PGP Sorunu: Neden Artık Kullanılmamalı?

Kriptografi mühendisleri, PGP'nin eksiklikleri yüzünden onlarca yıldır sorunlar yaşıyor. Diğer mühendisler PGP'nin kötü olduğunu duyduğunda şaşırıyor ve neden hala kullanmaları gerektiği söyleniyor diye merak ediyorlar. Cevap basit: Artık kimse PGP'yi kullanmanızı söylememeli, çünkü PGP kötü bir sistem ve geçmişte kalması gerekiyor. PGP'nin birçok sorunu var, ancak en temel sorun, ciddi modern kriptografiden önce, 1990'larda tasarlanmış olmasıdır. Günümüzün yetkin hiçbir kripto mühendisi PGP gibi bir sistem tasarlamaz veya mevcut kusurlarına müsamaha göstermez. Ciddi kriptograflar PGP'den büyük ölçüde vazgeçmiş ve iyi bilinen sorunları on yılı aşkın süredir çözümsüz kalmıştır.

PGP'nin en belirgin sorunlarından biri, akıl almaz karmaşıklığıdır. PGP mesajları, farklı türde paketlerden oluşan bir arşiv yapısına sahiptir ve bir paketin uzunluğunu kodlamanın en az sekiz farklı yolu bulunur. Paketler alt paketlere sahip olabilir ve bazı paketlerin çakışan varyantları mevcuttur. Bu karmaşık yapı, GnuPG'nin anahtarları ayrıştırmada performans sorunları yaşamasına neden olan son anahtar sunucusu saldırısında da kendini göstermiştir. Ayrıca, anahtarlar ve alt anahtarlar, anahtar kimlikleri, anahtar sunucuları, anahtar imzaları, yalnızca imzalama veya yalnızca şifreleme seçenekleri, birden fazla "anahtar halkası" ve iptal sertifikaları gibi birçok karmaşık bileşen içerir. Üç farklı sıkıştırma formatı da cabasıdır.

PGP'nin bir diğer önemli kusuru ise "İsviçre Çakısı" tasarım felsefesidir. Tıpkı bir çok amaçlı aletin her işi ortalama yapması gibi, PGP de birçok şeyi yapmaya çalışır ancak hepsini kötü veya vasat bir şekilde yapar. PGP, bir şeyleri imzalamada vasat, parolalarla şifrelemede oldukça zayıf ve açık anahtarlarla şifrelemede ise oldukça kötüdür. Güvenli dosya transferi, paket imzalama, yedekleri koruma veya güvenli mesajlaşma için özellikle iyi bir yöntem değildir; hatta güvenli mesajlaşma için doğrudan tehlikeli bir yol olabilir.