OPSEC BRIEF

PGP-Führungspraxis für Marktbenutzer im Jahr 2026

Primärer Endpunkthttp://drugmainabcdefghijklmnopqrstuvwxyz234567abcdefghijklm6yd.onion

Marktseitige Verschlüsselung ist eine Falle. Wenn Sie sich auf einen Server verlassen, um Ihre Kommunikation zu verschlüsseln, warten Sie auf Kompromisse. Dieses Verzeichnis beschreibt die genaue kryptographische Hygiene, die für das Überleben auf Darknet-Plattformen in diesem Jahr erforderlich ist. Null Vertrauen. Nur lokale Verschlüsselung.

Letzter verifiziert: 2026-06-13 · STATUS: RECHT

Die verifizierten Spiegel anzeigen Überprüfung der Markt-Uptime

Vertraue niemals einem Klartext-Endpunkt.

PGP Signaturen sorgen für die Authentizität heruntergeladener Dateien. Aber was, wenn die Unterschrift selbst gefälscht ist? Deshalb müssen Sie den PGP-Schlüssel des Signers mit einer oder mehreren vertrauenswürdigen Quellen überprüfen. Eine falsche Signatur wird nicht auschecken und ein Impostor-Schlüssel passt nicht zu dokumentierten Quellen.

Die URL überprüfen

Veröffentlicht: 2026-06-13 Autor: DrugHub Market

Zugang zum primären Endpunkt

Wenn Sie das geprüfte Ziel sofort benötigen, nehmen Sie diesen Endpunkt:

http://drughubobbkfypk226frfio2fgzlfft3clfbrujqtg6254xcy2jkqmad.onion

. Aber nicht vor der Querreferenzierung der unterzeichneten Botschaft des Spiegels mit dem bekannten öffentlichen Schlüssel voran.

The Baseline of Cryptographic Trust

Moderne Darknet-Infrastruktur ist ein massives Ziel. Ein Ökosystem mit über 60k+ Benutzern, mehr als 1.2k-Anbietern und 240k verarbeiteten Einträgen hält eine überragende Metadaten-Fußabdruck.

PGP-benötigte Messaging ist ein Basisstandard auf ernsthaften Plattformen. Dennoch scheitern die Nutzer bei der Implementierung konsequent. Sie erzeugen Schlüssel zu kompromittierten Betriebssystemen. Sie verwenden webbasierte Verschlüsselungstools. Sie fügen private Schlüssel in Browser-Erweiterungen ein. Das ist inakzeptabel. Das Netzwerk führt Sie anonym, aber es schützt nicht die von Ihnen gesendete Nutzlast (siehe Tor's onion-address Glossar-Eintrag). Der Teil ist ganz auf dich.

Dies ist der Grund für die drughub drugs Verifikationsverzeichnis. Wir listen die Endpunkte auf und überprüfen die Unterschriften, also landen Sie nicht auf einem Phishing-Klon. Aber nach diesem Tor ist Ihr Überleben auf Ihrem lokalen PGP.

Key Generation und Air-Gapping

PGP-Tasten sollten nicht in Ihrem täglichen Betriebssystem erzeugt werden. Windows und macOS sind beide Überwachungsplattformen und somit ungeeignet. Die Schlüsselerzeugung sollte auf einer luftgefressenen Maschine erfolgen. Tails OS ist ideal, und es sollte von einem USB-Stick bootet werden. Wenn Sie wissen, was Hypervisor Isolation ist, möchten Sie wahrscheinlich Whonix verwenden.

Verwenden Sie RSA 4096 oder die NIST P-384 elliptische Kurve. Die NIST-Kurven gelten als relativ sicher und sollten Sie für die nahe Zukunft schützen. Halten Sie Ihren Schlüssel direkt auf einem YubiKey oder gleichwertigen Hardware-Token. Dies sorgt dafür, dass es unmöglich ist, Ihren privaten Schlüssel zu exportieren. Der Schwachpunkt ist jetzt Ihre PIN. Wenn Sie wirklich paranoid sind, erzeugen Sie den Schlüssel direkt auf dem YubiKey für maximalen Schutz.

gpg --full-generate-key
# Select RSA and RSA (default)
# Keysize: 4096
# Valid for: 1y

Machen Sie ein Widerrufszertifikat auf einmal. Wenn Sie Ihren privaten Schlüssel verlieren, oder wenn er gestohlen ist, müssen Sie davon ausgehen, dass die Identität beeinträchtigt wurde und es widerrufen. Ohne Widerrufszertifikat kann Ihr PGP-Schlüssel niemals fixiert werden und ist so gut wie ein öffentlicher Schlüssel, der von jemandem unterzeichnet wird, dem Sie nicht vertrauen würden.

