Il modo migliore per distribuire la tua chiave è utilizzare uno dei server delle chiavi disponibili, come keyserver.ubuntu.com, pgp.mit.edu o keyserver.pgp.com.

Se usi Seahorse (gestore di chiavi predefinito in Ubuntu), sincronizza automaticamente le tue chiavi su uno di questi server. Gli utenti possono quindi cercare la tua chiave utilizzando il tuo indirizzo email o keyid.

Se desideri pubblicare la tua chiave pubblica su LinkedIn o sul tuo blog, puoi caricare la chiave sul tuo server o semplicemente collegarti alla pagina per la tua chiave su uno dei server delle chiavi sopra. Personalmente, lo caricherò su uno dei server delle chiavi e lo collegherei ad esso, poiché è più facile tenerlo aggiornato in un posto, invece di avere il file in un sacco di posizioni diverse. Puoi anche condividere il tuo keyid con le persone, che possono quindi ricevere la tua chiave utilizzando gpg --recv-keys .

Se vuoi pubblicare la tua chiave pubblica su Facebook, lì è un campo da inserire nella sezione Informazioni di contatto del tuo profilo. Puoi anche modificare le impostazioni di sicurezza di Facebook per utilizzare la stessa chiave pubblica per crittografare le loro email.

Ad esempio, ecco la mia chiave pubblica.

Per quanto ne so, non ci sono rischi associati alla pubblicazione della tua chiave pubblica.

Non c'è rischio di esporre la tua chiave privata o di invalidare la tua chiave pubblica, pubblicando la tua chiave pubblica nel modo descritto da te e da @Mark. Come affermato da @pboin, è progettato per essere disponibile per il mondo.

Tuttavia, c'è un altro problema a portata di mano ... Uno degli scopi principali di avere e pubblicare la tua chiave pubblica (in effetti, questo è probabilmente lo scopo PRINCIPALE), è quello di autenticarti ad altri utenti, abilitare per verificare l'autenticità di tutti i messaggi o dati che firmi e per proteggere / crittografare i dati solo per i tuoi occhi.
Ma come potrebbero quegli utenti sapere che è davvero la TUA chiave pubblica? Ad esempio, se voglio inviare un messaggio privato a @Mark Davidson, utilizzando la sua chiave pubblicata su http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE493B06DD070AFC8, come faccio a sapere che è stato il REALE Mark Davidson a pubblicare quella chiave o che mi ha indirizzato lì?
Sarebbe banale per me pubblicare la mia PROPRIA chiave pubblica, o su mit.edu, su LinkedIn, Facebook, ecc. e mi chiamo Bill Clinton (o Bill Gates). Come potresti sapere altrimenti?
Inoltre, se in qualche modo so che questa è davvero la persona giusta (ad esempio, voglio contattare un blogger anonimo, tramite il pk pubblicato sul suo blog - non lo so t importa chi sia veramente, il proprietario del sito - e quindi l'editore pk - è comunque la persona giusta) - cosa garantisce che la chiave pubblica non sia stata manomessa durante il percorso? Tutti i collegamenti e i siti menzionati finora (ok, ad eccezione del server delle chiavi PGP) sono HTTP, ovvero nessuna protezione del canale, ovvero possono essere facilmente modificati tra server e browser.

Quando si utilizza il modello X.509 / PKI, c'è sempre qualcuno fidato che garantisce per te. Per esempio. un'autorità di certificazione ben nota (attendibile perché i fornitori del browser li hanno controllati e hanno aggiunto il loro certificato radice all'archivio radici attendibili nel browser) ha verificato la tua identità e firmato la tua chiave / certificato pubblico. Pertanto, chiunque voglia verificare che tu sia chi dici di essere, può semplicemente controllare la firma, quindi controllare l'identità di chi garantisce per te (e poi ripetere fino a trovare la nota CA radice attendibile).

Tuttavia, nel modello PGP, di solito non c'è nessuna autorità centrale e fidata (sebbene le versioni attuali lo permettano). Invece, PGP si basa sul modello del web-of-trust, in cui se ti fidi di qualcuno, questi possono a loro volta garantire l'identità di qualcun altro.

Indipendentemente da ciò, mettere la tua chiave pubblica là fuori non aiuta nessuno a verificare la tua identità, né garantisce che i messaggi crittografati saranno visualizzabili solo dalla persona corretta.

Cosa PUOI fare:

• Pubblica la tua chiave pubblica, proprio come avete detto tu e @Mark, ma poi fornisci un token a chiave pubblica (fondamentalmente un hash della chiave pubblica, come un'impronta digitale) tramite un canale sicuro. Per esempio. questo ora è abbastanza breve per leggere al telefono se ti conosce personalmente ... Ho persino visto qualcuno mettere il suo gettone pk sul suo biglietto da visita, distribuire una conferenza (devo ammettere che era da un venditore).
• Inizia a firmare le tue email, quindi verifica al destinatario che si trattava della tua firma attraverso un canale fuori banda (ad esempio al telefono o di persona ( sussulto !! ))
• Complica la situazione, ottieni un certificato X.509 standard e implementa SSL (preferibilmente EV) sul tuo sito web, quindi chiunque può scaricare il tuo pk sicuro sapendo che proviene da chi lo possiede nome di dominio ... (Ok, forse funziona meglio per le grandi aziende ...)
  Guarda come lo fa Microsoft ...

