OpenPGP incluye administración de claves
De la introducción a RFC 4880, OpenPGP (resaltado agregado ser yo):
El software OpenPGP utiliza una combinación de clave pública sólida y
Criptografía simétrica para proporcionar servicios de seguridad para electrónica.
Comunicaciones y almacenamiento de datos. Estos servicios incluyen
confidencialidad, gestión de claves , autenticación y digital
firmas.
En otras palabras, OpenPGP no solo se trata de enviar mensajes cifrados, sino que también ofrece un conjunto de funciones mucho más amplio en torno a la administración de claves. La gestión de claves significa la posibilidad de buscar su clave en los servidores de claves (¡pero no están autenticados allí!), Pero también los usuarios de OpenPGP emiten certificaciones entre sus claves de OpenPGP para garantizar la autenticidad (por ejemplo, lea sobre las personas que firman claves). ). Todo esto requiere claves para tener nombres adjuntos.
Claves OpenPGP "anónimas"
¿Por qué me piden mi nombre o correo electrónico?
No está obligado a hacerlo (aunque sí lo hacen algunas implementaciones de OpenPGP): las claves OpenPGP pueden existir sin ID de usuario, y todas las fechas pueden configurarse de manera bastante arbitraria (aunque se debe proporcionar una marca de tiempo de creación de clave, pero podría simplemente proporcione una marca de tiempo de 0 igual a 1970-01-01).
Considere que las claves no tendrían información de usuario adjunta: tendría que intercambiar la clave completa compuesta por miles de bytes aleatorios manualmente, y conectarla de alguna manera a una identidad si desea usarla.
Otra cosa sospechosa fue después de la hora en que debería expirar la clave. ¿La información sobre la fecha de vencimiento está contenida en la clave (no creo que lo sea)? Entonces, ¿la clave está almacenada en un servidor en algún lugar o qué? ¿Cómo funciona?
Hasta la fecha de caducidad no es obligatorio, puede hacer que sean válidos para siempre. En realidad, la fecha de caducidad realmente no se suma a la seguridad en absoluto , podría ser razonable, no obstante.
Debe distinguir entre el par de clave pública / privada real (por ejemplo, los números primos utilizados para RSA) y una clave OpenPGP. Una clave OpenPGP está compuesta por los números para los trabajos criptográficos, pero también información adicional como ID de usuarios, certificaciones y configuraciones como la fecha de caducidad. Puede ver fácilmente toda la información en una clave OpenPGP ejecutando
gpg --export [key-id] | gpg --list-packets
(algunas lecturas en RFC 4880 vinculadas anteriormente pueden ser necesarias para obtener una comprensión razonable de la salida).
OpenPGP está distribuido
La razón por la que pregunto es que todo este asunto de PGP parece más centralizado de lo que pensaba.
No hay una instancia central en el entorno OpenPGP. Las claves se intercambian a través de una red de servidores de claves descentralizada, la confianza se valida a través de la red de confianza OpenPGP en lugar de un sistema PKI jerárquico como el conocido por X.509 (usado para S / MIME, TLS, ...).
Hay algunas autoridades centrales en la comunidad de OpenPGP: existen autoridades de certificación como CAcert, la alemana Heise Verlag y Governikus que emiten certificaciones para los titulares de la nueva tarjeta de identidad digital alemana, pero no es necesario utilizar (o confiar) ellos. Existe una coordinación bastante central en la red del servidor clave (el grupo SKS ), pero también puede elegir un servidor arbitrario, no usar servidores clave en absoluto o incluso alojar su propio!
OpenPGP es un estándar abierto
¿Por qué el software PGP no puede simplemente tener un botón "Generar una nueva clave" que genere tanto la clave pública como la privada para que yo pueda copiar y usar (+ por supuesto, una opción para cifrar / descifrar texto)?
OpenPGP es un estándar abierto. Si alguien desea un software que haga exactamente esto (y como ya mencioné, el estándar OpenPGP permite las claves "simples" sin una gran cantidad de metainformación), puede hacerlo. La razón por la que dicho software no existe (o no se conoce ampliamente) es que las personas no ven una buena razón para escribir o tener dicho software.
Si solo desea utilizar RSA y AES sin ninguna administración de claves y las capacidades avanzadas de OpenPGP, probablemente sea mejor que use estándares más primitivos.