TLS เป็นโปรโตคอลการเข้ารหัสมาตรฐานบนอินเทอร์เน็ต และเว็บไซต์จำนวนมากใช้โปรโตคอลนี้เพื่อความปลอดภัยในการสื่อสาร อย่างไรก็ตาม สำหรับการใช้งานส่วนตัว คนส่วนใหญ่ใช้โปรโตคอลอื่น เช่น PGP แทนการใช้คีย์/ใบรับรอง TLS
ดูเหมือนจะไม่มีเหตุผลใดที่จะไม่ใช้ TLS สำหรับสิ่งเหล่านี้ หรืออย่างน้อยก็ในส่วนของการเข้ารหัส/การเซ็นชื่อ ส่วนการขนส่งของ TLS ไม่จำเป็นเสมอไป เนื่องจากผู้คนมีความต้องการที่แตกต่างกัน
เหตุใดผู้คนจึงใช้ PGP (และโปรโตคอล/เครื่องมืออื่นๆ เช่น age/signify) แทนที่จะใช้คีย์ TLS โดยตรง มีเหตุผลทางเทคนิคใดหรือไม่ที่ทำเช่นนั้น
สิ่งเหล่านี้เป็นโปรโตคอลที่แตกต่างกันและมีจุดประสงค์ที่แตกต่างกัน
TLS เป็นโปรโตคอลออนไลน์ระหว่างสองฝ่าย ได้รับการออกแบบมาเพื่อรับรองความปลอดภัยของการเชื่อมต่อระหว่างจุดสิ้นสุดสองจุดของการเชื่อมต่อ การเชื่อมต่อเป็นแบบชั่วคราวและทั้งสองฝ่ายต้องออนไลน์พร้อมกันด้วยแบนด์วิธที่เพียงพอ
OpenPGP เป็นโปรโตคอลออฟไลน์ สามารถใช้เพื่อเข้ารหัสข้อมูลระหว่างสองฝ่ายที่อาจไม่เคยออนไลน์ในเวลาเดียวกัน โดยทั่วไปจะใช้เพื่อลงนามข้อมูลสำหรับการแจกจ่ายซอฟต์แวร์ (หรือการใช้งานอื่น ๆ) โดยฝ่ายหนึ่งซึ่งฝ่ายอื่นได้รับและตรวจสอบในภายหลัง
หากคุณต้องการใช้คีย์ X.509 และใบรับรองที่ใช้สำหรับ TLS คุณสามารถใช้ CMS ซึ่งเป็นโปรโตคอลแบบออฟไลน์ได้เช่นกัน เป็นที่นิยมน้อยกว่ามากในชุมชนโอเพ่นซอร์ส เนื่องจากโดยทั่วไปแล้วใบรับรองที่ต้องการจะมีกรอบเวลาที่สั้นกว่าและมักมีค่าใช้จ่าย ซึ่งนำไปสู่การนำไปใช้ที่ลดลง
ในหลายกรณี คำตอบคือทั้งสองอย่างเป็นความคิดที่ดี โดยทั่วไป คุณควรให้บริการการเชื่อมต่อ HTTP ทั้งหมดผ่าน TLS ในปัจจุบัน และหากคุณกำลังเผยแพร่ซอฟต์แวร์ คุณอาจต้องการใช้ลายเซ็นดิจิทัลบางประเภทเพื่อตรวจสอบความถูกต้อง TLS เป็นสิ่งสำคัญในการป้องกันการเปิดเผยข้อมูลที่ถ่ายโอนในกรณีที่ข้อมูลนั้นละเอียดอ่อน (ด้วยเหตุผลทางกฎหมายหรืออย่างอื่น) และลายเซ็นดิจิทัล (เช่น ผ่าน OpenPGP) หมายความว่าผู้โจมตีที่สามารถบุกรุกที่เก็บข้อมูลของเซิร์ฟเวอร์ระยะไกลไม่สามารถแจกจ่ายซอฟต์แวร์ที่แก้ไขได้ โดยมีเงื่อนไขว่าคีย์จะถูกเก็บไว้ที่อื่น
bk2204 ให้คำตอบอย่างละเอียดโดยอธิบายว่าเป็นโปรโตคอลที่แตกต่างกันสำหรับวัตถุประสงค์ที่แตกต่างกัน TLS กำลังออนไลน์และ PGP/GPG กำลังออฟไลน์
อย่างไรก็ตาม ฉันจะโต้แย้งในหลายกรณีว่า TLS ทำให้ PGP ซ้ำซ้อนจริงๆ เดิมที PGP ได้รับการออกแบบมาเพื่อรักษาความปลอดภัยของอีเมล แต่ไม่ค่อยมีใครใช้สำหรับการนั้น และส่วนใหญ่ในปัจจุบันมีไว้เพื่อตรวจสอบความถูกต้องและความสมบูรณ์ของซอฟต์แวร์
เหตุผลที่ PGP ไม่มีประสิทธิภาพเนื่องจากผู้ใช้ส่วนใหญ่ไม่ได้สร้างเว็บที่น่าเชื่อถือ เราไม่เข้าร่วมฝ่ายลงนามที่สำคัญและตรวจสอบคีย์ที่ใช้ในการตรวจสอบคีย์ที่ใช้ในการตรวจสอบซอฟต์แวร์ ผู้ใช้ส่วนใหญ่ได้รับคีย์ PGP ที่พวกเขาเชื่อถือสำหรับการลงนามซอฟต์แวร์โดยการดาวน์โหลดคีย์จากเว็บไซต์ที่น่าเชื่อถือ สิ่งนี้ได้รับการรักษาความปลอดภัยด้วย TLS และรับรองความถูกต้องโดยใช้ CA ที่เชื่อถือได้
เมื่อแจกจ่ายซอฟต์แวร์เฉพาะกิจ PGP จะไม่มีการรักษาความปลอดภัยหากคุณเพิ่งดาวน์โหลดรหัสจากเว็บไซต์เดียวกัน เว็บไซต์โดมเพิ่งเผยแพร่แฮชของไฟล์ คุณจึงตรวจสอบได้แม้ว่าจะเสิร์ฟแยกกันก็ตาม คุณเชื่อถือแฮชเพราะคุณเชื่อถือ TLS ไม่ใช่แฮช
ด้วยตัวจัดการแพ็คเกจ PGP ที่ด้านบนของ TLS จะให้ความปลอดภัยเมื่อเราจำคีย์ได้ ผู้ใช้เพิ่มซอฟต์แวร์ด้วยรหัสที่มีอยู่บ่อยกว่าที่พวกเขาเพิ่มรหัสใหม่ แม้ว่าจะได้รับคีย์จริงผ่าน TLS
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
