Предотвращение утечек DNS с помощью gnupg через TOR при одновременном получении ключей через DNS

Использование DANE для связи открытых ключей OpenPGP с адресами электронной почты становится все более популярным. В GnuPG реализованы разные методы, такие как pka и cert. IETF только что выпустил новый проект, предлагающий новую запись ресурса DNS OPENPGPKEY.

При поиске открытых ключей возникали проблемы с конфиденциальностью, поскольку они могли утекать информацию о том, с кем кто-то общается. Torify GnuPG был одним из способов решения этих проблем. Для этого есть три широко используемых метода:

1. С помощью torsocks:

   torsocks gpg --search test@examples.com

2. С помощью http-proxy вариант в keyserver-options GnuPG:

   gpg --keyserver-options http-proxy=socks5h://127.0.0.1:9050

3. Использование одного из вышеперечисленных вместе с сервером ключей, доступным в качестве скрытой службы Tor.

Поскольку в GnuPG отсутствует встроенная поддержка прокси-серверов socks DNS, утечки являются серьезной проблемой. Это становится еще более драматичным, когда утечка DNS также содержит адрес электронной почты людей, с которыми вы общаетесь. Ни один из упомянутых выше подходов не позволяет извлекать ключи из DNS, предотвращая утечки DNS:

1. С помощью torsocks не пропускает информацию в DNS, но поэтому блокирует выбор ключа DNS.

2. С помощью http-proxy вариант в keyserver-options GnuPG утечки адресов электронной почты в DNS.

3. Поскольку сервер ключей не используется, не имеет значения, является ли он скрытым сервисом или нет.

Также tor-resolve поддерживает только DNS-записи и, следовательно, не может использоваться для получения информации о ключах OpenPGP, хранящейся в DNS как TXT (ПКА), TYPE37 (сертификат) или OPENPGPKEY (IETF draf) записи.

Есть ли какой-нибудь способ искажать GnuPG без проблем утечки DNS и без блокировки поддержки DANE?