GPG/PGP رمزگذاری و احراز هویت ایمیل بر پایه 

یکی دیگر از مواردی که احتمالاً متوجه اشاره من به آن شده‌اید، شرکت‌هایی هستند که حاضرند کلید PGP خود را در اختیار مشتریان قرار دهند تا بتوانند از طریق ایمیل و رمزگذاری PGP با تیم پشتیبانی در ارتباط باشند.

در ابتدا، بیایید تفاوت بین PGP و GPG را روشن کنیم.
PGP مخفف Pretty Good Privacy است و در سال ۱۹۹۱ توسط فیل زیمرمن توسعه یافت.
GPG یا Gnu Privacy Guard نسخه‌ی متن‌باز و توسعه‌یافته‌ای از همین فناوری است که در سال ۱۹۹۹ منتشر شد.

OpenPGP در واقع استانداردی است که هر دو نرم‌افزار از آن پیروی می‌کنند. بنابراین، زمانی که مردم از کلید GPG صحبت می‌کنند، در حقیقت منظورشان همان کلید PGP است که از طریق برنامه‌هایی مانند GPG Keychain برای سیستم‌عامل مک ساخته شده‌اند.

در وب‌سایت من، کلیدم با عنوان G/PGP ذکر شده است، چون در اصل یک کلید PGP است که با استفاده از نرم‌افزار GPG ایجاد شده.

در پشت صحنه‌ی این فناوری، رمزنگاری RSA قرار دارد. RSA بر پایه‌ی ایجاد یک جفت کلید خصوصی و عمومی منحصربه‌فرد برای هر کاربر عمل می‌کند. می‌توان این دو کلید را به دو قطعه‌ی پازلی تشبیه کرد به اندازه‌ی یک زمین فوتبال، با صدها هزار شیار ریز در هر طرف. تنها همین دو قطعه هستند که کاملاً در هم چفت می‌شوند و به این ترتیب، امنیت و منحصر‌به‌فرد بودن ارتباط تضمین می‌شود.

دسته‌بندی‌های مرتبط در رهنما:

ایمیل خصوصی (Privacy Email)
رمزنگاری فایل‌ها (File Encryption)

به‌طور معمول، کلیدهای PGP برای دو هدف اصلی به کار می‌روند: ارتباط امن و رمزگذاری‌شده و امضای پیام‌ها برای تأیید اصالت آن‌ها. پس از تولید کلید، فرد کلید عمومی خود را منتشر می‌کند و آن را در سرورهای مخصوصی در اینترنت بارگذاری می‌کند تا دیگران بتوانند آن را دریافت کنند.

اما کلید خصوصی شما، که با یک گذرواژه‌ی طولانی محافظت می‌شود، باید کاملاً محرمانه باقی بماند و هرگز نباید به‌صورت عمومی منتشر شود.

وقتی کلید عمومی شما منتشر شد، دیگران می‌توانند با استفاده از آن پیام‌هایی را برای شما رمزگذاری کنند که فقط با کلید خصوصی شما قابل رمزگشایی هستند. همچنین شما می‌توانید یک پیام را امضا کنید تا از تغییر نکردن آن محافظت کنید. در این حالت، گیرنده‌ها می‌توانند با استفاده از کلید عمومی شما، اصالت پیام را بررسی کنند. حتی اگر تنها یک فاصله از متن حذف شده باشد، تأییدیه امضا با شکست مواجه می‌شود و دریافت‌کننده متوجه می‌شود که پیام تغییر کرده است. این موضوع به‌ویژه برای پیام‌های امنیتی از طرف شرکت‌ها یا وب‌سایت‌ها بسیار کاربردی‌ست—برای مثال، امضای اطلاعیه‌ها و به‌روزرسانی‌ها به کاربران ثابت می‌کند که پیام واقعاً از سوی مالک وب‌سایت ارسال شده، نه از طرف یک هکر یا نهاد دولتی.

اخیراً من نسخه‌ی ProtonMail Plus را تهیه کردم، که باعث شد نام دامنه‌ام را به ProtonMail متصل کنم تا ایمیل‌ها از طریق سرورهای آن‌ها مسیردهی شوند. این به این معنی بود که آدرس ایمیلی که در کلید PGP اصلی‌ام استفاده کرده بودم، با ایمیلی که اکنون به‌طور عمومی منتشر می‌کردم متفاوت بود—هرچند که هر دو به همان صندوق ورودی ختم می‌شدند. در اینجا می‌توانید روش من برای جابجایی به یک کلید جدید با ایمیل جدید را ببینید، به‌نحوی که اعتماد کاربران سابق حفظ شود و هیچ سوءبرداشتی در مورد امنیت یا اعتبارم پیش نیاید. این کار الزامی برای همه نیست، اما من می‌خواستم مطمئن شوم که تغییر کلید به‌هیچ‌وجه شبیه به حمله یا نفوذ جلوه نکند.

اگر شما هم در چنین موقعیتی قرار دارید، توصیه می‌کنم تولید کلید را در سیستمی انجام دهید که به اینترنت متصل نیست و برنامه GPG مورد استفاده‌تان فایروال شده باشد تا ارتباطی با سرورهای کلید نداشته باشد. آخرین چیزی که می‌خواهید، این است که یک نرم‌افزار مخرب، کلید خصوصی‌تان را بدون اطلاع شما در جایی بارگذاری کند. بله، کلید خصوصی شما باید با یک گذرواژه بسیار قوی محافظت شود، اما نباید دزدیدن آن هم کار ساده‌ای باشد.
برنامه GPG شما برای وارد کردن کلید نیازی به اتصال اینترنت ندارد، چون وارد کردن کلیدها با روش کپی/پیست بسیار آسان است—پس هیچ دلیلی وجود ندارد که اجازه‌ی دسترسی آن به اینترنت را بدهید.