PGP Tool

مقارنة · 6 دقيقة قراءة

PGP مقابل Signal — نماذج تهديد مختلفة وليست أدوات متنافسة

Signal للدردشة الفورية مع السرية الآنية. PGP للرسائل غير المتزامنة مع الهوية طويلة الأمد.

يحمي Signal الرسالة التي أرسلتها قبل 5 دقائق حتى لو صودر هاتفك غداً. يحمي PGP الرسالة التي أرسلتها قبل 5 سنوات طالما لم تتسرب عبارة مرورك. الأداة الخاطئة للعمل الخاطئ = حماية من المهاجم الخاطئ.

التشفير يبدو متشابهاً لكنه ليس كذلك

كلاهما يُشفّر بشكل كامل من طرف إلى طرف باستخدام عناصر حديثة (X25519، AES-256). الفرق يكمن فيما يُدوّر كلٌّ منهما.

PGP: زوج مفاتيح طويل الأمد. نفس المفتاح الخاص يفكّ تشفير كل ما تلقيته. إذا تمّ اختراقه، تنكشف جميع الرسائل السابقة.

Signal: Double Ratchet. كل رسالة تستخدم مفتاحاً جديداً. التقط الحالة اليوم، ورسائل الأمس مشفّرة بمفاتيح لم تعد موجودة في أي مكان.

هذه هي السرية الآنية (forward secrecy): نص الأمس المشفّر يبقى غير مقروء حتى بعد اختراق مفاتيح اليوم. PGP لا يمتلكها. Signal يمتلكها.

نماذج التهديد

  • PGP — يدافع ضد مهاجم شبكة أو خادم بريد معادٍ. يفشل حين يُخترق المفتاح الخاص + عبارة المرور، بأثر رجعي.
  • Signal — نفس الشيء بالإضافة إلى مهاجم يخترق النقطة الطرفية في نهاية المطاف. يحصلون على الرسائل المستقبلية؛ كل الأرشيف السابق لا يزال آمناً.
  • كلاهما — يفشلان إذا اختُرقت النقطة الطرفية في الوقت الفعلي (keylogger، تسجيل الشاشة).

الشكل التشغيلي

Signal: وقت فعلي. كلا الطرفين يحتاجان عملاء نشطين. مرتبط برقم الهاتف. مصمّم للدردشة والصوت والفيديو. الرسائل قد تختفي.

PGP: إرسال وتخزين وإعادة توجيه. أرسل لشخص غير متصل؛ يفكّ التشفير لاحقاً. متوافق مع البريد والملفات. الحساب هو مفتاحك الخاص — احتفظ بنسخة احتياطية وفكّ تشفير أرشيفك بعد 20 عاماً.

الهوية طويلة الأمد

لدى PGP هوية عامة مستقرة طويلة الأمد. يمكن أن تظهر بصمتك على مواقع الويب وبطاقات العمل وفي commits. أسماء مستخدمي Signal/أرقام الأمان مرتبطة بالحساب الحالي — إعادة التثبيت تغيّرها.

صحفي ينشر بصمة PGP للمصادر. مشرف يوقّع الإصدارات للمتحققين. لا أيٌّ من هذين السيناريوين يناسب Signal.

التوصية

  • الدردشة اليومية — Signal. السرية الآنية حقيقية ومهمة.
  • ملف مشفّر أو رسالة طويلة دون استعجال — PGP.
  • تلقّي رسالة من غريب عبر هوية منشورة — PGP.
  • التوقيع على إصدار برمجي — PGP.
  • التحقق من الهوية عبر السنوات — بصمات PGP.
  • معظم المستخدمين الواعين بالأمان يستخدمون كليهما.

السؤال الخاطئ: "أيّهما أفضل؟". السؤال الصحيح: "ما نموذج التهديد؟". إذا كانت السرية الآنية مهمة وكلا الطرفين يستخدمان Signal، استخدم Signal. إذا احتجت لهوية طويلة الأمد أو تشفير ملفات أو بريد إلكتروني، استخدم PGP.