Schroeder lo metti abbastanza correttamente, e questa singola frase può davvero (quasi da sola) rispondere alla tua domanda .
The question becomes, "who are you protecting the data from?"
Mi piacerebbe approfondire un po ', però.
Se la tua unica preoccupazione è proteggere i dati dagli intercettatori occasionali (ad es. quel ragazzo inquietante accanto a te nella caffetteria), allora le tecnologie di sicurezza di connessione machine-to-machine come SSL sono in genere sufficienti. Presumendo che il meccanismo di protezione di per sé non sia debole in qualche modo, in genere si ha poco da temere dalle persone che spiano il traffico.
Tuttavia, se sei preoccupato di proteggere i tuoi dati dalle agenzie governative, dagli insider malintenzionati del tuo ISP, dai malintenzionati nell'host dell'app, dai sistemi di monitoraggio del tuo datore di lavoro o da altri aggressori avanzati con posizionamento man-in-the-middle, quindi soluzioni end-to-end come PGP sono la strada da percorrere.
SSL generalmente protegge la connessione tra te e l'host dell'app. Tuttavia, se la connessione SSL è compromessa (vale a dire la tua azienda utilizza un proxy SSL per monitorare tutto il traffico sulla rete come se fosse un testo in chiaro), i tuoi dati sono vulnerabili. Inoltre, SSL non protegge i dati a riposo nei server dell'host dell'app in cui gli utenti interni malevoli potrebbero essere in grado di sfruttarli.
PGP protegge i dati lungo l'intero percorso, dalla sua origine alla sua destinazione finale , e protegge i dati a riposo. L'unico modo per compromettere i dati è quello di compromettere una delle macchine endpoint, ottenere una copia di una chiave privata autorizzata o trovare un punto debole negli algoritmi di crittografia utilizzati. In generale, questo ti proteggerà da attacchi interni malevoli e attacchi man-in-the-middle. Tuttavia, devi comunque essere vigile contro malware e attori malintenzionati con accesso fisico a entrambi gli endpoint.
Riguardo a quest'ultimo punto, è bene ricordare alcune Dieci leggi di sicurezza immutabili :
Law #1: If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore.
...
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
...
Law #10: Technology is not a panacea.
Tuttavia, se hai davvero paura di quelle agenzie governative o di altri "cattivi", dovresti probabilmente mantenere questo in mente.