Aaaa a parte questo, dipende davvero da cosa serve questo pk - se è solo per stupire tua madre, allora non preoccuparti di tutto questo :)
D'altra parte, se hai comunicazioni veramente sensibili, o con client attenti alla sicurezza, allora tutto quanto sopra è importante ...

Una soluzione generale è caricarlo su un keyserver. Un'altra buona idea potrebbe essere quella di inserire una voce in Biglumber. Questo aiuta a entrare in contatto con altre persone e magari a firmare le chiavi a vicenda.

Inoltre dovresti dare un'occhiata alla tua casella di posta e cercare i contatti che hanno già firmato le loro email. Potresti inviare loro una mail informale, che ora hai una chiave e indirizzarli a una risorsa.

Anche un post sul blog sulla tua chiave va bene. Dovresti fornire un link per scaricare la tua chiave.

Se utilizzi le firme nella tua posta, puoi puntare alla nuova chiave e, naturalmente, firmare ogni messaggio.

Ricorda che non puoi cancellare la tua chiave dopo che è stata caricata su un server delle chiavi (e distribuita tra di loro). Certo, puoi revocarlo. Inoltre si presume che gli spammer cerchino questi indirizzi e-mail e ti inviino delle "belle offerte". Quando esegui le firme delle chiavi e carichi le nuove firme, la firma rivela dove sei stato in una data specifica.

Tieni presente che qualsiasi indirizzo email sulla tua chiave verrà mostrato sulle interfacce web pubbliche. Ricevo molto spam nell'email della mia chiave, quindi non ha inserito il mio attuale indirizzo email nella chiave.

La semplice risposta alla tua domanda sulla "distribuzione" è che dovresti usare qualunque metodo funzioni convenientemente per te e per i destinatari previsti e soddisfi le tue esigenze in termini di privacy. Per esempio. un keyserver può essere convenientemente utilizzato per la distribuzione a molti destinatari, ma come osserva ubi un tipico keyserver espone l'Uid (che in genere ha il tuo indirizzo email) agli spammer per tutto il tempo.

Il molto La domanda più difficile è: come fa il destinatario a verificare di avere la chiave giusta per te, piuttosto che qualcosa di contraffatto che faciliti un attacco? Potresti voler scambiare un ' impronta della chiave con l'altra persona "fuori banda", ad es. per telefono. Oppure puoi fare affidamento sulla "rete della fiducia": una catena di firme di persone di cui ti fidi per lo scopo. Consulta queste domande per ulteriori suggerimenti:

• Il recupero della chiave GPG non dovrebbe utilizzare una connessione sicura?

• Quali rischi sono inerenti alla connessione a un server a chiave pubblica non affidabile?

Per la distribuzione, dipende davvero dal tuo pubblico. L'ottimista che c'è in me spera che le persone desiderino utilizzare la mia chiave per crittografare i messaggi e controllare le mie firme. La realtà è che gestirlo non è stato un problema. Ho fatto molto bene offrendolo sul mio blog e su richiesta.

Per quanto riguarda i rischi, è progettato per essere immediatamente disponibile al mondo. Concentrare queste preoccupazioni sulla salvaguardia della chiave privata. Metti una password intorno e proteggila con cura.

La distribuzione della chiave pubblica è ancora un problema aperto con PGP / GPG.

Caricamento su un server di chiavi pubblico

• altri possono firmare la tua chiave pubblica con un testo offensivo o un contenuto che non vuoi vedere in relazione alla tua chiave
• molti utenti dimenticano la password, o perdono la chiave di revoca e hanno cambiato il loro indirizzo di posta e non possono rimuovere il vecchio chiave più.
• è quasi impossibile rimuovere una chiave o una firma da questi server
• esistono strumenti di data mining per analizzare i dati da un server di chiavi
• si ottiene un un po 'più di spam agli indirizzi su un keyserver pubblico perché sono facili da ritagliare e molto interessanti perché supportano molti metadati: come nome, posta, amici, timestamp.
• ... ma tutti possono caricare la tua chiave pubblica a un server delle chiavi. Ciò può accadere intenzionalmente o per caso. La maggior parte degli strumenti PGP supporta il caricamento di chiavi pubbliche importate e se aspetti abbastanza a lungo qualcuno la caricherà e firmerà la chiave senza conoscerti.

Carica sul proprio sito web

• l'utente può rimuovere o modificare la chiave
• scaricare una chiave da un sito Web affidabile del destinatario può essere un altro indicatore di una chiave autentica
• molti professionisti gli utenti di PGP hanno scelto (anche) questo metodo
• posizionando la chiave accanto al contatto sul tuo sito web pubblicizza l'uso di PGP

Riunione personale

• un possibile attacco è piantare una chiave falsa. I paranoici si incontrano di persona e si scambiano le chiavi stampate su carta.

• questo potrebbe essere in un codice QR sulla tua carta (abbastanza famoso); vedi Esiste uno standard per stampare una chiave pubblica come codice a barre?

Per ulteriori letture vedi

• http://secushare.org/PGP
• http://en.wikipedia.org/wiki/Key_server_(cryptographic)
• http://cryptome.org/2013/07/mining-pgp-keyservers.htm

In Linux, puoi usare il comando:

  $ gpg --keyserver hkp: //keyserver.ubuntu.com --send-key "your key_index o email" $ gpg - -keyserver hkp: //pgp.mit.edu --send-key "your key_index o email" $ gpg --keyserver hkp: //pool.sks-keyservers.net --send-key "your key_index o email"  

E lo ha inviato a diversi server. Propanderanno la tua chiave.