BREF D'OPÉRATION

Pratiques de pointe du PGP pour les utilisateurs du marché en 2026

Critère principalhttp://drugmainabcdefghijklmnopqrstuvwxyz234567abcdefghijklm6yd.onion

Le chiffrement côté marché est un piège. Si vous comptez sur un serveur pour chiffrer vos communications, vous attendez d'être compromis. Ce répertoire décrit l'hygiène cryptographique exacte nécessaire pour survivre sur les plateformes de darknet cette année. Zéro confiance. Chiffrement local seulement.

Dernière vérification : 2026-06-13 · ÉTAT: ACTIF

Voir les miroirs vérifiés Vérifier le temps de disponibilité du marché

Ne jamais faire confiance à un paramètre de texte clair.

Les signatures PGP assurent l'authenticité des fichiers téléchargés. Mais si la signature elle-même est fausse ? C'est pourquoi vous devez vérifier la clé PGP avec une ou plusieurs sources de confiance. Une fausse signature ne sera pas vérifiée et une clé d'imposteur ne correspondra pas aux sources documentées.

Vérifier l'URL

Publié: 2026-06-13 Auteur: DrugHub Market

Accès au point d'extrémité primaire

Si vous avez besoin de la destination vérifiée immédiatement, prenez ce paramètre:

http://drughubobbkfypk226frfio2fgzlfft3clfbrujqtg6254xcy2jkqmad.onion

Mais n'avancez pas avant de croiser le message signé du miroir avec la clé publique connue.

Base de la confiance cryptographique

L'infrastructure darknet moderne est une cible massive. Un écosystème avec plus de 60k+ utilisateurs, plus de 1.2k fournisseurs, et 240k entrées traitées détient une empreinte de métadonnées stupéfiante.

La messagerie requise par PGP est une norme de base sur les plateformes sérieuses. Pourtant, les utilisateurs échouent constamment à la mise en œuvre. Ils génèrent des clés sur les systèmes d'exploitation compromis. Ils utilisent des outils de chiffrement en ligne. Ils collent les clés privées dans les extensions de navigateur. C'est inacceptable. Les routes réseau vous anonymement, mais il ne protège pas la charge utile que vous envoyez (voir l'entrée glossaire d'oignon de Tor). Cette partie est entièrement de votre ressort.

C'est la raison pour laquelle drughub drugs répertoire de vérification. Nous énumérons les paramètres et vérifions les signatures, afin que vous ne débarquiez pas sur un clone d'hameçonnage. Mais après cette porte, votre survie dépend de votre PGP local.

Production de clés et captage d'air

Les clés PGP ne doivent pas être générées dans votre système d'exploitation quotidien. Windows et macOS sont à la fois des plateformes de surveillance et donc inappropriés. La génération de clés doit se produire sur une machine à vent. Tails OS est idéal, et il devrait être démarré à partir d'une clé USB. Si vous savez ce qu'est l'isolement hyperviseur, vous voulez probablement utiliser Whonix.

Utilisez RSA 4096 ou la courbe elliptique NIST P-384. Les courbes NIST sont considérées comme relativement sûres et devraient vous protéger dans un avenir proche. Gardez votre clé directement sur un jeton YubiKey ou un jeton matériel équivalent. Cela garantit qu'il est impossible d'exporter votre clé privée. Le point faible est maintenant votre NIP. Si vous êtes vraiment paranoïaque, générer la clé directement sur la YubiKey pour une protection maximale.

gpg --full-generate-key
# Select RSA and RSA (default)
# Keysize: 4096
# Valid for: 1y

Faites immédiatement un certificat de révocation. Si vous perdez votre clé privée, ou si elle est volée, vous devez supposer que l'identité a été compromise et la révoquer. Sans certificat de révocation, votre clé PGP ne peut jamais être réparée et est aussi bonne que la clé publique signée par quelqu'un que vous ne feriez pas confiance.

Vérification du répertoire et des miroirs

L'hameçonnage est le moyen préféré des pirates pour cibler les clients du marché. Ils créent une copie du front-end, volent vos données de connexion, et remplacent les adresses de la note collatérale. La protection contre cela est une vérification cryptographique. Là, vous ne pouvez pas compter sur les signets et bien sûr pas sur le lien wiki caché.

Même si vous tirez un lien de ce drughub api, vous devez toujours vérifier la preuve de propriété du serveur. Le marché signe un message avec l'adresse actuelle de l'oignon. Vous devez vérifier cette signature localement avec la clé publique connue du marché.

Importer la clé du marché
Obtenez la clé publique du marché auprès d'une source indépendante et fiable. Importez-le dans votre porte-clés local en utilisant gpg --import market.asc.
Inspecter les preuves
Inspectez le fichier téléchargé pour l'empreinte digitale publiée. Utilisez les outils de somme de contrôle ou de signature comme avant. Mais cette fois, utilisez le local message.txt fichier pour le vérifier.
Vérifier localement
Exécuter gpg --verify message.txt. Recherchez la sortie "Bonne signature". Assurez-vous que les principales empreintes digitales correspondent exactement. Si elle dit "Bad signature", gravez l'instance OS et recommencez. Vous êtes sur un site d'hameçonnage.

