Condivisione di chiavi private - in cui tutte le parti che hanno l'unica chiave singola sia in grado di decrittografare sia di crittografare - non è sicuramente sicuro come è fatto nella maggior parte delle aziende (ad esempio con una password debole, utilizzata più volte per file diversi , venditori e clienti e solitamente inviati tramite e-mail non crittografata).
I due principali altri modi sono:
Trasporto crittografato, ovvero crittografia dei dati in movimento: HTTPS, FTPS e SFTP rientrano tutti in questo modello.
Crittografia a chiave pubblica, in questo contesto crittografia dei dati a riposo, ovvero GPG - o un pacchetto facilmente installabile che include una GUI, come GPG4Win , che ha due chiavi per ogni destinatario di file, che si tratti di una società o di una Persona B..
La chiave pubblica, che può essere condivisa con il mondo intero (!) perfettamente al sicuro.
La chiave privata, che è detenuta solo dal destinatario, protetta da una passphrase solo dal destinatario (o dal suo software automatizzato).
Chiunque e chiunque criptando e inviando alla persona B ha bisogno solo della chiave pubblica di Person B.
La persona B ha solo bisogno della chiave privata di Person B per decifrare, indipendentemente da quante persone inviano i file.
Ora, se la Persona A sta inviando file a Persone B, C, D ed E, allora Persona A ha bisogno di quattro chiavi pubbliche - una per ogni destinatario.
Ci sono una varietà di altre opzioni, alcune richieste in contesti regolamentati negli Stati Uniti, ma quelle non sono fondamentali per la maggior parte degli utenti.
Si noti che il caso ideale è utilizzare entrambi, oltre alle firme GPG (un modo per convalidare che la chiave privata della Persona A era nelle mani di chi l'ha inviata veramente, presumibilmente essere la Persona A)
Si noti inoltre che un semplice nome utente / password FTP è visibile al 100% a chiunque e chiunque tra il computer della Persona A e il computer della Persona B, poiché viene inviato in chiaro sul filo.