[about] [index] [prev] [2019-02-16 15:50:28+03:00] [7cae9ba053ebd1c392fc0e68ced6ca9b006b2015]
Topics: [crypto]

Куча статей про выкидывание OpenPGP. Альтернативы?

За последние сутки увидел много статей о том что народ выкидывает OpenPGP:
https://nullprogram.com/blog/2017/03/12/
https://blog.filippo.io/giving-up-on-long-term-pgp/
https://blog.cryptographyengineering.com/2014/08/13/whats-matter-with-pgp/
https://blog.gtank.cc/modern-alternatives-to-pgp/
https://github.com/golang/go/issues/30141

Действительно, OpenPGP много где архаичен, плох. Однако просто так
полностью выкинуть его, не найдя/не предложив замену -- глупо. Что
предлагают люди? По сути то одну, то другую самописную утилиту для
разных задач (ведь OpenPGP много задач несвязанных покрывает).

По моему это всё плохие альтернативы, так как приводят к тому что люди
между собой не смогут при этом никак взаимодействовать. Один использует
одно, другой другое, OpenPGP хорош тем, что из коробки он идёт почти в
каждой ОС и он наверняка будет иметься. Его код, стандарт сложны, но за
столько времени с создания GnuPG оно уже вылизано очень хорошо.

Например задача по быстрому шифрованию с GnuPG не сделать -- лично я для
себя тоже написал самописный gohpenc: https://git.cypherpunks.ru/cgit.cgi/gohpenc.git/tree/README
Но надеяться что оно будет у других людей не стоит.

GnuPG хорош тем, что ключи для разных задач управляются в одном месте, в
одной БД, с одним интерфейсом. Это просто удобно.

Некоторые не предлагают альтернатив для передачи сообщений когда у нас
нет online канала для установления forward secrecy канала связи. Типа на
это вообще закрывают глаза, мол задачи такой нет. А молчат о ней
потому-что не могут придумать альтернативы.

Всё это можно сравнить с email системой. Она дико архаична,
переусложнена, по-хорошему требует замены, однако это единственный
способ связи который гарантированно есть у всех. Хочется заменить email?
Тогда нужно придумать и внедрить что-то одно на всех. А сейчас это
сплошные несвязанные разрозненные несовместимые платформы (один в
Telegram, другой в Jabber, третий в WhatsApp и никакой связи между ними
невозможно). Вот и с OpenPGP аналогично.

Кто сможет сделать SMTP 2.0 и заменить старьё? В современном Интернете
почти всем заправляют корпорации, не заинтересованные в кооперации.
Более того, они никогда не сделают что-то, что не требовало бы участия
третьих лиц (их серверов). Поэтому... поэтому надеяться ни на что не
приходится. Email как и другие де-факто системы созданы были
действительно для людей, а не для выкачивания денег.

[leave comment]