Seit Anfang Oktober 2012 bietet der Keyserverpool
sks-keyservers.net einen Sub-Pool mit SSL-Verschlüsselung für das Abrufen und Senden von OpenPGP-Schlüsseln (siehe
Blogartikel). Um diesen sicheren Sub-Pool zu nutzen, sind folgende Schritte nötig:
- Man benötigt eine Version von GnuPG, die das "hkps://" Protokoll unterstützt. Man kann "gnupg2" nutzen oder das Paket "gnupg-curl" installieren. Für Windows bietet gpg4win ein Paket mit "gnupg2", unter Linux installiert man eines der genannten Pakete mit dem bevorzugten Paketmanager der Distribution.
- Das CA-Root Zertifikat des Keyserverpool sks-keyservers.netCA.pem ist herunter zu laden und auf dem eigenen Rechner zu speichern.
- In der Konfiguration von Enigmail sind die "Experten Optionen" zu aktivieren und folgende Werte zu setzen:
- Bei der Nutzung von "gnupg2" ist der Pfad zum Programm auszuwählen:
-
Auf dem Reiter "Keyserver" ist der HKPS-Pool als Schlüssel-Server einzutragen:
hkps://hkps.pool.sks-keyservers.net
- Auf dem Reiter "Erweitert" sind als "Zusätzliche Parameter für GnuPG" die nötigen Keyserver-Optionen einzutrage:
--keyserver-options ca-cert-file=<Path to>/sks-keyservers.netCA.pem
<Path to> ist dabei durch das Verzeichnis zu ersetzen, in welchem das CA-Root Zertifikat sks-keyservers.netCA.pem gespeichert wurde. Weitere Keyserver Optionen können durch Kommas getrennt angehängt werden.
- Wenn man die SSL-verschlüsselten Keyserver auch mit allen anderen Programmen zur Verwaltung der OpenPGP-Schlüssel nutzen möchte, kann man in der Konfigurationsdatei "gpg.conf" folgende Parameter setzen:
keyserver hkps://hkps.pool.sks-keyservers.net
keyserver-options ca-cert-file=<Path to>/sks-keyservers.netCA.pem,...