Estoy trabajando en la automatización de un proceso PGP y planeo reemplazar el uso de PGP con GPG. Pero necesito asegurarme de que GPG pueda ser un reemplazo.
¿GPG hace todo lo que PGP puede hacer? He investigado mucho y parece que la mayoría de las funciones básicas están disponibles, pero no puedo encontrar una opción de SDA en GPG.
Los archivos de autodescifrado son una mala idea.
Son una exposición de seguridad autoinfligida. ¿Está enviando un archivo ejecutable a alguien y pidiéndole que lo ejecute? Y luego, solo para agregar salsa en la parte superior, les está pidiendo que escriban su contraseña en este programa no confiable que obtuvieron de quién-sabe-quién? ¡Nueces! Eso es efectivamente entrenar a las personas a comportarse de una manera insegura. El uso de archivos de autodescifrado es solo pedir problemas en el futuro.
El uso de un archivo de autodescifrado es una declaración de que tienes un archivo tan sensible que necesita estar encriptado, pero tan inofensivo que le estás pidiendo al destinatario que sea cauteloso y que ignore las prácticas de seguridad estándar. Eso no tiene sentido.
Personalmente, creo que la falta de soporte de GPG para SDA es una característica, no un error.
Otros recursos:
No use archivos de auto-descifrado. "Los archivos de descifrado automático no son geniales en absoluto". "Los archivos de desencriptación automática son el sueño de un atacante de hombre en el medio hecho realidad".
¿Es posible crear APS con GnuPG? "Estos son una idea increíblemente mala. no. "
GnuPG realmente ofrece SDA, pero es solo un archivo zip autoextraíble con un archivo GPG y un script, que no es realmente una solución adecuada o portátil.
Las diferencias que conozco:
En términos de criptografía, no hay mucha diferencia, guarda el último punto. Como GPG tiene licencias muy liberales y es compatible con OpenPGP de todos modos, le sugiero que se mude a él.