it-swarm-id.com

Apa perbedaan PGP dari S / MIME?

Apakah S/MIME sistem abstrak untuk enkripsi tipe MIME umum, sedangkan PGP lebih untuk email? Mengapa saya ingin memilih satu di antara yang lain, atau bisakah saya menggunakan keduanya sekaligus?

73
Tyler Gillies

Ringkasan: S/MIME dan PGP keduanya memberikan "email aman" tetapi menggunakan penyandian berbeda, format, alat pengguna, dan model distribusi utama.


S/MIME membangun lebih --- MIME dan CMS . MIME adalah cara standar untuk memasukkan data sewenang-wenang ke dalam email, dengan "tipe" (indikasi eksplisit tentang apa yang dimaksud dengan data) dan gazillions aturan penyandian dan detail interoperabilitas lainnya. CMS berarti "Sintaksis Pesan Kriptografis": ini adalah format biner untuk mengenkripsi dan menandatangani data. CMS bergantung pada sertifikat X.509 untuk distribusi kunci publik. X.509 dirancang untuk mendukung hirarki PKI top-down: sejumlah kecil masalah "otoritas sertifikasi root" (mis. Menandatangani) sertifikat untuk banyak pengguna (atau mungkin CA perantara); sertifikat pengguna berisi namanya (dalam konteks email, alamat emailnya) dan kunci publiknya, dan ditandatangani oleh CA. Seseorang yang ingin mengirim email ke Bob akan menggunakan sertifikat Bob untuk mendapatkan kunci publiknya (diperlukan untuk mengenkripsi email tersebut, sehingga hanya Bob yang dapat membacanya); memverifikasi tanda tangan pada sertifikat Bob adalah cara untuk memastikan bahwa pengikatannya asli, mis. ini benar-benar kunci publik Bob, bukan kunci publik orang lain.

PGP sebenarnya merupakan implementasi dari standar OpenPGP (secara historis, OpenPGP didefinisikan sebagai cara untuk menstandarkan apa yang sudah ada PGP perangkat lunak melakukannya, tetapi sekarang ada implementasi lain, khususnya opensource gratis GnuPG ). OpenPGP mendefinisikan metode enkripsi sendiri (mirip dalam fungsionalitas dengan CMS) dan format pengkodean, khususnya lapisan pengkodean yang disebut "ASCII Armor" yang memungkinkan data biner untuk bepergian tanpa terluka dalam email (tetapi Anda juga dapat mencampur MIME dan OpenPGP ). Untuk distribusi kunci publik, OpenPGP bergantung pada Web of Trust : Anda dapat melihat itu sebagai PKI terdesentralisasi di mana semua orang adalah CA potensial. Fondasi keamanan WoT adalah redundansi: Anda dapat mempercayai kunci publik karena telah ditandatangani oleh banyak orang (gagasannya adalah jika penyerang "tidak dapat menipu semua orang untuk waktu yang lama ").

Secara teoritis , dalam konteks perusahaan, WoT tidak berfungsi dengan baik; hirarki PKI X.509 lebih tepat, karena dapat dibuat agar sesuai dengan struktur keputusan perusahaan yang dibayangkan, sedangkan WoT bergantung pada karyawan yang membuat keputusan kebijakan keamanan mereka sendiri.

Dalam praktiknya , meskipun sebagian besar perangkat lunak email sudah menerapkan S/MIME (bahkan Outlook Express telah menerapkan S/MIME selama sekitar satu dekade), proses pendaftaran sertifikat adalah kompleks dengan interaksi dengan entitas eksternal, dan memerlukan beberapa intervensi manual. Dukungan OpenPGP biasanya membutuhkan penambahan plugin, tetapi plugin itu dilengkapi dengan semua yang diperlukan untuk mengelola kunci. Web of Trust tidak benar-benar digunakan: orang bertukar kunci publik mereka dan memastikan pengikatan melalui media lain (mis. Mengeja "sidik jari kunci" - nilai hash kunci - melalui telepon). Kemudian orang simpan salinan kunci publik dari orang yang biasanya bertukar email dengan (dalam "keyring" PGP), yang memastikan keamanan yang sesuai dan tidak ada kerumitan. Ketika saya perlu bertukar email aman dengan pelanggan, saya menggunakan PGP seperti itu.

