Soy nuevo en OpenPGP, GnuPG y el concepto de pares de claves público-privadas. Tengo algunas preguntas en mi mente:
¿Es necesario que tenga una clave PGP (o OpenPGP)? Soy un programador de Android y un usuario ordinario de Linux.
En caso afirmativo, ¿necesito solo una clave PGP o necesitaré varias claves para diferentes propósitos?
¿Se cumple esta creencia? ¿Todos los usuarios de computadoras de hoy en día necesitan tener y usar claves PGP?
Por lo que sé sobre PGP, se basa en el concepto de Web Of Trust , donde la confianza es transitiva . PGP pertenece a infraestructura de clave pública , y su objetivo principal es proporcionar una base para la autenticación de clave pública , es decir, alguna clave pública pertenece realmente a una persona a la que la clave reclama pertenecer a. La autenticación aquí es implementada por mi usando mi clave privada para firmar la clave pública de alguien, para autenticar que son los verdaderos propietarios de la clave pública. Dado que las personas que me conocen y mi clave pública en persona pueden verificar mi firma utilizando mi clave pública, automáticamente "confiarán" en la clave pública de alguien que firmé. Esto plantea un problema de seguridad cuando creo erróneamente que la clave pertenece a alguien y la firmo. Entonces, mi web de confianza confiaría automáticamente en ese tipo malicioso. Dado que las personas en la red de confianza generalmente se conocen entre sí en persona, lo que hace que sea muy difícil participar, preservando así un cierto grado de privacidad dentro del grupo.
Entonces, volviendo a su pregunta, todo depende de si se necesita tal grado de privacidad, una privacidad a nivel de grupo, a la hora de decidir si usar o no PGP.
Necesita su propia clave pair si desea poder recibir archivos / correos electrónicos, solo puede descifrarlos o si desea enviar archivos / correos electrónicos firmados por usted. En ambos casos, sus corresponsales necesitarán una copia de su clave pública (podrán leer sus mensajes firmados, pero no validarán la firma sin una copia de la clave).
OpenPGP es un protocolo de cifrado asimétrico, lo que significa que está diseñado para
Permitir que cualquiera pueda cifrar cosas que solo el destinatario puede descifrar y
Para permitir que las personas "firmen" archivos para probar con (razonable) certeza la identidad del remitente y la integridad del mensaje.
El protocolo utiliza pares de claves que consisten en una clave pública que compartes con otros (o incluso publicas públicamente) y una clave privada que solo tú debes controlar. A menudo se utiliza para gestionar la seguridad del correo electrónico, pero también se puede aplicar a cualquier archivo / texto.
Con eso en mente:
En general, no es necesario tener un par de claves PGP para usar Linux o escribir programas de Android. (ver respuesta 3)
Si decide usar PGP, existen ventajas y desventajas para cada enfoque. Por lo general, un par de claves PGP está destinado a ser asignado a una identidad, lo que puede significar que un par de claves lo identifica, O bien, un par de claves lo identifica en el trabajo y otro par de claves lo identifica a título personal. El estándar OpenPGP admitirá cualquiera de los casos de uso y el que elija dependerá de la aplicación dada. Por ejemplo, si uso un par de claves PGP para firmar / cifrar correos electrónicos en el trabajo, es posible que mi empresa requiera una copia de seguridad de mi par de claves de cifrado privado en caso de que un bus me golpee. En este caso, optaría por la opción B para que no tengan una copia de mi clave privada personal.
Mi respuesta original para este punto fue completamente basada en la opinión, así que la omitiré. Técnicamente, no es obligatorio que todos los usuarios de computadoras utilicen PGP o cualquier tipo de cifrado. Es totalmente posible que todos utilicen computadoras que exponen continuamente todos los datos almacenados a todo el planeta.
Lea otras preguntas en las etiquetas public-key-infrastructure encryption gnupg pgp openpgp