Chiffrement des communications

Un texte clair. Jamais. Peu importe s'il y a une case "PGP crypt pour moi" sur le marché. Si vous cochez cette case, vous faites confiance au serveur pour chiffrer votre adresse. Si les forces de l'ordre saisissent le serveur et l'exécutent comme un pot à miel, ils enregistrent le texte clair avant qu'il ne soit chiffré.

Tout cela peut sembler compliqué, mais il est assez simple de chiffrer n'importe quel texte à travers un fournisseur de matériel.La clé produit le bloc d'armure ASCII puis le porte sur un marché –- un total de seulement 2 actions manuelles sont nécessaires.

Les fuites de métadonnées peuvent sembler un problème mineur, mais la ligne d'objet d'un message peut souvent être lue non chiffrée. les numéros d'entrée, les demandes de suivi ou les noms de substance dans la ligne objet peuvent être dangereux (voir Riseup.net). Contre-intuitivement, plus l'objet est ennuyeux et non descriptif, mieux c'est. Stick avec des plaisanteries inoffensives et des mots à la mode tels que "Derniers financiers", "Conférence invite", ou "Modèle de rappel". La charge utile est ce qui compte.

Signatures d'Escrow et Multisig

Le séquestre standard est quand le marché détient les fonds jusqu'à ce que vous finalisez l'entrée. Mieux que la libération directe, mais vous devez toujours faire confiance au marché pour ne pas quitter l'escroquerie. Multisig escrow supprime cette exigence de confiance.

Un 2-de-3 multisig est quand une adresse cryptomonnaie est générée qui nécessite deux parties sur trois (utilisateur, Vendeur, Marché) pour signer la transaction avant que les fonds puissent se déplacer. C'est le multisig le plus sécurisé possible sans ajouter de complexité. La seule raison pour laquelle un Vendeur de confiance aurait besoin de multisig est qu'ils se débarrassent de leur timonerie préférée à Monero et ont besoin de protections supplémentaires. Monero-préféré multisig est hautement improbable, mais bien que Monero étant une pièce de vie privée supérieure, multisig est parfois utilisé sur Bitcoin parce que le protocole Monero ne le supporte pas. Ce n'est pas recommandé parce que vous perdez la vie privée que Monero fournit lors de l'utilisation de Bitcoin. Cependant, si vous choisissez d'utiliser multisig, vous devez comprendre comment signer une transaction Bitcoin partiellement signée (PSBT) en utilisant votre portefeuille local.

La deuxième signature requise pour libérer les fonds au vendeur garantit des résultats équilibrés aux différends. En cas de litige, le marché agit en qualité d'arbitre, fournissant la deuxième signature pour rembourser l'utilisateur ou payer le vendeur. Si le marché disparaît, l'utilisateur et le vendeur peuvent encore communiquer, convenir d'une résolution, et signer la transaction ensemble, contournant entièrement le marché manquant.

Vérification du répertoire

Même quand on s'appuie sur un répertoire de vérification comme drughub drugs, votre sécurité opérationnelle est votre propre responsabilité. Nous indexons les miroirs, vérifions les heures de pointe et vérifions les signatures pour que vous n'ayez pas à deviner. Mais vous devez toujours vérifier le point final vous-même. Nous fournissons les données ; vous fournissez l'exécution. Revoir notre Vérification de l'URL guide pour les commandes exactes pour recouper nos adresses indexées avec les versions signées.

Si votre environnement local n'est pas durci, votre chiffrement est inutile. Ne vous fiez pas aux outils PGP en ligne. Ils exposent vos clés à l'état du navigateur. Gardez le décryptage local et l'air-gappé de votre session Tor. Si vous avez besoin d'une mise à jour des protocoles sous-jacents, lisez la documentation (voir GnuPG) et de revoir les pratiques de base en matière d'anonymat (voir Guides de confidentialité).

Pas de bruit. Obtenez les paramètres vérifiés.

Avec DrugHub Marketplace signatures surveillées par nos moniteurs automatisés toutes les heures.

Afficher les liens de l'oignon

FAQ opérationnelle du PGP

Pourquoi le PGP est-il obligatoire pour les messages?

Cela signifie que l'infrastructure du marché ne peut pas être utilisée pour compromettre les utilisateurs. Si la base de données est piratée, vos adresses de canal d'exécution et les informations de litige sont toujours en sécurité parce que tout est crypté. Le serveur ne voit que des lettres et des chiffres.

Puis-je utiliser une extension de navigateur pour PGP?

Ne jamais exposer vos clés privées à un environnement de navigateur. Générez, stockez et exécutez vos clés localement en utilisant une application porte-clés dédiée.

Que se passe-t-il si je perds ma clé privée ?

Vous pouvez perdre votre portefeuille numérique et/ou votre compte à partir de l'écrasement des supports de stockage, un `rm -rf` erroné dans le mauvais terminal, un Trezor perdu, ou un certain nombre de catastrophes mineures. Les sauvegardes nécessitent des téléchargements complets et réguliers de la blockchain et le décryptage de vos clés pour s'assurer qu'elles fonctionnent. Si vous perdez le disque USB que votre stockage à froid est sur, ou le disque dur qui se trouve contenir un fichier portefeuille, comment est-il facile de récupérer vos données?