Ich habe vor Kurzem mithilfe eines Yubikey mit GnuPG herumgespielt und es ist sehr schön, aber ich habe ein paar Bedenken, zu denen ich gerne eine Frage stellen möchte.
PGP scheint auf E-Mails und kurzlebige Nachrichten ausgerichtet zu sein. Ist der OpenPGP-Standard stabil genug, sodass ich eine Datei, die ich mit GnuPG verschlüssele, auch in 5 bis 10 Jahren noch entschlüsseln kann?
Ich frage nicht nach der langfristigen Stärke des Kryptoalgorithmus, den ich mit PGP verwenden möchte, sondern nach der Stabilität des Standards und der Abwärtskompatibilität.
Kurz gesagt: Ist PGP für die langfristige verschlüsselte Dateispeicherung geeignet? Oder ist das eine schlechte Praxis?
Zweitens scheint PGP aufgebläht zu sein und es werden viele Metadaten in die Dateien eingefügt. Gibt es eine Möglichkeit, die Rohchiffren wie beispielsweise AES/RSA zu verwenden, wie Sie es tun würden, wenn Sie die Verschlüsselung/Anmeldung beispielsweise in PyCrypto durchführen würden?
Da es jemand erwähnen wird, kenne und verwende ich VeraCrypt, was auch eine Option wäre. Aber ich mag die Einfachheit von PGP für meinen speziellen Anwendungsfall.
Antwort1
PGP gibt es seit gut 27 Jahren (seit 1991), es wurde ausgiebig getestet (auch von Regierungen, die versucht haben, es zu knacken) und funktioniert immer noch gut. Man kann die Zukunft nicht vorhersagen, aber man kann davon ausgehen, dass es noch mindestens 5 oder 10 Jahre lang verfügbar sein wird. Es sieht nach einer guten Praxis aus.
Sichere Verschlüsselung ist nicht wirklich ein gutes DIY-Projekt. Sie könnten die Verschlüsselungscodes selbst finden und versuchen, sie direkt zu verwenden, aber es gibt Unmengen nicht sehr offensichtlicher Fehler, die die Sicherheit drastisch reduzieren können (wie das Finden einer guten Zufallszahl und eines Schlüssels für eine). SogarOpenSSL encscheint keine besonders gute Arbeit zu leisten(MD5-Hash mit festem Iterationszähler von 1).