“La gestión de claves PGP es una basura” y la calidad del software es “francamente desagradable”, describe el profesor de este programa escrito en 1981 que permite seguridad y privacidad con cifrado de extremo a extremo y autenticación de documentos mediante firmas digitales.

Las complicaciones en la implementación de PGP es uno de los problemas señalados por Green, por la naturaleza de las llaves de clave pública:

“Puedes adjudicar esta característica a un capricho de una tecnología vieja, pero aún las implementaciones modernas de curva elíptica producen cadenas sorpresivamente largas. Ya que las llaves PGP no están diseñadas para los humanos, es necesario moverlas electrónicamente. Pero los humanos aún deben verificar la autenticidad de las llaves recibidas, por su puesto, ya que aceptar una llave pública de un atacante podría ser catastrófico.”

“PGP soluciona esto con una mezcla de servidores de llaves identificadores de llaves públicas. Estos componentes proveen una transferencia (no confiable) de datos y un pequeño token que un humano puede verificar manualmente. Mientras que en teoría esto suena bien, en la practica añade complejidad, que siempre es un enemigo de la seguridad.”

Además, la necesidad de confiar en una autoridad central puede comprometer la seguridad corrompiendo el canal de comunicación alterando la administración de llaves.

 

Fuente: muyseguridad