it-swarm-tr.com

PGP'nin S / MIME'den farkı nedir?

S/MIME, genel MIME türü şifreleme için soyut bir sistem midir, oysa PGP e-posta için daha fazladır? Neden birini diğerinden seçmek isteyeyim, yoksa ikisini aynı anda kullanabilir miyim?

73
Tyler Gillies

Özet: S/MIME ve PGP'nin her ikisi de "güvenli e-posta" sağlar, ancak farklı kodlamalar, biçimler, kullanıcı araçları ve anahtar dağıtım modelleri kullanır.


S/MIME , MIM ve CMS üzerine kurulur. MIME, "tür" (verinin ne anlama geldiğinin açık bir göstergesi) ve kodlama kuralları ve diğer birlikte çalışabilirlik ayrıntılarıyla dolu e-postalara rastgele verileri yerleştirmenin standart bir yoludur. CMS "Şifreleme Mesajı Sözdizimi" anlamına gelir: verileri şifrelemek ve imzalamak için ikili bir biçimdir. CMS, ortak anahtar dağıtımı için X.509 sertifikaları kullanır. X.509 yukarıdan aşağıya hiyerarşik PKI'yı desteklemek üzere tasarlanmıştır: birçok kullanıcı (veya muhtemelen ara CA) için az sayıda "kök sertifika yetkilileri" sorunu (yani imza); bir kullanıcı sertifikası adını (e-posta bağlamında, e-posta adresini) ve genel anahtarını içerir ve bir CA tarafından imzalanır. Bob'a bir e-posta göndermek isteyen biri, ortak anahtarını almak için Bob'un sertifikasını kullanacaktır (e-postayı şifrelemek için gereklidir, böylece sadece Bob okuyabilir); Bob'un sertifikasındaki imzayı doğrulamak, bağlantının gerçek olduğundan emin olmanın bir yoludur, yani bu aslında başka birinin ortak anahtarı değil, Bob'un ortak anahtarıdır.

PGP aslında OpenPGP standardının bir uygulamasıdır (tarihsel olarak, OpenPGP önceden var olanı standartlaştırmanın bir yolu olarak tanımlanmıştır PGP yazılım yaptı, ancak şimdi başka uygulamalar da var, özellikle ücretsiz açık kaynak GnuPG ). OpenPGP kendi şifreleme yöntemlerini (CMS işlevselliğine benzer şekilde) ve kodlama formatlarını, özellikle de ikili verilerin e-postalarda zarar görmeden seyahat etmesini sağlayan "ASCII Armor" adlı bir kodlama katmanını tanımlar (ancak ayrıca MIME ve OpenPGP'yi karıştırabilirsiniz) ). Ortak anahtar dağıtımı için, OpenPGP Web of Trust 'a güvenir: Bunu, herkesin potansiyel bir CA olduğu merkezi olmayan bir PKI olarak görebilirsiniz. WoT'un güvenlik temeli artıklık: çok kişi tarafından imzalanmış olduğu için bir ortak anahtara güvenebilirsiniz (fikir, bir saldırgan " herkesi uzun süre kandırın ").

Teorik olarak , kurumsal bağlamda, WoT iyi çalışmıyor; X.509 hiyerarşik PKI daha uygundur, çünkü öngörülen şirketlerin karar verici yapısıyla eşleşebilirken, WoT kendi güvenlik politikası kararlarını veren çalışanlara güvenmektedir.

Uygulamada , e-posta yazılımlarının çoğu zaten S/MIME kullanıyor olsa da (Outlook Express yaklaşık bir on yıldır S/MIME uygulamış olsa bile), sertifika kayıt işlemi harici varlıklarla etkileşimlerle karmaşıktır ve bazı manuel müdahaleler gerektirir. OpenPGP desteği genellikle bir eklenti eklemeyi gerektirir, ancak bu eklenti anahtarları yönetmek için gerekli olan her şeyle birlikte gelir. Güven Web gerçekten kullanılmaz: insanlar ortak anahtarlarını değiştirir ve başka bir ortam üzerinde bağlanma sağlarlar (örneğin, "anahtar parmak izi" - anahtarın karma değeri - telefon üzerinden yazılır). Daha sonra insanlar keep genellikle e-posta alışverişinde bulundukları kişilerin genel anahtarlarının bir kopyası (PGP "anahtarlığında"), bu da uygun güvenliği sağlar ve zahmetsizdir. Müşterilerle güvenli e-posta alışverişi yapmam gerektiğinde PGP'yi bu şekilde kullanıyorum.

