C'è qualche vantaggio nella crittografia dei messaggi con PGP che saranno trasmessi su SSL a un server REST?

No, PGP non è necessario se SSL è impostato correttamente. Ovviamente, "aggiungerà più sicurezza", ma il vantaggio non supererà la seccatura di crearlo.

Se un agente malevolo in mezzo sarebbe in grado di decifrare il traffico (MITM, ...), potresti anche chiedertelo se qualcuno potrebbe accedere all'ambiente dell'applicazione web e utilizzare la chiave privata della tua coppia di chiavi generata per decrittografare traffico.

Se si desidera che la connessione sia autenticata, è sempre possibile emettere certificati lato client ed eseguire l'autenticazione reciproca; questo ti darà riservatezza e integrità dei dati. Ed è molto più semplice dell'implementazione di PGP in un client / app web.

Sì, ma non principalmente dall'aspetto del traffico che viene annusato. Se il server REST archivia temporaneamente i dati crittografati PGP, tali dati vengono successivamente "trascinati" su un server più sicuro in un'area più sicura (possibilmente dietro un firewall che non consente le connessioni in entrata dal server meno sicuro). I dati potrebbero quindi essere decifrati su un server che non consente connessioni in entrata o in uscita su Internet (o qualsiasi altra rete di cui si è interessati). Questa architettura ridurrebbe radicalmente la superficie di attacco relativa al sistema in cui sono archiviati i dati (a differenza dei dati decrittografati che si trovano su un sistema direttamente connesso a Internet). Ciò è particolarmente utile se entrambi i lati della comunicazione sono disciplinati sull'implementazione di questo stesso processo da entrambe le parti.

Fondamentalmente può essere visto come un ulteriore livello di difesa in profondità "se" implementato correttamente. Nota: questo serve anche come ulteriore livello di difesa in profondità durante il processo di trasmissione.