تميمة الدب القطبي لـ NordBastion في مكتبة شمالية ليلاً، تنحني فوق طاولة قراءة طويلة من خشب البلوط مغطّاة بقواميس مفتوحة وأوراق موقَّعة بـ PGP تحت ضوء مصابيح شفقية زرقاء

مدخل المسرد · بدائية أمنية

PGP / OpenPGP Pretty Good Privacy — تشفير المفتاح العام للبشر

التشفير الذي يتيح لغريب على الجانب الآخر من الكوكب التحقق من أن وثيقة لنا فعلاً.

التعريف

الإنجليزية البسيطة

نظام تشفير مفتاح عام لتوقيع وتشفير الملفات والرسائل وإصدارات البرامج، كُتب أصلاً من قِبل Phil Zimmermann في 1991. مُوحّد كـ OpenPGP (RFC 4880، مُحدّث بـ RFC 9580 في 2024). التنفيذ البرمجي الحر المرجعي هو GnuPG (gpg). يُستخدم للتحقق من سلامة إصدارات البرامج، توقيع الرسائل الإلكترونية، تشفير الملفات في حالة الراحة، والمصادقة على الهوية عبر قناة خارج النطاق.

لماذا يهمّ في NordBastion

PGP هو كيف نجعل بياناتنا قابلة للتحقق.

TLS يُثبت أنك تتحدث مع خادم يتحكم به النطاق الموجود على الشهادة؛ ولا يُثبت أن NordBastion كمنظمة قالت شيئاً محدداً. للبيانات التي يجب أن تكون غير قابلة للتزوير — warrant canary، تقارير الشفافية، قطع الإصدار، الاستشارات الموقَّعة — TLS لا يكفي. PGP هو الطبقة المفقودة.

مفاتيحنا العامة مُدرجة على /pgp/ مع البصمات. warrant canary مُوقَّع بـ PGP في كل فترة؛ تقرير الشفافية يحمل توقيعاً منفصلاً؛ أرشيفات الإصدار تأتي بملفات .asc. أي شخص لديه نسخة من مفتاحنا العام يستطيع تشغيل `gpg --verify` والحصول على يقين تشفيري بأن الوثيقة التي يحملها أنتجها حامل المفتاح الخاص المطابق ولم تُعدَّل منذ ذلك الحين.

الوجه الآخر: PGP يعمل فقط إذا فحصت بصمة المفتاح مقابل مصدر مستقل. صفحة /pgp/ تُدرج البصمة، مرآة Tor لدينا تُدرجها، ملفات keybase / الاجتماعية لدينا تُدرجها؛ يجب عليك مقارنة اثنتَين على الأقل قبل الثقة بمفتاح مستورَد حديثاً. هذا هو الجزء غير المريح من البروتوكول وهو أيضاً الجزء الذي يمنح الخاصية التي يريدها بقية النظام فعلاً.

مصطلحات ذات صلة

اقرأ بعد ذلك.

TLS التشفير من الطرف إلى الطرف SSH إشعار المراقبة

أين يظهر على هذا الموقع

الصفحات التي تستند إلى هذا المصطلح.

الأسئلة الشائعة · PGP

الأسئلة التي يطرحها الناس فعلاً.

ماذا يفعل PGP فعلاً؟

أمران مرتبطان. أولاً، يُوقّع رقمياً الملفات والرسائل بحيث يستطيع أي شخص لديه مفتاحك العام التحقق من أن الوثيقة جاءت منك فعلاً ولم يُعبَث بها — هذا ما يعتمد عليه warrant canary وتقرير الشفافية وأرشيفات الإصدار. ثانياً، يُشفّر الملفات والرسائل لمستلم محدد بحيث يستطيع فقط حامل المفتاح الخاص المطابق فك تشفيرها.

ما الفرق بين PGP وOpenPGP؟

PGP كان البرنامج الأصلي الذي كتبه Phil Zimmermann في 1991، تجارياً لاحقاً. OpenPGP هو المعيار المفتوح المُشتق من تنسيق ملف PGP وبروتوكوله، حُدّد أولاً في RFC 2440 (1998) ومُعرَّف حالياً بـ RFC 9580 (2024). عندما يقول الناس "PGP" اليوم، يكادون يعنون دائماً تنفيذ OpenPGP — عادةً GnuPG (gpg)، وهو المرجع البرمجي الحر.

كيف يختلف PGP عن TLS؟

TLS يُصادق على خادم أثناء اتصال مباشر ويُشفّر السلك بين نقطتَين طرفيتَين — هو خصوصية طبقة رابط تختفي بمجرد إغلاق الاتصال. PGP يُصادق على الإنسان أو المنظمة وراء قطعة من البيانات ويُشفّر تلك البيانات بحيث تبقى مشفّرة على القرص، في البريد الإلكتروني، في شريط نسخ احتياطي، إلى الأبد. TLS يحمي المحادثة؛ PGP يحمي الوثيقة.

كيف أتحقق من توقيع PGP لـ NordBastion؟

استورد مفتاح التوقيع من /pgp/ إلى keyring GnuPG المحلي (`gpg --import nordbastion.asc`)، تحقق من البصمة مقابل تلك المنشورة على الموقع ومن الأفضل مقابل نسخة خارج النطاق (مرآة Tor، منشور وسائل تواصل اجتماعي)، ثم نفّذ `gpg --verify .asc`. سطر "Good signature from..." يعني أن الوثيقة سليمة وقد وُقّعت من قِبل حامل المفتاح الخاص المقابل.