Aktuell liegt der Vorschlag Using DANE to Associate OpenPGP public keys with email addresses zwar noch als Entwurf vor (siehe hier), doch ich habe bereits den entsprechenden Eintrag für meinen öffentlichen Schlüssel erzeugt und auch im DNS hinterlegt. Zunächst generiert man den Namen für den Eintrag:
$ echo $(echo -n "stefan" | openssl dgst -sha256 | cut -d "=" -f 2 | cut -c 1-57)._openpgpkey.schweter.eu 52518386cc33022de894fa0af047bd62666a63c2a6a6e86650e26955._openpgpkey.schweter.eu
Danach wird der Inhalt dafür generiert; der öffentliche Schlüssel muss dabei auf dem System vorhanden und importiert sein:
gpg --export --export-options export-minimal stefan@schweter.eu | hexdump -e '"\t" /1 "%.2x"' -e '/65536 "\n"'
Nun kann dieser Eintrag im DNS hinterlegt werden. Um nachzuprüfen, ob das auch alles funktioniert hat und entsprechend propagiert wurde, reicht dieser Befehl:
dig +vc type61 52518386cc33022de894fa0af047bd62666a63c2a6a6e86650e26955._openpgpkey.schweter.eu
Werner Koch hat übrigens mit diesem Commit die Möglichkeit eingebaut, für alle importierten Schlüssel solche OPENPGPKEY mit GnuPG zu erzeugen und auszugeben - so spart man sich das manuelle Erzeugen und kann gleich GnuPG dafür benutzen:
gpg --list-keys --print-dane-records
Mit diesem Commit kann man einen öffentlichen PGP Schlüssel per DANE in GnuPG importieren:
gpg --auto-key-locate clear,dane,local --locate-key -v stefan@schweter.eu
Es sollte dann folgende Meldung erscheinen:
gpg: `stefan@schweter.eu' automatisch via DANE geholt