CERT record defined in [RFC4398]. However, the CERT record uses sub-typing with many different types of keys and certificates. It is suspected that its general application of very different protocols (PKIX versus OpenPGP) has been the cause for lack of implementation and deployment. Furthermore, the CERT record uses sub-typing, which is now considered to be a bad idea for DNS.
On 18/10/16 01:24, Anton Baskov wrote:
В случае с PGP также полезной может быть и "старая" CERT запись, тем более что она давно поддерживается тем же GnuPG.
https://tools.ietf.org/html/rfc4398
Anton Baskov ab@antonbaskov.ru +7 (911) 254-77-92, +7 (916) 716-89-46
10.10.16 12:47, Nikolay Shopik пишет:
Можно дополнительно к этому публиковать ключи в своем DNS (DANE)
https://tools.ietf.org/html/rfc7929
On 08/10/16 01:56, Vladislav V. Prodan wrote:
Некая недружественная страна делает подмену ДНС сайта http://biglumber.com/ и выдает свою версию сайта со своими внедренными отпечатками некоторых ключей. Для повышения доверия к некоторым ключам :)
discuss mailing list discuss@enog.org https://www.enog.org/mailman/listinfo/discuss
participants (10)
-
Alex Semenyaka
-
Alexander Nechitaylo
-
Andrei Robachevsky
-
Anton Baskov
-
Dmitry Kohmanyuk
-
Dmitry Kohmanyuk
-
Dmitry Morozovsky
-
Nikolay Shopik
-
Sergey Myasoedov
-
Vladislav V. Prodan