Saat ini, enkripsi relevan sebagai nama panggilan. Komunikasi bergerak ke pengirim pesan instan, orang terus mengenkripsi pesan elektronik dengan sertifikat digital, tetapi kadang-kadang ini mungkin memerlukan upaya tambahan, termasuk bertukar kunci melalui jaringan kepercayaan. Dalam keadaan seperti itu, bahkan beberapa penganut kriptografi lama dipaksa untuk meninggalkan PGP . Untuk pengiriman pesan yang aman, jauh lebih mudah untuk menggunakan pengirim pesan instan open source dan enkripsi end-to-end yang kuat, seperti Signal (lihat manual dari Electronic Frontier Foundation).

Pada saat yang sama, PGP masih digunakan dalam operasi "mesin": untuk menandatangani paket, mengenkripsi file pada disk, dll. Tapi di sini, PGP secara bertahap dihapus. Sebagai contoh, komunitas Go mengusulkan untuk berhenti mendukung paket OpenPGP karena "protokol kuno yang masih menyebabkan kerentanan serius ", serta karena masalah pertukaran kunci yang tidak terpecahkan dan, yang paling penting, karena implementasi protokol itu sendiri yang sudah ketinggalan zaman.

Mengapa bahkan pengguna lama menolak PGP, menulis spesialis keamanan informasi terkenal Filippo Valsorda, yang merupakan bagian dari grup Cloudflare crypto dan dikenal sebagai penulis layanan untuk pengujian kerentanan Heartbleed :

Pertama, masalah kurangnya popularitas enkripsi, yang sering dibicarakan orang lain, belum hilang. Saya menerima maksimal dua huruf terenkripsi per tahun.

Lalu, masalah ketidaknyamanan. Kesalahan kritis mudah ditoleransi. Daftar server yang membingungkan dengan kunci beberapa tahun yang lalu. "Saya tidak bisa membaca surat ini di ponsel saya." "Atau di laptop, saya meninggalkan kunci, yang tidak saya gunakan, di komputer lain."

Tetapi masalah sebenarnya yang saya lihat jauh lebih halus. Saya tidak pernah merasa bahwa kunci jangka panjang saya aman. Semakin banyak waktu berlalu, semakin sedikit kepercayaan pada mereka masing-masing. Kunci YubiKey dapat dicegat di kamar hotel. Kunci offline dapat tetap berada di kotak yang jauh atau aman. Dapat mengumumkan kerentanan baru. Mereka dapat terhubung ke perangkat USB.

Keamanan kunci jangka panjang sesuai dengan pembagi umum minimum dari tindakan keamanan seumur hidup Anda. Ini adalah tautan yang lemah.

Lebih buruk lagi, praktik-praktik penanganan kunci jangka panjang yang ada, seperti mengumpulkan tanda tangan kunci dan mencetak sidik jari kunci publik pada kartu bisnis, bertentangan dengan pola perilaku lain yang sebaliknya akan dianggap sebagai rutinitas higienis yang jelas: sering kali mengganti kunci, memiliki kunci yang berbeda pada perangkat yang berbeda , terapkan kompartementalisasi (berbagai profil pemikiran di berbagai bidang, misalnya, di tempat kerja dan di rumah - kira-kira per). Praktek-praktek penanganan kunci jangka panjang yang ada sebenarnya memperluas vektor serangan, karena mereka mendorong cadangan kunci.

Ini adalah penjelasan yang agak luas. Tetapi muncul pertanyaan: jika bukan PGP, lalu apa yang harus digunakan? Dengan email sudah jelas, itu bisa diganti dengan messenger instan dengan enkripsi end-to-end yang andal. Tetapi apa yang harus digunakan untuk menandatangani paket dan pembaruan perangkat lunak dan enkripsi file? Untungnya, ada juga alternatif modern di sini .

Tanda tangan paket

Distribusi Linux dan sistem pembaruan untuk banyak program menggunakan tanda tangan PGP untuk memastikan keaslian file.

