Sergey Matveev <stargrave@stargrave.org> wrote: > *** Dmitry Alexandrov [2020-06-14 14:48]: >>Да вот чтобы далеко не ходить — возьмем хотя бы вас. Откуда я могу ваш ключ получить без проблем, как не с кейсервера? Из WKD? А вот шиш: WKD, как вы совершенно справедливо пишете, опирается X.509, а ваша директория подписана самопальным сертификатом: > > Keyserver -- ничем не защищённый источник А от кого бы вы хотели защититься? > WKD с недоверенным trust anchor-ом (как в вашем случае) Пардон? > точно такой же недоверенный источник. Но так или иначе — нет, определенно не точно такой же. Как вы понимаете, есть всего два потенциально реальных злоумышленника — ваш почтовый (жабберный, виртуальной машины и т. д.) провайдер и провайдер вашего корреспондента. Так вот, WKD в большинстве случаев находится в руках одного из них. То есть его можно и нужно сравнить скорее с отправкой ключа по тому же каналу, который и собрались шифровать. Прибавляет удобства, но не доверия. Тогда как кейсервер (даже проприетарный), как правило, находится в каких-то других руках. > И в том и в другом случае вы наверняка будете использовать WoT... ...для которой на практике нужен публичный кейсервер в том или ином виде. > Плюс из DANE можно достать ещё попробовать, который возможно "защищён" DNSSEC-ом... ...от подделки, но не от прослушивания. Ну а по существу — та же самая незадача, что и с WKD. И да, вы не могли бы назвать хотя бы один домен, что его использует? ;-) > Всё это методы получения ключа, не более. Точно так. Тогда как кейсервера по меньшей мере задумывались как нечто большее. > Keyserver не вариант Не вариант чего? Обнародовать ключ на распределенной, а значит неподконтрольной никому конкретному платформе — _единственный_ реально возможный вариант. Альтернативой мог быть быть, например, блокчэйн, но никак не централизованная WKD. > я не контролирую что там за ключ Наличие ключа — контролируете во много большей степени, чем с WKD на общественном домене, и пожалуй даже в большей степени, чем с WKD на вашем личном домене. А отсутствие — да, не контролируете. И никто не контролирует. В этом-то и вся фишка. > Не говоря про загрузку ключей с такими же UID-ами как и у меня Почему же «не говоря»? Говоря про WKD и DNS вы необходимость удостовериться в подлинности ключа упомянули, а здесь — не станете? ;-) > конечному пользователю, пытающемуся получить мой ключ, это только геморрой. А DANE, WKD -- это то, что под моим контролем. Мне кажется, выше удалось наглядно показать, что «геморройно» (а для «конечного пользователя» и просто невозможно) получить ваш ключ как раз из подконтрольной вам WKD. Тогда как с кейсервера — легко и непринужденно.
Attachment:
signature.asc
Description: PGP signature