OpenPGP juga digunakan, sebagai format tanda tangan, untuk tugas-tugas non-email lainnya, seperti paket perangkat lunak penandatanganan digital di beberapa distribusi Linux (setidaknya Debian dan Ubuntu melakukan itu).

71
Thomas Pornin

Semua IP dirancang untuk memfasilitasi aliran transmisi data yang aman dan lancar dalam jaringan. S/MIME dan PGP keduanya protokol yang digunakan untuk otentikasi dan privasi untuk pesan melalui internet. PGP, singkatan dari Pretty Good Privacy, adalah program komputer enkripsi dan dekripsi data yang menawarkan privasi kriptografi dan otentikasi untuk transmisi data Internet. PGP banyak digunakan untuk menandatangani, mengenkripsi dan mendekripsi data elektronik untuk memaksimalkan masalah keamanan pertukaran data. Protokol S/MIME mengacu pada Perpanjangan Email Internet Aman/Serbaguna. S/MIME baru-baru ini termasuk dalam versi terbaru dari browser web dari perusahaan perangkat lunak terkenal seperti Microsoft dan Netscape dan juga telah diterima secara luas oleh banyak vendor di seluruh dunia. Itu juga didorong sebagai standar untuk enkripsi kunci publik dan penandatanganan data MIME. S/MIME didasarkan pada standar IETF dan paling umum didefinisikan dalam dokumen RFC. S/MIME menyediakan otentikasi, integritas pesan, dan penolakan asal dari Layanan keamanan data untuk aplikasi transmisi data elektronik.

S/MIME sangat mirip dengan PGP dan pendahulunya. S/MIME berasal dari format data PKCS # 7 untuk pesan, dan format X.509v3 untuk sertifikat. Enkripsi PGP menggunakan kombinasi serial hashing, kompresi data, kriptografi kunci simetris, dan kriptografi kunci publik.

Saat menggunakan PGP, satu pengguna memiliki kemampuan untuk memberikan secara langsung kunci publik ke pengguna lain atau pengguna kedua dapat memperoleh kunci publik dari pengguna pertama. PGP tidak mengamanatkan kebijakan untuk menciptakan kepercayaan dan karenanya setiap pengguna bebas untuk menentukan panjang kepercayaan pada kunci yang diterima. Dengan S/MIME, pengirim atau penerima tidak bergantung pada pertukaran kunci terlebih dahulu dan berbagi sertifikasi umum yang dapat diandalkan keduanya.

S/MIME dianggap lebih unggul daripada PGP dari perspektif administratif karena kekuatannya, dukungan untuk manajemen kunci terpusat melalui server sertifikat X.509 dan dukungan industri yang luas. PGP lebih rumit dari perspektif pengguna akhir, karena memerlukan plug-in atau unduhan tambahan untuk beroperasi. Protokol S/MIME memungkinkan sebagian besar vendor untuk mengirim dan menerima email terenkripsi tanpa menggunakan perangkat lunak tambahan.

S/MIME nyaman karena transformasi yang aman dari semua aplikasi seperti spreadsheet, grafik, presentasi, film dll., Tetapi PGP berasal untuk mengatasi masalah keamanan email biasa atau pesan teks. S/MIME juga sangat terjangkau dari segi biayanya.

Ringkasan: S/MIME dan protokol PGP menggunakan format berbeda untuk pertukaran kunci. PGP bergantung pada pertukaran kunci masing-masing pengguna. S/MIME menggunakan pengesah yang divalidasi secara hierarkis untuk pertukaran kunci. PGP dikembangkan untuk mengatasi masalah keamanan pesan teks biasa. Tetapi S/MIME dirancang untuk mengamankan semua jenis lampiran/file data. Saat ini, S/MIME dikenal mendominasi industri elektronik yang aman karena dimasukkan ke dalam banyak paket email komersial. Produk S/MIME lebih tersedia, dan dengan harga lebih rendah, daripada produk PGP.

