PGP / OpenPGP Pretty Good Privacy — kriptografi kunci publik untuk manusia
Kriptografi yang memungkinkan orang asing di sisi lain planet ini memverifikasi bahwa sebuah dokumen benar-benar milik kami.
Skema kriptografi kunci publik untuk menandatangani dan mengenkripsi file, pesan, dan rilis perangkat lunak, awalnya ditulis oleh Phil Zimmermann pada 1991. Distandarisasi sebagai OpenPGP (RFC 4880, diperbarui oleh RFC 9580 pada 2024). Implementasi perangkat lunak bebas referensinya adalah GnuPG (gpg). Digunakan untuk memverifikasi integritas rilis perangkat lunak, menandatangani email, mengenkripsi file saat diam, dan mengautentikasi identitas melalui saluran out-of-band.
PGP adalah cara kami membuat pernyataan kami sendiri dapat diverifikasi.
TLS membuktikan bahwa Anda berbicara dengan server yang dikendalikan oleh domain pada sertifikat; ini tidak membuktikan bahwa NordBastion sebagai organisasi mengatakan sesuatu yang spesifik. Untuk pernyataan yang perlu tidak dapat dipalsukan — warrant canary, laporan transparansi, artefak rilis, saran yang ditandatangani — TLS tidak cukup. PGP adalah lapisan yang hilang.
Kunci publik kami terdaftar di /pgp/ beserta sidik jarinya. Warrant canary ditandatangani PGP setiap periode; laporan transparansi membawa tanda tangan terpisah; arsip rilis dikirim dengan file .asc. Siapa pun yang memiliki salinan kunci publik kami dapat menjalankan `gpg --verify` dan memiliki kepastian kriptografis bahwa dokumen yang mereka pegang diproduksi oleh pemegang kunci privat yang cocok dan tidak telah diubah sejak saat itu.
Sisi lainnya: PGP hanya berfungsi jika Anda memeriksa sidik jari kunci terhadap sumber independen. Halaman /pgp/ mencantumkan sidik jarinya, mirror Tor kami mencantumkannya, profil keybase/sosial kami mencantumkannya; Anda harus membandingkan setidaknya dua sebelum mempercayai kunci yang baru diimpor. Ini adalah bagian yang tidak nyaman dari protokol dan juga merupakan bagian yang memberikan properti yang sebenarnya diinginkan oleh sistem lainnya.
Halaman yang mengandalkan istilah ini.
Pertanyaan yang sebenarnya orang tanyakan.
Apa yang sebenarnya dilakukan PGP?
Dua hal yang saling berkaitan. Pertama, ia menandatangani file dan pesan secara digital sehingga siapa pun dengan kunci publik Anda dapat memverifikasi bahwa dokumen tersebut benar-benar berasal dari Anda dan tidak dimanipulasi — inilah yang diandalkan oleh warrant canary, laporan transparansi, dan arsip rilis. Kedua, ia mengenkripsi file dan pesan untuk penerima tertentu sehingga hanya pemegang kunci privat yang cocok yang dapat mendekripsinya.
Apa perbedaan antara PGP dan OpenPGP?
PGP adalah program asli yang ditulis oleh Phil Zimmermann pada tahun 1991, kemudian dikomersialisasikan. OpenPGP adalah standar terbuka yang diturunkan dari format file dan protokol PGP, pertama kali ditentukan dalam RFC 2440 (1998) dan saat ini didefinisikan oleh RFC 9580 (2024). Ketika orang mengatakan "PGP" hari ini, mereka hampir selalu merujuk pada implementasi OpenPGP — biasanya GnuPG (gpg), yang merupakan referensi perangkat lunak bebas.
Apa bedanya PGP dengan TLS?
TLS mengautentikasi server selama koneksi aktif dan mengenkripsi saluran antara dua endpoint — ini adalah privasi lapisan tautan yang hilang begitu koneksi ditutup. PGP mengautentikasi manusia atau organisasi di balik sepotong data dan mengenkripsi data tersebut sehingga tetap terenkripsi di disk, dalam email, dalam pita cadangan, selamanya. TLS melindungi percakapan; PGP melindungi dokumen.
Bagaimana cara memverifikasi tanda tangan PGP NordBastion?
Impor kunci penandatanganan dari /pgp/ ke dalam keyring GnuPG lokal Anda (`gpg --import nordbastion.asc`), periksa fingerprint terhadap yang diterbitkan di situs dan idealnya terhadap salinan out-of-band (mirror Tor, postingan media sosial), kemudian jalankan `gpg --verify