品蔥用戶GPG金鑰交換提議

先前在品蔥有看到過GPG教程,有沒有蔥友想來建立品蔥的信任網(web of trust)呢?

一般建立信任網的方法是key signing party,需要人們面對面確認證件與金鑰上的姓名相符後以紙本交換指紋碼,回家後再彼此互簽對方的金鑰。

(這個「信任」不是指我相信對方的人品或他的任何承諾,單純是確認「金鑰是對方本人持有」)

在品蔥這樣的匿名網站要約出來面對面確認金鑰是不可能的,但我們可以做到將「某個時間點的某個品蔥帳戶」和「特定的金鑰」連結起來。

如此可以做到:我和某甲於某日確認過金鑰,我知道他同時擁有這組金鑰和這個品蔥帳戶。如果我懷疑他的帳號被盜用,可以請他以當時的金鑰簽個名,我就可以確認他是當天那個某甲。品蔥如果哪天又爆破了,在新新品蔥上只要請他再簽個名就知道是他本人。我也可以加密私訊給某甲,不用擔心品蔥被入侵偷聽。

這樣可以確保自己的品蔥網上身份得以被確認和延續。適合希望長久經營的帳戶,例如品蔥前排的蔥友們。

原來PGP設計的web of trust用法應該可以間接信任(甲→乙信任、乙→丙信任,甲→丙自動信任),但因為品蔥匿名的緣故,這個間接信任關係不大可靠,甲丙需要時可以再一對一加強確認。

具體作法應該只要貼出自己的公鑰,並且再貼一段有簽名的文字即可。可另外上傳自己的公鑰至其他網站,如keyserver、自己的blog等。這樣就可以把自己的品蔥帳戶和一組金鑰連結起來。

能在品蔥貼文,表示擁有品蔥帳戶。看到其他人貼的公鑰和簽名,在自己的電腦上import並確認無誤後,簽署該金鑰即可。如此表示你確認該帳戶和金鑰在當下是連結在一起的。簽署後可以分享簽章至keyserver,讓大家知道你有確認過某人的金鑰。

提出來和蔥友們討論,有人想來個網上key signing party嗎?如果我有哪裡想錯也歡迎糾正。感謝!

另附上二翔子gpg教程,我當初是看他的文章學gpg的:https://2xiangzi.blogspot.com/

我的公鑰如下:
 

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=4lxr
-----END PGP PUBLIC KEY BLOCK-----


簽名如下:


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

jcemao 2020/2/5:蔥友們新年快樂。祝武漢蔥友們平安。
-----BEGIN PGP SIGNATURE-----

iQG7BAEBCgAlHhxqY2VtYW8gPGpjZW1hb0BwaW5jb25nLnJvY2tzPgUCXjo14QAK
CRCHa1ZHG7sz3uMyDACX0n7KuNKhOikAfWHjMTUdQfUzoKHpd2Sz5Cn110wPFx+H
NFPIv5f3bhKraZ8ajqVoG3mv+T6VXDoX80YqQWD/ve0Fyd+zFQY0TcK7mt1tIvx0
eaHIJIJcy5YU4gVwVD0F3Xc7b3f2vScv3ubu7/tpJ8KeBh3ucAXOqLjd++n+x+vJ
4C+RyfENa/7KxlsdlqticOE3/s5pdHHA1J0SYtfln/WhJ3L10gjZ5UVlq3cTx14X
hQmk1258w77NMPy+4EBIpB5faVRFQQY26A2GcFe3OILcPdl9Oknin0uqkmfdY1SA
tfqrP1Fg6YogTTSD37Dx5sqxUXzDRupY0lKdoqNmkqK3eFTDcqNxeNuJC4B47hB3
YpN7E9vu++8xpmyMUBpWGVXPpxMpUp008Hqo5Qf5PeI4wK1qtcVqVXP5T/G34Mq3
Lr91jVxGliBthlPQxLhqzfCVkNvPna20m47+aPcsDe4lmHtZ0kBu2/CRY/qgAug5
RMRqcfxS0esPO8P8+cU=
=CniM
-----END PGP SIGNATURE-----

2
分享 2020-02-06

3 个评论

admin 公共账号
如果真的想这么做的话,建议自己生成一对密钥就好了,不要用什么常用的邮箱来搞 gpg。

其实号没了应该就没了,重新申请一个就好了。

按照这个网站的注册方式,号丢了就是密码丢了。如果是自己弄没的,那我觉得一个连自己账号密码都管理不好的人大概率是玩不明白 gpg 的(甚至有可能把自己的私钥也丢了)。

如果是一个能管好自己密码的人,号丢了大概率是因为网站写得不好(假设 tls 没有什么 heartbleed 之类的 bug)。而如果网站本身不安全的话,数据都丢了,数字签名是可以当法庭证据的(这时候如果你的签名关联了一些不太匿名的常用的邮箱,人家如果正在愁你的清单上面拉的材料少,就可以想办法证明这个就是你发的)。

所以数字签名(non-repudiation)一直都是不怎么符合关于“隐私”的定义的。这也是为什么人们会去想搞 otr (https://otr.cypherpunks.ca/otr-wpes.pdf)。写到这我发现我跑题了。。。。
如果真的想这么做的话,建议自己生成一对密钥就好了,不要用什么常用的邮箱来搞 gpg。其实号没了应该就...


不要把品蔥身份和日常生活的任一身份連結,一個身份應該使用一組密鑰,所以不可以和日常的郵箱綁在一起。我貼的公鑰裡面也是這樣的,就只有jcemao@pincong.rocks和jcemao@2049bbs兩個身份。

要发言请先登录注册

要发言请先登录注册

发起人

OpenPGP: A508 692D 7A95 8FE2 7AAA 8FC3 876B 5647 1BBB 33DE

状态

  • 最新活动: 2020-02-05
  • 浏览: 1552