La meilleure façon de distribuer votre clé est d'utiliser l'un des serveurs de clés disponibles, comme keyserver.ubuntu.com, pgp.mit.edu ou keyserver.pgp.com.

Si vous utilisez Seahorse (gestionnaire de clés par défaut sous Ubuntu), il synchronise automatiquement vos clés avec l'un de ces serveurs. Les utilisateurs peuvent ensuite rechercher votre clé à l'aide de votre adresse e-mail ou de votre identifiant de clé.

Si vous souhaitez publier votre clé publique sur LinkedIn ou votre blog, vous pouvez soit télécharger la clé sur votre serveur, soit simplement créer un lien vers la page de votre clé sur l'un des serveurs de clés ci-dessus. Personnellement, je le téléchargerais sur l'un des serveurs de clés et créerais un lien vers celui-ci, car il est plus facile de le maintenir à jour en un seul endroit, au lieu d'avoir le fichier dans des tas d'endroits différents. Vous pouvez également partager votre keyid avec des personnes, et elles peuvent ensuite recevoir votre clé en utilisant gpg --recv-keys .

Si vous souhaitez publier votre clé publique sur Facebook, là est un champ pour le placer dans la section Coordonnées de votre profil. Vous pouvez également modifier vos paramètres de sécurité Facebook pour utiliser cette même clé publique pour crypter leurs e-mails.

Par exemple, voici ma clé publique.

À ma connaissance, il n'y a aucun risque associé à la publication de votre clé publique.

Il n'y a aucun risque d'exposer votre clé privée ou d'invalider votre clé publique, en publiant votre clé publique de la manière que vous et @Mark avez décrite. Comme l'a déclaré @pboin, il est conçu pour être disponible dans le monde entier.

Cependant, il y a un autre problème à portée de main ... L'un des principaux objectifs d'avoir et de publier votre clé publique (en effet, c'est probablement LE PRINCIPAL objectif), est de vous authentifier auprès d'autres utilisateurs, activer pour vérifier l'authenticité de tous les messages ou données que vous signez, et protéger / crypter les données pour vos yeux uniquement.
Mais comment ces utilisateurs sauraient-ils qu'il s'agit vraiment de VOTRE clé publique? Par exemple, si je veux envoyer un message privé à @Mark Davidson, en utilisant sa clé publiée à http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE493B06DD070AFC8, comment savoir que c'est le VRAI Mark Davidson qui a publié cette clé ou qui m'a pointé là-bas?
Il serait trivial pour moi de publier ma PROPRE clé publique, soit sur mit.edu, sur LinkedIn, Facebook, etc., et m'appeler simplement Bill Clinton (ou Bill Gates). Comment pourriez-vous savoir le contraire?
De plus, si en quelque sorte je sais que c'est vraiment la bonne personne (par exemple, je veux contacter un blogueur anonyme, via le pk publié sur son blog - je ne le fais pas) t se soucier de qui il est vraiment, le propriétaire du site - et donc l'éditeur pk - est la bonne personne de toute façon) - qu'est-ce qui garantit que la clé publique n'a pas été falsifiée en cours de route? Tous les liens et sites mentionnés jusqu'à présent (ok, à l'exception du serveur de clés PGP) sont HTTP - c'est-à-dire pas de protection de canal, c'est-à-dire qu'ils peuvent facilement être modifiés entre le serveur et le navigateur.

Lorsque vous utilisez le modèle X.509 / PKI, il y a toujours quelqu'un de confiance qui se porte garant de vous. Par exemple. une autorité de certification bien connue (approuvée car les fournisseurs de navigateurs les ont examinés et ont ajouté leur certificat racine au Trusted Roots Store dans le navigateur) a vérifié votre identité et signé votre clé publique / certificat. Ainsi, toute personne qui souhaite vérifier que vous êtes bien qui vous prétendez être peut simplement vérifier la signature, puis vérifier l'identité de celui qui se porte garant de vous (puis recommencer jusqu'à trouver la célèbre autorité de certification racine de confiance).

Cependant, dans le modèle PGP, il n'y a généralement aucune autorité centrale de confiance (bien que les versions actuelles le permettent). Au lieu de cela, PGP est basé sur le modèle du Web de confiance, dans lequel si vous faites confiance à quelqu'un, il peut à son tour se porter garant de l'identité de quelqu'un d'autre.

Quoi qu'il en soit, le simple fait de mettre votre clé publique là-bas n'aide personne à vérifier votre identité et ne garantit pas que les messages chiffrés seront visibles uniquement par la bonne personne.

Ce que vous POUVEZ faire:

• Publiez votre clé publique, comme vous et @Mark l'avez dit - mais fournissez ensuite un jeton de clé publique (essentiellement un hachage de la clé publique, comme une empreinte digitale) via un canal sécurisé. Par exemple. c'est maintenant assez court pour être lu par téléphone s'il vous connaît personnellement ... J'ai même vu quelqu'un mettre son jeton pk sur sa carte de visite, distribuer une conférence (certes, c'était d'un fournisseur).
• Commencez à signer vos e-mails, puis vérifiez auprès du destinataire qu'il s'agissait de votre signature via un canal hors bande (par exemple, par téléphone ou en personne ( gasp !! ))
• Compliquez la situation, obtenez un certificat X.509 standard et implémentez SSL (de préférence EV) sur votre site Web, alors n'importe qui peut télécharger votre pk en toute sécurité en sachant qu'il provient de celui qui le possède nom de domaine ... (OK, peut-être que cela fonctionne mieux pour les grandes entreprises ...)
  Découvrez comment Microsoft le fait...

