Ключи GPG для списков рассылки

287
mcantsin

Есть два списка рассылки (например, list1@foo.bar и list2@foo.bar ), для которых я хотел бы сгенерировать ключи GPG и отправить соответствующие закрытые ключи членам списков, так что письма в списки могут быть отправлено в зашифрованном виде без необходимости знать пабы членов этих списков. - До сих пор.

Кроме того, существует псевдоним, по которому письма пересылаются в оба списка рассылки (например, письма по адресу обоих@foo.bar пересылаются по адресам list1@foo.bar и list2@foo.bar ).

 |  V Alias: both@foo.bar /\ / \ / \ / \ / \ / \ / \ V V Lists: list1@foo.bar list2@foo.bar

Как я могу включить этот второй адрес / идентификатор, чтобы оба списка могли расшифровывать письма, отправляемые на both@foo.bar, без необходимости создания третьей пары ключей для both@foo.bar ?

Проблема заключается в том, что, когда я добавляю и @foo.bar в качестве второго идентификатора в list1@foo.bar, и в list2@foo.bar, почтовый клиент отправителей будет шифровать его только для одного ключа ( list1@foo.bar или list2 @ foo). .бар а не оба).

Я также попытался сгенерировать второй подключ в list1@foo.bar, который я экспортировал, и попытался импортировать в list2@foo.bar, но это не удалось.

Это вообще выполнимо или это нужно решать через mta / mda?

1

1 ответ на вопрос

3
Jens Erat

Решение 1: общий секрет

Боюсь, что нет простого, чистого решения. Если вы не хотите, чтобы другим пришлось шифровать несколько ключей, вам понадобится общий секретный ключ между двумя «настоящими» списками. Поскольку это не может быть единственным, вам придется создать третий, содержащий открытый ключ для этого.

На самом деле вы можете добиться этого, используя довольно сложные операции разделения и объединения, аналогично тому, как описано в разделе «Перенос главных ключей GPG в качестве подключей к новому главному ключу» . Это потребует глубоких знаний RFC 4880 (OpenPGP) .

В конце концов, вы должны иметь структуру, похожую на:

  • Первичный ключ 1
    • UID list1@foo.bar
    • общий раздел
    • подраздел 1
  • Первичный ключ 2
    • UID list2@foo.bar
    • общий раздел
    • подраздел 2
  • Первичный ключ оба
    • UID both@foo.bar
    • общий раздел

Решение 2: повторное шифрование

По моему мнению, реализация MTA, которая выполняет повторное шифрование для отдельных получателей, была бы лучшим вариантом. И не только повторное шифрование обоих списков, но и каждого получателя в отдельности.

Подумайте, что произойдет, если кто-то покинет один из списков рассылки. Вы не сможете отозвать его доступ, не поделившись новыми (суб) ключами со всеми участниками!

Кажется, для этой цели существует неактивная модификация mailman, или вы перебираете список через шифрующий MTA, такой как geam .

Привет, Дженс. Спасибо за ваши 2 предложения. Я хотел сделать что-то подобное, как вы сказали в решении 1, но не знал, как этого добиться, поэтому мне не удалось экспортировать подраздел, потому что он был привязан к идентификатору. Та ссылка, которую вы говорите, выглядит полезной. Я постараюсь и позже сообщу. Спасибо! mcantsin 9 лет назад 0

Похожие вопросы