Verifizieren des Verzeichnisses und der Spiegel

Phishing ist der Lieblingsweg der Hacker, um Marktkunden anzusprechen. Sie erstellen eine Kopie des Frontends, stehlen Ihre Login-Details und ersetzen die Sicherheit Note Adressen. Der Schutz davor ist kryptographische Verifikation. Dort können Sie sich nicht auf Lesezeichen verlassen und natürlich nicht auf den versteckten Wiki-Link.

Auch wenn Sie einen Link von diesem drogenhub api ziehen, müssen Sie immer noch den Besitznachweis des Servers überprüfen. Der Markt unterschreibt eine Nachricht mit der aktuellen Zwiebeladresse. Sie müssen die Unterschrift lokal mit dem bekannten öffentlichen Schlüssel des Marktes überprüfen.

Marktschlüssel importieren
Erhalten Sie den öffentlichen Schlüssel des Marktes aus einer vertrauenswürdigen, unabhängigen Quelle. Importieren Sie es in Ihre lokale Schlüsselkette gpg --import market.asc.
Inspizieren Sie die Beweise
Überprüfen Sie die heruntergeladene Datei für den veröffentlichten Fingerabdruck. Verwenden Sie die Prüfsumme oder Signatur-Tools wie zuvor. Aber dieses Mal verwenden Sie die lokale message.txt Datei, um es zu überprüfen.
Lokal verifizieren
Laufen gpg --verify message.txtSuche nach der Ausgabe "Gute Signatur". Stellen Sie sicher, dass der primäre Tastendruck genau passt. Wenn es "Bad Signatur" sagt, brennen Sie die OS-Instanz und starten Sie vorbei. Sie sind auf einer Phishing-Website.

Verschlüsselung von Kommunikation

Klartext. Niemals. Es ist uns egal, ob es eine "PGP-Verschlüsselung für mich"-Checkbox auf dem Markt gibt. Wenn Sie dieses Feld überprüfen, vertrauen Sie dem Server, um Ihre Adresse zu verschlüsseln. Wenn die Strafverfolgung den Server beschlagnahmt und als Honigtopf ausgeführt wird, protokollieren sie den Klartext, bevor er verschlüsselt ist.

All dies mag kompliziert erscheinen, aber es ist ganz einfach, jeden Text durch die Schlüsselausbeute eines Hardware-Anbieters zu verschlüsseln ASCII Rüstungsblock dann auf einen Marktplatz zu portieren – insgesamt sind nur 2 manuelle Aktionen erforderlich.

Metadaten-Leckages können wie ein kleines Problem erscheinen, aber die Betreffzeile einer Nachricht kann oft unverschlüsselt gelesen werden. Eingabenummern, Tracking-Anfragen oder Stoffnamen in der Betreffzeile können gefährlich sein (siehe Riseup.net). Unzählig, je langweiliger und nicht beschreiben die Themenlinie, desto besser. Bleiben Sie mit unanständigen Höflichkeiten und Bozzwords wie "Letzte Finanzen", "Konferenzeinladen", oder "Deadline Mahnung". Die Nutzlast ist, was zählt.

Escrow und Multisig Signaturen

Standard Escrow ist, wenn der Markt die Mittel hält, bis Sie den Eintrag abgeschlossen. Besser als direkte Freigabe, aber Sie müssen immer noch dem Markt vertrauen, nicht zu scam verlassen. Multisig Escrow entfernt diese Vertrauensforderung.

