@
jianglibo 我司内部就是强制使用 thunderbird 配合 openpgp ,对外和客户( IT 类技术人员、金融类业务人员都有)联系也推荐用 openpgp 加密邮件,或者至少加密附件。从我入职开始到现在也每天使用超过 12 年了,接触的客户数量也有 200+了,我觉得我有一点说服力。
简单来说,openpgp 这一套体系就是太复杂了,我哦们有完善的配置手册,一步一步带截图具体怎么配置,软件更新也会更新配置手册,就这个前提下,上述那么多客户,首次配置好之后把私钥发给我的占比至少 80%以上。好容易正确生成了公私钥对,加密发送文件的的时候不添加我的公钥的占比能超过 90%。首年记住了怎么操作,后续年度还得电话再指导的至少也能有 30%起。这个是外部客户的场景,而且其中懂基本加解密知识的也不占少数。我司内部,每年需要我协助配置密钥对、thunderbird 、公钥组、邮箱组等的同事也得有 30%以上。我们可是要求每两年就重新配置一次的,就这个频率都不能确保每个人熟悉的掌握配置方式。
原因是什么,上边有人也提到了,公私钥对为基础的 PKI 方案,为了做到可信,要么两人当面交换公钥,要么用 CA 做中心交换,除此以外都不能做到可信这个要求。即使是公开的公钥服务器,只要没有可信方签成证书,那么都会受到 MITM 的影响。当然了公司自建中央公钥服务器会好一点,但是内部使用的问题解决了,怎么解决对外的要求呢?所以国密整出来 SM9 一人一证书的想法,直接中央到“中央”可信。
另外既然 OP 提到 openpgp 了,我姑且认为你也了解 SMIME ,以 SMIME 的简单尚且不能做到大规模推广,openpgp 这种大量涉及到基本知识和技术操作的方案怎么可能会让人用得起来。
如果往更广的方向来说,怎么能在没有中央 CA 的基础上解决双向或者多向互信,这个是下一代加解密基础设施需要解决的问题之一,也是国内不想让解决的一个问题。原本的区块链体系似乎解决了这个问题,但是目前大家的着眼点都在币上,这个底层的方案一直没有一个有效且易用的技术出来。