Tengo entendido que PGP permite múltiples claves públicas, y en SSL solo puede extraer una clave pública. ¿Es esto correcto? ¿Hay algún breve nivel de bajada entre los dos? No siento que haya entendido realmente cómo funciona SSL, y me encantaría entenderlo mejor.
PGP es un formato para mensajes encriptados y / o firmados, y la administración asociada de pares de claves asimétricas, destinada a correos electrónicos. SSL (ahora conocido como TLS) es un protocolo para establecer un túnel bidireccional seguro para datos binarios, sobre un túnel bidireccional inseguro existente para datos binarios.
Por lo tanto, ambos sistemas se aplican a situaciones muy diferentes y no son comparables. Sin embargo, un punto común es que, en ambos casos, una entidad (el remitente del correo electrónico para PGP, el cliente SSL para SSL) debe obtener la clave pública de otra entidad (el destinatario del correo electrónico, el servidor SSL) y usarla. Llamemos a A y B , respectivamente, estas dos entidades. En ambos casos, B puede tener varios pares de claves. Sin embargo, la dinámica difiere:
PGP funciona en una situación de "correo electrónico". El correo electrónico es unidireccional y un disparo. No hay diálogo. A debe poder obtener suficiente información sobre B y sus claves para generar el correo electrónico, y B debe saber lo suficiente como para procesar el correo electrónico entrante sin tener que pedir a A más datos. Esto implica que A debe obtener una copia de la clave pública de B , y si hay varias de esas claves, A elige qué clave será utilizar.
SSL funciona para conexiones bidireccionales. El cliente A y el servidor B se comunican entre sí, siguiendo un proceso denominado "handshake", en el que A y B B envía su clave pública (en un certificado). Si B tiene varias teclas, entonces B elige la que se usará (una que es compatible con los algoritmos negociados, por supuesto).
Ese es el alcance de la comparación entre los dos protocolos: en PGP, el remitente / cliente elige la clave, que en el servidor / destinatario SSL elige la clave. Aparte de eso, son demasiado diferentes en uso y contexto para ser comparados de manera significativa.
Consulte esta respuesta para obtener una introducción sobre cómo funciona SSL.
Para bajar las teclas:
Ambos (PGP y SSL) tienen un par de claves pública / privada. Estas claves son básicamente las mismas para ambas tecnologías.
La diferencia principal es cómo se firman las claves públicas (para crear un certificado).
En SSL, usted usa un certificado X.509 que está firmado por otra entidad. También es posible autofirmar tal clave. Entonces la clave debe ser confiada en sí misma. Todos los certificados raíz (de CA) son certificados autofirmados.
En PGP, la clave pública está firmada por otro propietario de claves PGP. Si suficientes personas firmaron la clave y el receptor confía en esta gente, entonces usted también confía en esta clave. Esto forma una web de confianza sin ninguna entidad raíz.
Para SSL, también puede tener un conjunto de claves como en PGP (y tendrá si usa certificados de cliente). Estos anillos de claves normalmente son administrados por su aplicación (como el navegador o un cliente de correo electrónico).
Cuando envía un correo electrónico firmado / encriptado con PGP, también usará una sola clave para este correo electrónico. Es igual que la clave única utilizada con un servidor SSL.
Entonces, la principal diferencia entre ambas tecnologías es el manejo del certificado (firma de claves públicas).
Lea otras preguntas en las etiquetas public-key-infrastructure tls pgp openssl