OpenPGP, imza formatı olarak, bazı Linux dağıtımlarında yazılım paketlerini dijital olarak imzalama gibi diğer e-posta olmayan görevler için de kullanılır (en azından Debian ve Ubuntu bunu yapar).

71
Thomas Pornin

Tüm IP'ler ağdaki veri iletiminin güvenli ve sorunsuz akışını kolaylaştırmak için tasarlanmıştır. S/MIME ve PGP, internet üzerinden mesajların kimlik doğrulaması ve gizliliği için kullanılan protokollerdir. PGP, Oldukça İyi Gizlilik anlamına gelir, İnternet veri iletimi için şifreleme gizliliği ve kimlik doğrulaması sunan bir veri şifreleme ve şifre çözme bilgisayar programıdır. PGP, veri alışverişinin güvenlik sorunlarını en üst düzeye çıkarmak için elektronik verilerin imzalanması, şifrelenmesi ve şifresinin çözülmesi için yaygın olarak kullanılmaktadır. S/MIME protokolü Güvenli/Çok Amaçlı İnternet Posta Uzantıları anlamına gelir. S/MIME son zamanlarda Microsoft ve Netscape gibi ünlü yazılım şirketlerinin web tarayıcılarının en son sürümlerine dahil edilmiştir ve ayrıca dünyanın her yerindeki birçok satıcı tarafından geniş çapta kabul görmüştür. Ayrıca ortak anahtar şifrelemesi ve MIME verilerinin imzalanması için bir standart olarak da kullanılır. S/MIME, bir IETF standardını temel alır ve en yaygın olarak RFC belgelerinde tanımlanır. S/MIME, elektronik veri iletim uygulamaları için Orijin ve veri güvenliği hizmetlerinin kimlik doğrulamasını, mesaj bütünlüğünü ve reddedilmemesini sağlar.

S/MIME, PGP ve seleflerine çok benzer. S/MIME, iletiler için PKCS # 7 veri biçiminden ve sertifikalar için X.509v3 biçiminden türetilir. PGP şifrelemesi, karma, veri sıkıştırma, simetrik anahtar şifrelemesi ve açık anahtar şifrelemesinin seri bir kombinasyonunu kullanır.

PGP kullanırken, bir kullanıcı başka bir kullanıcıya doğrudan bir ortak anahtar verme yeteneğine sahiptir veya ikinci kullanıcı ortak anahtarı ilk kullanıcıdan alabilir. PGP güven oluşturma ilkesini zorunlu kılmaz ve bu nedenle her kullanıcı alınan anahtarlara güvenme süresine karar vermekte serbesttir. S/MIME ile, gönderen veya alıcı önceden anahtar değişimine güvenmez ve her ikisinin de güvenebileceği ortak bir sertifikayı paylaşmaz.

S/MIME, gücü, X.509 sertifika sunucuları aracılığıyla merkezi anahtar yönetimi desteği ve kapsamlı endüstri desteği nedeniyle idari açıdan PGP'den üstün kabul edilir. PGP, son kullanıcı bakış açısından daha karmaşıktır, çünkü çalışması için ek eklentiler veya indirmeler gerektirir. S/MIME protokolü, çoğu satıcının ek yazılım kullanmadan şifreli e-posta göndermesine ve almasına olanak tanır.

S/MIME, elektronik tablolar, grafikler, sunumlar, filmler vb.Gibi tüm uygulamaların güvenli dönüşümü nedeniyle uygundur, ancak düz e-posta veya metin mesajlarının güvenlik endişelerini gidermek için PGP kaynaklanmıştır. S/MIME maliyeti açısından da oldukça uygun fiyatlı.

Özet: S/MIME ve PGP protokolleri anahtar değişimi için farklı formatlar kullanır. PGP, her kullanıcının anahtar değişimine bağlıdır S/MIME, anahtar değişimi için hiyerarşik olarak doğrulanmış sertifikalayıcı kullanır. PGP, düz metin mesajlarının güvenlik sorunlarını gidermek için geliştirilmiştir. Ancak S/MIME, her türlü eki/veri dosyasını güvence altına almak için tasarlanmıştır. Günümüzde S/MIME'nin birçok elektronik e-posta paketine dahil olduğu için güvenli elektronik endüstrisine hakim olduğu bilinmektedir. S/MIME ürünleri, PGP ürünlerinden daha kolay ve daha düşük fiyatlar için mevcuttur.