Ada alternatif sederhana untuk menandatangani paket, misalnya, signify (tandatangani dan verifikasi) dari OpenBSD dan minisign . Ini adalah utilitas yang sangat sederhana, tetapi berkat ini mereka sangat dapat diandalkan. Keduanya bekerja dengan satu-satunya algoritma Ed25519 (ErDSA): ini adalah skema tanda tangan digital menggunakan varian skema Schnorr pada kurva elliptic Edwards. Ini dirancang untuk kecepatan maksimum dan jauh lebih cepat daripada RSA. Karena kedua utilitas didasarkan pada algoritma yang sama, tanda tangan digitalnya kompatibel satu sama lain, yaitu, signify dapat memeriksa tanda tangan yang dihasilkan oleh minisign, dan sebaliknya.

Ini adalah alternatif paling minimal, tanpa fungsi tambahan sedikit pun. Jika Anda mengelola infrastruktur distribusi paket serius dan memerlukan opsi yang lebih fungsional, Anda dapat memperhatikan Kerangka Pembaruan (TUF): kerangka kerja fleksibel yang beradaptasi dengan mekanisme pembaruan perangkat lunak apa pun.



Pengembang menulis bahwa TUF digunakan dalam produksi oleh perusahaan seperti Cloudflare, Docker, DigitalOcean, Flynn, IBM, Microsoft, LEAP, Kolide dan Vmware, dan opsi TUF yang disebut Uptane banyak digunakan untuk memperbarui perangkat lunak otomotif melalui jaringan.

Implementasi TUF untuk Infrastruktur Paket Python: PEP 458 , PEP 480 . TUF didasarkan pada proyek Notaris dengan implementasi server klien yang siap digunakan dan terbukti.

Enkripsi file

Alternatif modern untuk nacl / box dan nacl / secretbox adalah program universal untuk mengenkripsi data apa pun. Mendukung enkripsi simetris dan asimetris, sandi dan protokol modern.

Keybase cocok untuk mengenkripsi pesan obrolan, email, file, atau data lainnya. Situs utama Keybase adalah katalog kunci publik yang memetakan profil jejaring sosial ke kunci enkripsi. Keybase juga menawarkan obrolan terenkripsi (Obrolan Keybase), sistem penyimpanan file berbasis cloud (Keybase atau sistem file KBFS) dan repositori Git.


Keyfase Mounted File System KBFS

Secara umum, ini adalah alternatif yang berfungsi penuh untuk PGP untuk enkripsi data.

Transfer File Terenkripsi

Pada abad terakhir, sudah biasa mengenkripsi file, melindunginya dengan kata sandi, dan mentransfernya sebagai lampiran melalui email. Opsi ini dimungkinkan hari ini, tetapi ada alternatif yang lebih modern. Sebagai contoh, layanan Kirim Firefox untuk bertukar file terenkripsi baru-baru ini meninggalkan beta . File dienkripsi di komputer pengirim, dan didekripsi di komputer penerima (JS di browser). Layanan ini menghasilkan tautan ke file dengan batas masa pakai atau jumlah unduhan.



Jika Anda tidak mempercayai JS, maka Anda dapat mengenkripsi file, misalnya, menggunakan program magic-wormhole . Program ini diinstal pada komputer pengirim dan penerima, menggunakan teknik kriptografi modern PAKE (perjanjian kunci terautentikasi -kata sandi) dan menghasilkan kata sandi dari beberapa kata, menerobos firewall dan mendukung Tor.



Kita hidup di abad ke-21. Ada banyak pilihan yang lebih baik daripada mengirim file terenkripsi melalui surat.



Sertifikat tanda tangan untuk dokumen Microsoft Office, Adobe PDF, LibreOffice, dll.

GlobalSign menyediakan berbagai kemampuan untuk menerapkan tanda tangan digital tepercaya . Dari desktop, server ke implementasi cloud. Lebih detail

---