PGP dans le navigateur vs GPG sur le bureau — quand utiliser lequel

GnuPG (GPG) est l'implémentation PGP canonique — en service depuis 1997, scrutée par tous les sysadmins paranoïaques, intégrée dans les gestionnaires de paquets, les clients mail et l'infrastructure de signature. Un outil navigateur est différent. Les deux coexistent pour des usages différents.

GPG sur le bureau

Points forts : trousseau de clés permanent, intégration de jetons matériels (YubiKey, Nitrokey), scripting en ligne de commande, des décennies d'historique d'audit, intégration mail/paquets/SSH. Si vous signez ou chiffrez quotidiennement, c'est la réponse.

Points faibles : nécessite une installation, des droits admin, une courbe d'apprentissage CLI abrupte. Impossible sur un PC emprunté ou un Chromebook.

PGP dans le navigateur (cette application)

Points forts : zéro installation, fonctionne partout avec un navigateur, utilisable hors ligne en tant que PWA, pas besoin d'admin. Même qualité de bibliothèque crypto (OpenPGP.js est audité). Utile pour apprendre, comme canal de secours, pour un chiffrement ponctuel rapide.

Points faibles : pas de trousseau persistant entre sessions ; pas d'intégration de jeton matériel ; la confiance repose sur l'intégrité du HTML/JS servi (atténuée par HTTPS, CSP et le cache PWA).

Recommandation

• Utilisateur quotidien avec un travail sensible — GPG avec jeton matériel. Navigateur en secours.
• Utilisateur occasionnel qui chiffre tous les quelques mois — l'outil navigateur suffit.
• En déplacement sur un PC emprunté — outil navigateur en mode air-gap.
• Source contactant un journaliste pour la première fois — outil navigateur depuis un Wi-Fi public, le journaliste déchiffre sur GPG.

Ils ne sont pas en concurrence. Ce sont des formes différentes pour des jours différents.