CIFRADO CON GPG
Sobre servidores de claves
Las claves se empezaron a subir a servidores de claves, recogidas en el viejo Directorio mundial de PGP que todavía está en línea, aunque intacto desde 2011.
Entonces llegaron los servidores SKS (Synchronizing Key Server) que aunque están algo anticuados, aun siguen en linea. El grupo total es de ~20 servidores, pero GnuPG utiliza desde 2020 de forma predeterminada el grupo HKPS, que solo consta de cuatro servidores.
NOTA: Tenga en cuenta que el Directorio global de PGP no forma parte del grupo SKS.
La gente suele usar SKS, ya que consta de muchos servidores y por que es el "estandar" elegido en la mayoria de versiones de los programas. Sin embargo SKS tiene el problema de aceptar cualquier cosa y almacenarla para siempre y esto ha causado problemas durante mucho tiempo, pero comenzó a sufrir abusos masivos en 2018-2019. En el pasado la recomendación era usar servidores SKS pool, pero actualmente pool ha sido desactivado.
Algunos servidores de claves, como el de Ubuntu, han reemplazado SKS con un software más moderno y confiable como Hockeypuck. Sin embargo, todavía se sincronizan con el grupo SKS.
Hay un montón de implementaciones de servidor de claves OpenPGP de código abierto.
- PKS (OpenPGP Public Key Server): Basado en una tesis de Mark Horrowitz es una implementación bastante antigua, pero aún en desarrollo activo.
- SKS (Synchronizing Key Server): Probablemente el que ejecuta la mayoría de los servidores de claves en este momento.
- Hockeypuck: Adaptación muy reciente del protocolo SKS en el lenguaje Go que utiliza una base de datos PostgreSQL.
SKS y Hockeypuck utilizan un protocolo de reconciliación de conjuntos más eficiente para sincronizarse entre sí, PKS utiliza un enfoque menos eficiente. Tanto SKS como Hockeypuck se pueden configurar para que también se sincronicen con servidores clave de PKS utilizando el protocolo anterior.
Configurar PKS es una molestia. SKS es un poco mejor. Hockeypuck es un software limpio, bien documentado (aunque bastante nuevo) y un buen back-end relacional que se puede ver fácilmente.
Con el auge del uso de PGP/GPG aparecen nuevos servidores independientes que no forman parte del grupo de SKS, como keys.openpgp.org, y no parece que sincronicen demasiado bien con ellos.
El servidor de claves predeterminado para GnuPG, keys.gnupg.net ahora también es un alias del grupo SKS, y el popular pgp.mit.edu finalmente se ha actualizado a SKS y ahora es parte del grupo.
En su versión 2.1.3 GnuPG ha cambiado completamente el formato PKA mezclando CERT y PKA antiguo, pero no se preocupó por la compatibilidad con el formato anterior, por lo que es mejor no publicar en DNS, si no en servidores de claves.
keyserver.pgp.com y sks-keyservers.net responden bien a ping, pero no lo hacen a tiempo en GPG. Sin embargo keyserver.ubuntu.com es muy rápido.
NOTA: El soporte SSL en los servidores de claves solo es útil por razones de privacidad (para ocultar las claves que recupera). Muchos servidores de claves SKS aún carecen de SSL por completo, y aunque lo agregan lentamente, no es un problema de seguridad.
Para configurar un servidor predeterminado:
gpg --keyserver keyserver.ubuntu.com --search-key pepito@grillo.com
Si responde bien, podemos añadirlo al archivo de configuración:
echo keyserver hkps://keyserver.ubuntu.com >> ~/.gnupg/dirmngr.conf gpgconf --reload dirmngr
Tags: #gpg #gnupg
/blog/gpg/