GPG和我

2020-11-30 05:08:32

我收到很多来自陌生人的电子邮件。我的电子邮件地址是公开的,如今看来这不是一个受欢迎的选择,但是多年来,我收到了很多鼓舞人心的信件,以至于不再赘述。

但是,当我收到来自陌生人的GPG加密电子邮件时,我立即感觉到我不想阅读它。有时我实际上打算为他们创建一个过滤器,以使他们完全绕过我的收件箱,但是现在我叹了一口气,解锁我的钥匙,开始阅读,而且–带着一丝微弱的希望-通常令人失望。

我并没有开始以这种方式思考。毕竟,我的网站甚至在我的电子邮件地址下都贴有我的GPG密钥。在过去的十年中,这种感觉逐渐在我身上蔓延开来,但是我并没有立即了解它的来源。这些电子邮件的内容没有明显的统一主题,它们总是认真写的,而不是垃圾邮件或某种形式的骚扰。

最终,我意识到,当我收到GPG加密的电子邮件时,仅表示该电子邮件是由自愿使用GPG的人撰写的。我并不是说有人在乎隐私,因为我认为我们都在乎隐私。尝试GPG的人似乎有些特别之处,并得出结论,这是在生活中引入私人交流以与陌生人随意通信的现实途径。

我越来越不想再成为这个俱乐部了。

1997年,互联网发展的曙光初现,隐私增强技术的可行假设很简单:我们会为自己开发真正灵活的电动工具,然后教大家像我们一样。每个彼此发送消息的人只需要了解密码学的基本原理。

GPG是该起源故事的结果。 GPG并非以简单的界面来开发自以为是的软件,而是以尽可能强大和灵活的方式编写。底层密码是SERPENT还是IDEA还是TwoFish取决于用户。 GnuPG手册页超过一万六千字;为了进行比较,小说《华氏451》只有40k字。

更糟糕的是,事实证明,没有其他人发现所有这些东西都令人着迷。即使GPG已经存在了将近20年,“强集”中也只有约50,000个密钥,而且从未向SKS密钥服务器池发布过少于400万个密钥。按照今天的标准,这是一个令人震惊的小用户群,仅需进行不到一个月的活动,就可以节省20年的时间。

除了设计理念外,技术本身也是那个时代的产物。正如马修·格林(Matthew Green)指出的那样,“通过OpenPGP实施戳戳就像参观1990年代加密货​​币博物馆。”该协议反映了密码学(和软件工程学)真正成熟所花费的20多年来积累的各方面知识,而PGP的基本体系结构也没有为诸如保密性之类的关键概念留出空间。

所有这些行李都被蒸馏成OpenPGP规格的膨胀半影和注释,如此丰富,以至于几乎无法掌握整个图片。即使是从事在GPG之上编写简化体验的过程中的项目,也要遭受这一遗产的困扰:Mailpile必须编写1400行python代码,才能与本机GnuPG安装进行基本操作,但这仍然不是一成不变的。

如今,记者使用GPG与来源进行安全通信,激进主义者使用GPG来协调全球范围,软件公司使用GPG来帮助保护其基础设施。一些真正的英雄人物付出了巨大的努力,付出了巨大的个人代价,却很少获得支持,就把我们带到了这里。

但是,展望未来,我认为GPG是一个光荣的实验,并且一直在进行。依赖它的记者经常与之斗争,并经常搞砸(“我向您发送私钥以私下交流,对吗?”),使用它的激进主义者相对谨慎(“等等,这件事要我的指纹吗?”) ),默认情况下,没有其他明智的人愿意使用它。甚至那些试图将其用作依赖项的项目都在挣扎。

这些是深层的结构问题。 GPG并不是要带我们无所不用其极地结束加密的事情,如果是的话,最终以1990年的加密技术到达那里将是一种耻辱。如果有什么好消息,那就是GPG的最小安装量意味着我们不会陷入这种疯狂,而是可以从不同的设计理念重新开始。当我们这样做时,让我们对新实验使用GPGas警告,并记住“创新对1000件事说'不'。”

在1990年代,我对未来感到兴奋,我梦想着每个人都可以安装GPG的世界。现在,我仍然对未来充满信心,但我梦想着可以卸载它的世界。