Sto lavorando per automatizzare un processo PGP e ho intenzione di sostituire utilizzando PGP con GPG. Ma devo assicurarmi che GPG possa essere effettivamente una sostituzione.
GPG fa tutto ciò che PGP può fare? Ho studiato molto e sembra che la maggior parte delle funzionalità di base siano disponibili, ma non riesco a trovare un'opzione SDA in GPG.
Gli archivi auto decrittografati sono una cattiva idea.
Sono un'esposizione di sicurezza autoinflitta. Stai mandando un file eseguibile a qualcuno e chiedendo loro di eseguirlo? E poi, giusto per aggiungere il sugo, chiedi loro di digitare la loro password in questo programma non affidabile che hanno ricevuto da chi-sa-chi? Noccioline! Questo è un modo efficace per addestrare le persone a comportarsi in modo insicuro. L'uso di archivi auto-decodificati richiede solo problemi in linea.
L'uso di un archivio auto-decrittante è una dichiarazione secondo la quale un file è così sensibile da dover essere crittografato, ma così innocuo da chiedere al destinatario di fare attenzione al vento e ignorare le pratiche di sicurezza standard. Non ha senso.
Personalmente, penso che la mancanza di supporto di GPG per gli SDA sia una funzionalità, non un bug.
Altre risorse:
Non utilizzare file auto-decrittografanti. "I file auto-decrittografati non sono affatto cool." "I file auto-decrittografati sono il sogno di un aggressore man-in-the-middle che si avvera."
La creazione di SDA è possibile con GnuPG? "Questi sono una pessima idea. no ".
GnuPG offre in realtà degli SDA, ma è solo un file zip autoestraente con un file GPG e uno script, che non è realmente portatile o una soluzione adeguata.
Le differenze di cui sono a conoscenza:
In termini di crittografia, non c'è molta differenza, salvo l'ultimo punto. Dato che GPG ha licenze molto liberali ed è comunque compatibile con OpenPGP, ti consiglio di passare ad esso.