Ein 2-of-3 Multisig ist, wenn eine Kryptowährung-Adresse generiert wird, die zwei von drei Parteien (Benutzer, Verkäufer, Markt) erfordert, um die Transaktion zu unterzeichnen, bevor Geld bewegen kann. Dies ist die sicherste Multisig möglich, ohne Komplexität hinzuzufügen. Der einzige Grund, warum ein vertrauenswürdiger Verkäufer Multisig braucht, ist, wenn sie aus ihrem Monero-bevorzugten Wheelhouse handeln und zusätzlichen Schutz benötigen. Monero-preferred Multisig ist sehr unwahrscheinlich, aber trotz Monero ist eine überlegene Privatsphäre Münze, Multisig wird manchmal auf Bitcoin verwendet, weil das Monero-Protokoll nicht unterstützt. Dies wird nicht empfohlen, weil Sie die Privatsphäre verlieren Monero bietet, wenn Sie Bitcoin verwenden. Wenn Sie jedoch Multisig verwenden möchten, müssen Sie verstehen, wie Sie eine teilweise unterzeichnete Bitcoin-Transaktion (PSBT) mit Ihrer lokalen Geldbörse unterzeichnen.

Die zweite Unterschrift, die für die Freigabe der Mittel an den Verkäufer erforderlich ist, garantiert ausgewogene Ergebnisse zu Streitigkeiten. Wenn ein Streit entsteht, handelt der Markt als Schiedsrichter, die zweite Unterschrift entweder den Benutzer zurückerstatten oder den Verkäufer bezahlen. Wenn der Markt verschwindet, können der Benutzer und der Anbieter immer noch kommunizieren, eine Lösung vereinbaren und die Transaktion gemeinsam unterschreiben, den fehlenden Markt vollständig umgehen.

Überprüfung des Verzeichnisses

Selbst wenn man sich auf ein Verifikationsverzeichnis wie drughub drugs, Ihre operative Sicherheit ist Ihre eigene Verantwortung. Wir indexieren die Spiegel, überprüfen die Uhrzeit und überprüfen die Signaturen, damit Sie nicht erraten müssen. Aber Sie müssen immer noch den Endpunkt selbst überprüfen. Wir liefern die Daten; Sie liefern die Ausführung. Besuchen Sie uns URL Verifizierung führen Sie dazu, dass die genauen Befehle unsere indizierten Adressen gegen die unterzeichneten Freigaben kreuzen.

Wenn Ihre lokale Umgebung nicht ausgehärtet ist, ist Ihre Verschlüsselung nutzlos. Beschränken Sie sich nicht auf webbasierte PGP-Tools. Sie setzen Ihre Schlüssel dem Browser-Zustand aus. Halten Sie die Entschlüsselung lokal und luftgefressen von Ihrer Tor-Sitzung. Wenn Sie einen Auffrischer auf den zugrunde liegenden Protokollen benötigen, lesen Sie die Dokumentation (siehe GnuPG) und Überprüfung grundlegender Anonymitätspraktiken (siehe Datenschutzhinweise)

Überspringen Sie das Geräusch. Hol die verifizierten Endpunkte.

Mit DrugHub Market Unterschriften, die von unseren automatischen Monitoren überwacht werden, jede Stunde.

Onion Links anzeigen

PGP Operationelle FAQ

Warum ist PGP obligatorisch für Nachrichten?

Es bedeutet, dass die Infrastruktur des Marktes nicht genutzt werden kann, um die Nutzer zu gefährden. Wenn die Datenbank gehackt wird, sind Ihre Erfüllungskanaladressen und Streitinformationen immer noch sicher, weil sie alle verschlüsselt sind. Der Server sieht nie etwas anderes als Buchstaben und Zahlen.

Kann ich eine Browser-Erweiterung für PGP verwenden?

Legen Sie Ihre privaten Schlüssel niemals einer Browser-Umgebung aus. Generieren, speichern und ausführen Sie Ihre Schlüssel lokal mit einer speziellen Schlüsselanhänger-Anwendung.

Was passiert, wenn ich meinen privaten Schlüssel verliere?

Sie können Ihre digitale Geldbörse und/oder Ihr Konto von abstürzenden Speichermedien, einem fehlerhaften `rm -rf` im falschen Terminal, einem verlorenen Trezor oder einer beliebigen Anzahl von kleinen Katastrophen verlieren. Backups benötigen vollständige, regelmäßige Downloads der Blockchain und die Entschlüsselung Ihrer Schlüssel, um sicherzustellen, dass sie funktionieren. Wenn Sie das USB-Laufwerk verlieren, dass Ihre kalte Speicherung auf ist, oder die fallende Festplatte, die eine Geldbörse-Datei enthält, wie einfach ist es, Ihre Daten zu wiederherstellen?