PGP / OpenPGP Pretty Good Privacy — insanlar için açık anahtarlı kriptografi
Gezegenin öte ucundaki bir yabancının bir belgenin gerçekten bize ait olduğunu doğrulamasına olanak tanıyan kriptografi.
Dosyaları, mesajları ve yazılım sürümlerini imzalamak ve şifrelemek için kullanılan, aslen 1991'de Phil Zimmermann tarafından yazılan açık anahtar kriptografi şeması. OpenPGP olarak standartlaştırılmıştır (RFC 4880, 2024'te RFC 9580 ile güncellendi). Referans özgür yazılım uygulaması GnuPG'dir (gpg). Yazılım sürümlerinin bütünlüğünü doğrulamak, e-posta imzalamak, dosyaları beklemedeyken şifrelemek ve bant dışı kanal üzerinden kimliği doğrulamak için kullanılır.
PGP, kendi beyanlarımızı doğrulanabilir kılma yöntemimizdir.
TLS, sertifikadaki alan adı tarafından kontrol edilen bir sunucuyla konuştuğunuzu kanıtlar; ancak NordBastion organizasyonunun belirli bir şey söylediğini kanıtlamaz. Sahte olması imkânsız olması gereken ifadeler için — tutuklama kanarya bildirimi, şeffaflık raporları, yayın eserleri, imzalı tavsiyeler — TLS yeterli değildir. PGP eksik katmandır.
Genel anahtarlarımız parmak izleriyle birlikte /pgp/ adresinde listelenmektedir. Arama emri kanaryası her dönem PGP ile imzalanır; şeffaflık raporu ayrı bir imza taşır; sürüm arşivleri .asc dosyalarıyla gönderilir. Genel anahtarımızın bir kopyasına sahip olan herkes `gpg --verify` çalıştırabilir ve elindeki belgenin eşleşen özel anahtarın sahibi tarafından üretildiğine ve o tarihten bu yana değiştirilmediğine kriptografik kesinlikte sahip olabilir.
Öte yandan: PGP yalnızca anahtarın parmak izini bağımsız bir kaynakla karşılaştırırsanız çalışır. /pgp/ sayfası parmak izini listeler, Tor aynamız listeler, keybase / sosyal profillerimiz listeler; yeni aktarılmış bir anahtara güvenmeden önce en az ikisini karşılaştırmalısınız. Bu protokolün elverişsiz tarafıdır ve aynı zamanda sistemin geri kalanının gerçekten istediği özelliği sağlayan kısımdır.
İnsanların gerçekten sorduğu sorular.
PGP gerçekte ne işe yarar?
Birbiriyle ilişkili iki şey. Birincisi, dosyaları ve mesajları dijital olarak imzalar; böylece açık anahtarınıza sahip olan herkes bir belgenin gerçekten sizden geldiğini ve üzerinde değişiklik yapılmadığını doğrulayabilir — mahkeme kararı kanaryası, şeffaflık raporu ve sürüm arşivleri buna dayanır. İkincisi, dosyaları ve mesajları belirli bir alıcı için şifreler; böylece yalnızca eşleşen özel anahtarın sahibi şifreyi çözebilir.
PGP ile OpenPGP arasındaki fark nedir?
PGP, Phil Zimmermann tarafından 1991'de yazılan ve daha sonra ticarileştirilen orijinal programdır. OpenPGP, PGP'nin dosya formatından ve protokolünden türetilen açık standarttır; ilk olarak RFC 2440'ta (1998) belirtilmiş ve şu anda RFC 9580 (2024) ile tanımlanmaktadır. İnsanlar bugün "PGP" dediğinde neredeyse her zaman bir OpenPGP uygulamasını kastederler — genellikle özgür yazılım referansı olan GnuPG (gpg).
PGP, TLS'den nasıl farklıdır?
TLS, canlı bir bağlantı sırasında sunucunun kimliğini doğrular ve iki uç nokta arasındaki hattı şifreler — bağlantı kapandığında ortadan kalkan bağlantı katmanı gizliliğidir. PGP, bir veri parçasının arkasındaki kişi veya kuruluşun kimliğini doğrular ve o veriyi diskte, e-postada, yedekleme bandında sonsuza kadar şifreli kalacak şekilde şifreler. TLS konuşmayı korur; PGP belgeyi korur.
NordBastion PGP imzasını nasıl doğrularım?
İmzalama anahtarını /pgp/ adresinden yerel GnuPG anahtar zincirinize aktarın (`gpg --import nordbastion.asc`), parmak izini sitede yayınlanan ile karşılaştırın ve ideal olarak bant dışı bir kopyayla (Tor ayna, sosyal medya gönderisi) doğrulayın, ardından `gpg --verify