Aaaaall cela mis à part, cela dépend vraiment de ce à quoi sert ce pk - si c'est juste pour impressionner votre mère, alors ne vous embêtez pas avec tout ça :)
D'un autre côté, si vous avez des communications vraiment sensibles, ou avec des clients soucieux de la sécurité, alors tout ce qui précède est important ...

Une solution générale consiste à le télécharger sur un serveur de clés. Une autre bonne idée pourrait être de faire une entrée sur Biglumber. Cela aide à entrer en contact avec d'autres personnes et peut-être à signer les clés entre eux.

De plus, vous devriez jeter un œil dans votre boîte de réception et rechercher des contacts qui signent déjà leurs e-mails. Vous pouvez leur envoyer un mail informel, que vous avez maintenant une clé et les pointer vers une ressource.

Une entrée de blog sur votre clé est également très bien. Vous devez fournir un lien pour télécharger votre clé.

Si vous utilisez des signatures dans votre courrier, vous pouvez pointer vers votre nouvelle clé et bien sûr signer chaque courrier.

Rappelez que vous ne pouvez pas supprimer votre clé une fois qu'elle a été téléchargée sur un serveur de clés (et distribuée parmi eux). Bien sûr, vous pouvez le révoquer. De plus, il est supposé que les spammeurs recherchent ces adresses e-mail et vous envoient des "offres intéressantes". Lorsque vous effectuez des signatures de clés et téléchargez les nouvelles signatures, la signature révèle où vous étiez à une date précise.

Sachez que toute adresse e-mail de votre clé sera affichée sur les interfaces Web publiques. Je reçois beaucoup de spam sur l'e-mail sur ma clé, donc cela n'a pas mis mon adresse e-mail actuelle sur la clé.

La réponse simple à votre question sur la "distribution" est que vous devez utiliser la méthode qui fonctionne le mieux pour vous et vos destinataires, et qui répond à vos besoins en termes de confidentialité. Par exemple. un serveur de clés peut facilement être utilisé pour la distribution à de nombreux destinataires, mais comme le note ubi, un serveur de clés typique expose l'uid (qui a généralement votre adresse e-mail) aux spammeurs pour toujours.

Le beaucoup Une question plus difficile est de savoir comment votre destinataire vérifie qu'il a la bonne clé pour vous, plutôt que quelque chose de falsifié qui facilite une attaque? Vous souhaiterez peut-être échanger une empreinte digitale de la clé avec l'autre personne "hors bande", par ex. par téléphone. Ou vous pouvez vous fier à la «toile de confiance»: une chaîne de signatures de personnes en qui vous avez confiance à cet effet. Consultez ces questions pour plus de conseils:

• La récupération de clé GPG ne devrait-elle pas utiliser une connexion sécurisée?

• Quels sont les risques inhérents à la connexion à un serveur de clé publique non approuvé?

Pour la distribution, cela dépend vraiment de votre public. L'optimiste en moi espère que les gens seront impatients d'utiliser ma clé pour crypter les messages et vérifier mes signatures. La réalité est que sa gestion n'a pas posé de problème. J'ai très bien réussi en l'offrant sur mon blog et sur demande.

Quant aux risques, il est conçu pour être facilement accessible au monde entier. Concentrez ces préoccupations sur la sauvegarde de la clé privée. Mettez un mot de passe autour et gardez-le soigneusement.

La distribution de la clé publique est toujours un problème ouvert avec PGP / GPG.

Télécharger vers un serveur de clés public

• d'autres peuvent signez votre clé publique avec un texte ou un contenu insultant que vous ne voulez pas voir en relation avec votre clé
• de nombreux utilisateurs oublient le mot de passe, ou perdent la clé de révocation et ont changé leur adresse e-mail et ne peuvent pas supprimer l'ancienne clé plus.
• il est presque impossible de supprimer une clé ou une signature de ces serveurs
• il existe des outils d'exploration de données pour analyser les données d'un serveur de clés
• on obtient un peu plus de spam aux adresses sur un serveur de clés public car ils sont faciles à recadrer et très intéressants car ils supportent beaucoup de métadonnées: comme le nom, le courrier, les amis, l'horodatage.
• ... mais tout le monde peut uploader votre clé publique vers un serveur de clés. Cela peut arriver intentionnellement ou par accident. La plupart des outils PGP prennent en charge le téléchargement de clés publiques importées et si vous attendez suffisamment longtemps, quelqu'un la téléchargera et signera la clé sans vous connaître.

Télécharger sur son propre site Web

• l'utilisateur peut supprimer ou modifier la clé
• télécharger une clé à partir d'un site Web de confiance du destinataire peut être un autre indicateur d'une clé authentique
• de nombreux professionnels les utilisateurs de PGP ont (également) choisi cette méthode
• placer la clé à côté du contact sur votre site Web annonce l'utilisation de PGP

Réunion personnelle

• une attaque possible est de planter une fausse clé. Les paranoïaques se rencontrent en personne et échangent des clés imprimées sur papier.

• cela pourrait être dans un code QR sur votre carte (assez célèbre); voir Existe-t-il une norme pour imprimer une clé publique sous forme de code-barres?

Pour plus d'informations, voir

• http://secushare.org/PGP
• http://en.wikipedia.org/wiki/Key_server_(cryptographic)
• http://cryptome.org/2013/07/mining-pgp-keyservers.htm

Sous Linux, vous pouvez utiliser la commande:

  $ gpg --keyserver hkp: //keyserver.ubuntu.com --send-key "votre clé_index ou email" $ gpg - -keyserver hkp: //pgp.mit.edu --send-key "votre clé_index ou email" $ gpg --keyserver hkp: //pool.sks-keyservers.net --send-key "votre clé_index ou email"  

Et l'a envoyé à différents serveurs. Ils propageront votre clé.