PGP vs Age — wann das moderne Dateiverschlüsselungstool die bessere Wahl ist

Age (ausgesprochen "ah-gay") wurde 2019 von Filippo Valsorda veröffentlicht. Es macht Dateiverschlüsselung — das ist alles. PGP kann das auch, neben zwei Dutzend anderen Dingen. Die Frage ist, ob die zusätzliche Oberfläche hilft oder schadet.

Was jedes Tool macht

Age macht Dateiverschlüsselung. Das wars. Keine Signaturen, kein Web of Trust, keine Keyserver, keine Ablaufdaten, keine Subkeys, kein MIME, keine E-Mail-Integration. Format: X25519 + ChaCha20-Poly1305.

PGP macht Dateiverschlüsselung, Nachrichtenverschlüsselung, Signaturen, Schlüsselzertifizierung, Widerruf, mehrere Algorithmen, mehrere Schlüsseltypen, Ablaufdaten, Subkeys, Smartcard-Unterstützung, E-Mail-Integration und föderierte Schlüsselentdeckung. Es ist ein Baukasten. Age ist ein Werkzeug.

Kryptografie

• Age — X25519 ECDH + ChaCha20-Poly1305 + HKDF. Eine Algorithmuswahl, modern, keine Legacy-Modi.
• PGP — RSA/ElGamal/ECDH + AES-128/192/256/IDEA/3DES/Camellia. Jahrzehnte an Legacy-Optionen.
• Beide kryptografisch solide bei Standardeinstellungen. Age hat eine kleinere Angriffsfläche durch weniger Knöpfe.

Identität und Entdeckung

Age-Identitäten sind kurze ASCII-Zeichenketten: age1ql3z7hjy54... und AGE-SECRET-KEY-1.... Keine User-ID, keine E-Mail, kein Ablaufdatum, keine Signaturkette.

PGP-Schlüssel tragen User-IDs, Erstellungsdaten, Ablauf, Signaturen und können per E-Mail auf Keyservern nachgeschlagen werden. Die Metadaten ermöglichen Features wie "verschlüssle an [email protected] ohne erst nach ihrem Schlüssel zu fragen" — machen aber Schlüssel groß und das Format komplex.

Signierung

PGP signiert. Age nicht. Filippos Position: Signierung sollte ein separates Tool sein (signify, minisign, ssh-keygen -Y sign). Das Mischen ist das, was die PGP-Spec so groß machte.

Wenn du Herkunft prüfen musst, gibt PGP das in einer Operation. Mit Age verschlüsselst du mit Age und signierst mit etwas anderem.

Ökosystem

• PGP — jede Linux-Distribution, Mail-Clients, GitHub-Signierung, Paketsignierung, Jahrzehnte an Nutzern.
• Age — ein Go-Binary, ein Rust-Port (rage), gutes Packaging, sops-Integration. Wächst, aber klein.

Empfehlung

• Verschlüsseln für einen bekannten technischen Empfänger mit installiertem Age — Age.
• Verschlüsseln für jemanden, mit dem du noch nicht korrespondiert hast — PGP (veröffentlichter E-Mail-gebundener Schlüssel).
• E-Mail — PGP. Age hat kein E-Mail-Format.
• Secrets in einem Git-Config-Repo — Age via sops.
• Signierung — PGP wenn du ein Tool für beides willst, oder Age mit minisign paaren.

Age ist für "verschlüssle das für eine Person, für die ich bereits eine Identität habe". PGP ist für "verschlüssle für jemanden, von dem ich nur eine E-Mail-Adresse habe, oder signiere für Herkunftsnachweis". Nicht in Konkurrenz; Antworten auf verschiedene Sätze.