Sono nuovo di OpenPGP, GnuPG e del concetto di coppie di chiavi pubbliche-private. Ho alcune domande nella mia mente:
È necessario avere una chiave PGP (o OpenPGP)? Sono un programmatore Android e un normale utente Linux.
Se sì, allora ho bisogno di una sola chiave PGP, o avrò bisogno di più chiavi per scopi diversi?
Questa convinzione è vera: ogni utente di computer di oggi ha bisogno di avere e usare le chiavi PGP?
Da quanto so su PGP, si basa sul concetto di Web Of Trust , dove trust è transitivo . PGP appartiene a infrastruttura a chiave pubblica e il suo scopo principale è fornire il terreno per l'autenticazione della chiave pubblica , ovvero una chiave pubblica appartiene veramente a una persona che la chiave rivendica appartenere. L'autenticazione qui è implementata da me usando la mia chiave privata per firmare la chiave pubblica di qualcuno, per autenticare sono il vero proprietario della chiave pubblica. Dal momento che le persone che mi conoscono, e la mia chiave pubblica di persona, possono verificare la mia firma usando la mia chiave pubblica, quindi automaticamente si "fidano" della chiave pubblica di qualcuno che ho firmato. Questo pone un problema di sicurezza quando credo erroneamente che la chiave appartenga a qualcuno e io firmi. Quindi, il mio web-of-trust si fiderebbe automaticamente di quel tipo malvagio. Dal momento che le persone nella rete della fiducia di solito si conoscono di persona, il che rende molto difficile impegnarsi, preservando così un certo grado di privacy all'interno del gruppo.
Quindi, tornando alla tua domanda, tutto dipende se è necessario un tale grado di privacy, una privacy a livello di gruppo, al momento di decidere se usare PGP o meno.
Hai bisogno della tua chiave coppia se vuoi essere in grado di ricevere file / email solo tu puoi decodificare o se vuoi inviare file / email firmati da te. In entrambi i casi i tuoi corrispondenti avranno bisogno di una copia della tua chiave pubblica (potranno leggere i tuoi messaggi firmati, ma non convalidare la firma senza una copia della chiave).
OpenPGP è un protocollo di crittografia asimmetrico, il che significa che è progettato per
Permetti a chiunque di crittografare cose che solo il destinatario può decifrare e
Per consentire alle persone di "firmare" i file per dimostrare con (ragionevole) certezza l'identità del mittente e l'integrità del messaggio.
Il protocollo utilizza le coppie di chiavi che consistono in una chiave pubblica che condividi con altri (o persino pubblica) e una chiave privata che solo tu dovresti mai controllare. Viene spesso utilizzato per gestire la protezione della posta elettronica, ma può anche essere applicato a qualsiasi file / testo.
Con questo in mente:
In generale, non è necessario avere una coppia di chiavi PGP per usare Linux o scrivere programmi Android. (vedi risposta 3)
Se decidi di utilizzare PGP, ci sono pro e contro in entrambi i casi. Generalmente una coppia di chiavi PGP è destinata ad essere assegnata a un'identità, il che può significare che una coppia di chiavi ti identifica, OPPURE una coppia di chiavi ti identifica al lavoro e un'altra coppia di chiavi ti identifica a titolo personale. Lo standard OpenPGP supporterà entrambi i casi d'uso e che sceglierai dipende dall'applicazione fornita. Ad esempio, se utilizzo una coppia di chiavi PGP per firmare / crittografare le email sul posto di lavoro, la mia azienda potrebbe richiedere una copia di backup della mia coppia di chiavi di crittografia privata nel caso in cui venga colpito da un bus. In questo caso vorrei andare con l'opzione B in modo da non avere anche una copia della mia chiave privata personale.
La mia risposta originale a questo punto era interamente basata sull'opinione pubblica, quindi la tratterò. Tecnicamente non è richiesto a tutti gli utenti di computer di utilizzare PGP o qualsiasi tipo di crittografia. È del tutto possibile per tutti utilizzare i computer che espongono continuamente tutti i dati memorizzati sull'intero pianeta.
Leggi altre domande sui tag encryption public-key-infrastructure pgp gnupg openpgp