PGP vs Age — cuándo elegir la herramienta moderna de cifrado de archivos

Age (pronunciado "ah-gay") fue lanzado en 2019 por Filippo Valsorda. Hace cifrado de archivos — eso es todo. PGP puede hacer eso junto a otras dos docenas de cosas. La pregunta es si la superficie adicional ayuda o perjudica.

Qué hace cada uno

Age hace cifrado de archivos. Eso es todo. Sin firmas, sin red de confianza, sin servidores de claves, sin fechas de expiración, sin subclaves, sin MIME, sin integración de correo. Formato: X25519 + ChaCha20-Poly1305.

PGP hace cifrado de archivos, cifrado de mensajes, firmas, certificación de claves, revocación, múltiples algoritmos, múltiples tipos de claves, expiración, subclaves, soporte de tarjetas inteligentes, integración de correo y un protocolo federado de descubrimiento de claves. Es un kit. Age es una herramienta.

Criptografía

• Age — X25519 ECDH + ChaCha20-Poly1305 + HKDF. Una elección de algoritmo, moderno, sin modos legado.
• PGP — RSA/ElGamal/ECDH + AES-128/192/256/IDEA/3DES/Camellia. Décadas de opciones de legado.
• Ambos criptográficamente sólidos en configuración predeterminada. Age tiene una superficie de ataque más pequeña por tener menos controles.

Identidad y descubrimiento

Las identidades Age son cadenas ASCII cortas: age1ql3z7hjy54... y AGE-SECRET-KEY-1.... Sin ID de usuario, sin correo, sin expiración, sin cadena de firma.

Las claves PGP llevan IDs de usuario, fechas de creación, expiración, firmas y pueden buscarse por correo en servidores de claves. Los metadatos permiten funciones como "cifrar para [email protected] sin pedirle primero su clave" — pero hacen que las claves sean grandes y el formato complejo.

Firma

PGP firma. Age no. La posición de Filippo: la firma debería ser una herramienta separada (signify, minisign, ssh-keygen -Y sign). Mezclarlas es lo que hizo tan grande la especificación de PGP.

Si necesitas verificar la procedencia, PGP lo da en una operación. Con Age cifras con Age y firmas con otra cosa.

Ecosistema

• PGP — cada distribución Linux, clientes de correo, firma de GitHub, firma de paquetes, décadas de usuarios.
• Age — un binario Go, un port de Rust (rage), buen empaquetado, integración con sops. Creciendo pero pequeño.

Recomendación

• Cifrar para un destinatario técnico conocido con Age instalado — Age.
• Cifrar para alguien con quien no has correspondido — PGP (clave publicada vinculada al correo).
• Correo electrónico — PGP. Age no tiene formato de correo.
• Secretos en un repositorio de configuración Git — Age via sops.
• Firma — PGP si quieres una herramienta para ambos, o emparejar Age con minisign.

Age es para "cifrar esto para una persona de la que ya tengo una identidad". PGP es para "cifrar para alguien del que solo tengo un correo, o firmar para probar procedencia". No están en competencia; responden a frases diferentes.