使用 DANE 将 OpenPGP 公钥与电子邮件地址关联起来变得越来越流行。GnuPG 中实现并使用了不同的方法,如 pka 和 cert。IETF 刚刚发布了一份新草案,提议采用一种新的OPENPGPKEY DNS 资源记录。
公钥查询引发了隐私问题,因为它们可能会泄露某人正在与谁通信的信息。Torify GnuPG 是解决这些问题的一种方法。有三种广泛使用的方法:
使用
torsocks:torsocks gpg --search [email protected]使用GnuPG
http-proxy中的选项:keyserver-optionsgpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050使用上述其中一种以及可用作 Tor 隐藏服务的密钥服务器。
由于 GnuPG 缺乏对 socks 代理的原生支持,DNS 泄漏是一个主要问题。当 DNS 泄漏还包含您正在与之通信的人的电子邮件地址时,情况会变得更加严重。上述任何一种方法都不允许在防止 DNS 泄漏的同时从 DNS 获取密钥:
使用
torsocks不会泄露 DNS 中的信息,但因此会阻止 DNS 密钥获取。使用GnuPG
http-proxy中的选项keyserver-options会在 DNS 中泄露电子邮件地址。由于不使用密钥服务器,因此它是否是 tor 隐藏服务并不重要。
也tor-resolve仅支持 DNS A 记录,因此不能用于检索以TXT(pka)、TYPE37(cert) 或OPENPGPKEY(IETF draf) 记录形式存储在 DNS 中的 OpenPGP 密钥信息。
有没有什么办法可以解决 GnuPG 问题,避免 DNS 泄漏问题,也不阻止 DANE 支持?