13
nikoo28

Jika Anda "membaca yang tersirat" di entri wikipedia, Anda dapat mendekati jawaban. S/MIME :

adalah standar untuk enkripsi kunci publik dan penandatanganan data MIME

di mana MIME adalah standar untuk mengangkut lebih dari sekadar ASCII teks ke sistem surat SMTP asli. Anda mengintegrasikan S/MIME dengan sertifikat digital Anda, dibeli (dengan demikian dicap dan disertifikasi oleh CA) atau secara lokal diproduksi (dengan demikian ditandatangani sendiri).

Sedangkan untuk PGP saya akan menggambarkannya sebagai aplikasi luar yang menangani enkripsi/penandatanganan yang dapat diintegrasikan secara transparan dengan aplikasi email Anda dan menyediakan layanan tersebut. Setiap pengguna mendapatkan pasangan kunci publik-privatnya dan menggunakannya untuk semua operasi.

Seperti yang ditunjukkan oleh @chris, model kepercayaan di mana masing-masing beroperasi sedikit berbeda tetapi IMHO ini tidak membuat satu atau yang lain kurang aman.

Dalam praktiknya kedua solusi memiliki kunci yang dapat dipertukarkan. Anda dapat menggunakan pasangan kunci yang diterbitkan PGP dengan S/MIME aplikasi surat Anda dan (saya pikir) sebaliknya. Seseorang tolong perbaiki saya di yang terakhir ini ...

Faktor penentu utama bagi saya adalah biaya:

[~ # ~] pgp [~ # ~] : solusi perangkat lunak yang sesuai dengan kebutuhan Anda + biaya pembaruan perangkat lunak + biaya administrasi untuk pertukaran kunci

dibandingkan dengan:

S/MIME : biaya administrasi untuk menjalankan server sertifikat untuk sertifikat yang diproduksi secara lokal + biaya administrasi untuk distribusi kunci publik OR biaya pembelian sertifikat dari biaya perpanjangan CA +

Jangan lupa bahwa sebagian besar klien email sudah mendukung S/MIME "di luar kotak", mengurangi biaya asli dalam kasus ini.

8
George

Beberapa tahun kemudian, tetapi saya percaya itu harus menjadi penting. Di Eropa, tanda tangan digital harus menggunakan CMS karena ekstensi yang ditentukan (CAdES, XAdES dll).

Oleh karena itu, PGP tidak berguna di bidang itu dan S/MIME adalah satu-satunya cara untuk pergi.

0

Menambahkan beberapa perspektif dari 2018: efail terjadi. Ini menambahkan beberapa perspektif yang menarik, karena pada awalnya OpenPGP dan S/MIME rentan. Tetapi OpenPGP sebagian besar diperbaiki karena semua implementasi penting membuat MDC (modifikasi deteksi pemeriksaan) wajib. Masalah untuk S/MIME adalah, tidak ada yang seperti MDC. Dengan demikian tetap rentan. Dari apa yang saya mengerti itu adalah argumen penting untuk mendukung OpenPGP yang terdesentralisasi daripada S/MIME.

0
foss

S/MIME tergantung pada SSL PKI: Anda memiliki sertifikat SSL dengan kunci publik Anda, dan fakta bahwa itu ditandatangani oleh otoritas sertifikat (CA) "membuktikan" itu benar-benar kunci Anda. PGP di sisi lain tidak memiliki PKI: Anda memeriksa apakah kunci publik seseorang benar-benar miliknya dengan meminta dia mengatakannya sementara menunjukkan memiliki paspor (pihak penandatangan kunci) atau mempercayai mereka kunci karena banyak orang lain telah melakukan pemeriksaan ini dan menandatangani kuncinya.

Dengan perkembangan terbaru dalam keamanan CA, saya akan mengatakan ada alasan yang sangat besar untuk tidak mempercayai S/MIME :-) Sementara model "web of trust" PGP tidak sesederhana digunakan seperti S/MIME, ia menyediakan lebih banyak keamanan jika Anda berusaha.

Kedua sistem akhirnya menggunakan enkripsi asimetris dengan cara, mereka benar-benar berbeda dalam bagaimana kepercayaan pada kunci publik didirikan.

0
chris