GPG ключи для списков рассылки

Question

GPG ключи для списков рассылки

Есть два списка рассылки (например, list1@foo.bar и list2@foo.bar), для которых я хотел бы сгенерировать ключи GPG и отправить соответствующие закрытые ключи членам списков, так что письма в списки могут быть отправлено в зашифрованном виде без необходимости знать пабы членов этих списков. - До сих пор.

Кроме того, существует псевдоним, по которому письма пересылаются в оба списка рассылки (например, письма по адресу обоих@foo.bar пересылаются по адресам list1@foo.bar и list2@foo.bar).

                       | 
                       V
Alias:             both@foo.bar
                       /\
                      /  \
                     /    \
                    /      \
                   /        \
                  /          \
                 /            \
                V              V
Lists:    list1@foo.bar    list2@foo.bar

Как я могу включить этот второй адрес / идентификатор, чтобы оба списка могли расшифровывать письма, отправляемые на both@foo.bar, без необходимости создания третьей пары ключей для both@foo.bar?

Проблема заключается в том, что, когда я добавляю и @foo.bar в качестве второго идентификатора в list1@foo.bar, и в list2@foo.bar, почтовый клиент отправителей шифрует его только на один ключ (list1@foo.bar или list2 @ foo)..бар а не оба).

Я также попытался сгенерировать второй подключ в list1@foo.bar, который я экспортировал, и попытался импортировать в list2@foo.bar, но это не удалось.

Это вообще выполнимо или это нужно решать через mta / mda?

1

email encryption gnupg mailing-lists

Источник

mcantsin 08 ноя '15 в 17:08

1 ответ

Решение

Другие вопросы по тегам email encryption gnupg mailing-lists

Jens Erat 08 ноя '15 в 19:10 2015-11-08 19:10 · Accepted Answer · 2015-11-08 19:10

Решение 1: общий секрет

Я боюсь, что нет простого, чистого решения. Если вы не хотите, чтобы другие шифровали несколько ключей, вам потребуется общий секретный ключ между двумя "настоящими" списками. Поскольку это не может быть единственным, вам придется создать третий, содержащий открытый ключ для этого.

На самом деле вы можете достичь этого, используя довольно сложные операции разделения и объединения, аналогично тому, как описано в разделе "Перенос главных ключей GPG в качестве подключей к новому главному ключу". Это потребует глубоких знаний RFC 4880 (OpenPGP).

В конце концов, вы должны иметь структуру, похожую на:

Первичный ключ 1
- UID list1@foo.bar
- общий раздел
- подраздел 1
Первичный ключ 2
- UID list2@foo.bar
- общий раздел
- подраздел 2
Первичный ключ оба
- UID both@foo.bar
- общий раздел

Решение 2: повторное шифрование

По моему мнению, реализация MTA, которая выполняет повторное шифрование для отдельных получателей, была бы лучшим вариантом. И не только повторное шифрование обоих списков, но и каждого получателя в отдельности.

Подумайте, что произойдет, если кто-то покинет один из списков рассылки. Вы не сможете отозвать его доступ, не предоставив новые (суб) ключи всем участникам!

Кажется, для этой цели существует неактивная модификация mailman, или вы перебираете список через шифрующий MTA, такой как geam.