現在、暗号化はニックネームとして関連しています。 通信はインスタントメッセンジャーに移り、人々は電子証明書をデジタル証明書で暗号化し続けますが、これには、信頼ネットワークを介したキー交換などの追加の作業が必要になる場合があります。 そのような状況では、一部の長年の暗号化支持者でさえ、 PGPを放棄せざるを得ません。 安全なメッセージングを行うには、 Signalなどのオープンソースのメッセンジャーと強力なエンドツーエンド暗号化を使用する方がはるかに便利です(Electronic Frontier Foundationのマニュアルを参照)。
同時に、PGPはまだ「マシン」操作で使用されています。パッケージの署名、ディスク上のファイルの暗号化などに使用されます。しかし、ここでPGPは徐々に使用されなくなります。 たとえば、Goコミュニティは、「依然として重大な脆弱性を引き起こす古代のプロトコル」、および未解決の鍵交換の問題、そして最も重要なことにはプロトコル自体の古い実装のために、OpenPGPパッケージのサポートを停止することを提案しています。
古いユーザーでさえPGPを拒否する理由は、Cloudflare暗号グループの一部であり、Heartbleed脆弱性のテストサービスの作成者として知られている有名な情報セキュリティの専門家Filippo Valsorda氏が書いていること です 。
第一に、他の人がよく語った暗号化の人気の欠如の問題は消えていません。 1年に最大2つの暗号化された文字を受け取りました。
次に、不便の問題。 重大なエラーを簡単に許容。 ずっと前にキーで混乱したサーバーリスト。 「この手紙を携帯電話で読むことができません。」 「またはラップトップで、使用していないキーを別のマシンに残しました。」
しかし、私が見た本当の問題ははるかに微妙です。 長期キーが安全だとは感じませんでした。 時間が経過すればするほど、それぞれの信頼性は低下します。 YubiKeyキーは、ホテルの部屋で傍受できます。 オフラインキーは、離れた場所に保管するか、安全に保管できます。 新しい脆弱性を発表する可能性があります。 USBデバイスに接続できます。
長期キーのセキュリティは、生涯にわたるセキュリティアクションの最小公約数に対応します。 これは弱いリンクです。
さらに悪いことに、キー署名の収集や名刺への公開キーフィンガープリントの印刷など、既存の長期キー処理プラクティスは、そうでなければ明らかな衛生的ルーチンと考えられる他の動作パターンに反します:多くの場合、キーを変更し、異なるデバイスに異なるキーを持ちます、コンパートメント化を適用します(たとえば、職場と自宅など、さまざまな分野でさまざまな考え方のプロファイルを適用します)。 既存の長期的なキー処理プラクティスでは、キーのバックアップを求めているため、実際に攻撃ベクトルが拡大します。
これはかなり大げさな説明です。 しかし、疑問が生じます。PGPでない場合、何を使用するのでしょうか。 電子メールでは明らかであり、信頼性の高いエンドツーエンド暗号化を備えたインスタントメッセンジャーに置き換えることができます。 しかし、パッケージとソフトウェアの更新およびファイルの暗号化に署名するにはどうすればよいでしょうか? 幸いなことに、 ここには最新の選択肢もあります 。
パッケージ署名
多くのプログラムのLinuxディストリビューションおよび更新システムは、PGP署名を使用してファイルの信頼性を確保しています。
パッケージに署名するための簡単な代替方法があります。たとえば、OpenBSDおよびminisignの signify (署名および検証) です 。 これらは非常にシンプルなユーティリティですが、このおかげで非常に信頼性が高くなっています。 両方とも、唯一のEd25519アルゴリズム(ErDSA)で動作します。これは、エドワーズ楕円曲線上のSchnorrスキームのバリアントを使用したデジタル署名スキームです。 最高速度を実現するように設計されており、RSAよりもはるかに高速です。 両方のユーティリティは同じアルゴリズムに基づいているため、デジタル署名は相互に互換性があります。つまり、signifyはミニサインによって生成された署名をチェックできます。
これらは、最小限の代替機能であり、わずかな追加機能はありません。 深刻なパッケージ配布インフラストラクチャを管理し、より機能的なオプションが必要な場合は、 更新フレームワーク (TUF)に注意を払うことができます。これは、ソフトウェア更新メカニズムに適応する柔軟なフレームワークです。
開発者は、TUFがCloudflare、Docker、DigitalOcean、Flynn、IBM、Microsoft、LEAP、Kolide、Vmwareなどの企業で生産に使用され、Uptaneと呼ばれるTUFオプションがネットワーク上の自動車ソフトウェアの更新に広く使用されていると書いています。
PythonパッケージインフラストラクチャのTUF実装: PEP 458 、 PEP 480 TUFは、すぐに使用できる実証済みのクライアント/サーバー実装を備えた公証人プロジェクトに基づいています。
ファイル暗号化
nacl / boxおよびnacl / secretboxの最新の代替は、あらゆるデータを暗号化するための汎用プログラムです。 対称および非対称暗号化、最新の暗号とプロトコルをサポートします。
キーベースは、チャットメッセージ、メール、ファイル、その他のデータの暗号化に適しています。 キーベースのメインサイトは、ソーシャルネットワークプロファイルを暗号化キーにマップする公開キーカタログです。 キーベースは、暗号化されたチャット(キーベースチャット)、クラウドベースのファイルストレージシステム(キーベースまたはKBFSファイルシステム)、およびGitリポジトリも提供します。
KeyfaseにマウントされたKBFSファイルシステム
一般的に、データ暗号化のためのPGPに完全に機能する代替手段です。
暗号化されたファイル転送
前世紀では、ファイルを暗号化し、パスワードで保護し、電子メールで添付ファイルとして転送することが一般的でした。 現在、このオプションは可能ですが、より新しい選択肢があります。 たとえば、暗号化されたファイルを交換するためのFirefox Sendサービスは最近ベータ版のままです。 ファイルは送信者のコンピューターで暗号化され、受信者のコンピューター(ブラウザーのJS)で復号化されます。 サービスは、ライフタイムまたはダウンロード数に制限のあるファイルへのリンクを生成します。
JSを信頼しない場合は、たとえばmagic-wormholeプログラムを使用してファイルを暗号化できます。 このプログラムは、送信者と受信者のコンピューターにインストールされ、最新の暗号技術PAKE (パスワード認証キー合意)を使用して、いくつかの単語からパスワードを生成し、ファイアウォールを突破し、Torをサポートします。
私たちは21世紀に住んでいます。 暗号化されたファイルをメールで送信するよりもはるかに優れたオプションがあります。
Microsoft Office ドキュメント 、Adobe PDF、LibreOfficeなどの署名証明書
GlobalSignは、 信頼できるデジタル署名を実装するための幅広い機能を提供します 。 デスクトップ、サーバーからクラウド実装まで。 詳細