13
nikoo28

Wikipedia girişlerinde "satırlar arasında okursanız" bir cevaba yaklaşabilirsiniz. S/MIME :

ortak anahtar şifrelemesi ve MIME verilerinin imzalanması için bir standarttır

burada MIME, orijinal SMTP posta sistemi üzerinden basit ASCII metinden fazlasını taşımak için standarttır. S/MIME'yi, satın alınan (CA tarafından damgalanan ve onaylanan) veya yerel olarak dijital sertifikalarınızla entegre edersiniz üretilir (böylece kendinden imzalı).

PGP'ye gelince, bunu e-posta uygulamanızla şeffaf bir şekilde entegre olabilen ve bu tür hizmetleri sağlayabilen bir dış uygulama işleme şifreleme/imzalama olarak tanımlayacağım. Her kullanıcı genel-özel anahtar çiftini alır ve bunu tüm işlemler için kullanır.

@Chris'in işaret ettiği gibi, her birinin üzerinde çalıştığı güven modelleri biraz farklıdır, ancak IMHO bu birini veya diğerini daha az güvenli hale getirmez.

Uygulamada, iki çözümde az çok değiştirilebilir anahtarlar bulunur. Posta uygulamanızın S/MIME ve (tam tersi) tersine PGP tarafından verilen bir anahtar çifti kullanabilirsiniz. Birisi lütfen bu sonuncusunda beni düzeltin ...

Benim için temel karar faktörü maliyet olacaktır:

[~ # ~] pgp [~ # ~] : ihtiyaçlarınıza uygun yazılım çözümü + yazılım yenileme maliyetleri + önemli değiş tokuşlar için yönetim maliyetleri

nazaran:

S/MIME : yerel olarak üretilen sertifikalar için sertifika sunucusu çalıştırmanın yönetim maliyeti + ortak anahtar dağıtımı için yönetim maliyetleri OR CA + yenileme ücretlerinden sertifika satın alma maliyeti

Çoğu e-posta istemcisinin S/MIME'ı "kutudan çıkarıldığını" desteklediğini ve bu durumda orijinal maliyetleri düşürdüğünü unutmayın.

8
George

Birkaç yıl sonra, bunun önemli olması gerektiğine inanıyorum. Avrupa'da, dijital imzalar tanımlanan uzantılar (CAdES, XAdES vb.) Nedeniyle CMS kullanmak zorundadır.

Bu nedenle, PGP bu alanda işe yaramaz ve S/MIME tek yoludur.

0

2018'den biraz perspektif ekleyerek: efail oldu. İlk başta hem OpenPGP hem de S/MIME savunmasız olduklarından ilginç bir bakış açısı ekliyor. Ancak OpenPGP çoğunlukla MDC'yi (değişiklik algılama kontrolü) zorunlu kılan tüm önemli uygulamalar nedeniyle sabittir. S/MIME için sorun olsa da, MDC gibi bir şey yok. Böylece savunmasız kalır. Anladığım kadarıyla, S/MIME yerine merkezi olmayan OpenPGP'yi tercih etmek için önemli bir argüman.

0
foss

S/MIME, SSL PKI'ya bağlıdır: açık anahtarınızla bir SSL sertifikanız var ve sertifika yetkilisi (CA) tarafından imzalanmış olması bunun gerçekten sizin anahtarınız olduğunu "kanıtlıyor". Öte yandan PGP'nin bir PKI'sı yok: Bir kişinin ortak anahtarının gerçekten ona ait olup olmadığını kontrol ederek pasaportu (anahtar imzalayan taraf) gösterirken veya anahtarlarına güvenerek, başka birçok insan bu kontrolü yaptığını ve imzaladığını kontrol ederek anahtarı.

CA güvenliğindeki son gelişmelerle, S/MIME'ye güvenmemek için çok büyük bir neden olduğunu söyleyebilirim :-) PGP "güven ağı" modeli S/MIME kadar basit olmasa da, çaba gösterirseniz çok daha fazla güvenlik.

Her iki sistem de bu arada asimetrik şifreleme kullanıyor, bir ortak anahtara güvenme konusunda gerçekten farklılar.

0
chris