IPSec 用于 IP 层,SSL 用于传输层,PGP 用于应用层。在某些讲座中不是这样说的:
IPSEC:最通用但最不灵活的解决方案 SSL:仍然非常通用且具有一定的灵活性 PGP:最不通用但非常灵活。
我猜一般是指我可以保护什么样的协议。使用 IPSEC,我可以保护所有使用 TCP 或 UDP 的东西。 PGP 是最不通用的,因为它只是加密电子邮件,因此非常具体。这种理解对吗?
但是我不知道在这种情况下灵活性指的是什么,有人知道吗?这与可扩展性有关吗?
谢谢
【问题讨论】:
IPSEC:它是一个 Internet 层协议,这意味着任何运行在 IP 层之上的东西,例如 TCP 或 UDP,或任何其他更新的协议,都将被 IPSEC 加密。然而,现在它是一个用于加密/验证它上面的数据包/协议的协议,只有这个,因此它在 SOME 意义上比其他两个更不灵活,但如果你需要网络,它仍然相当灵活加密。
SSL: 是另一种加密协议,类似于(我猜)IPSEC,但它在比 IPSEC 更高的层上运行。基本上它在应用层上运行,这意味着它是一个运行在 TCP、UDP 等之上的协议......
现在,IPSEC 的一个问题是它在某些方面的灵活性,因为它在网络层较低,但这也带来了问题,即设备本身需要支持 IPSEC 协议,而廉价的消费者路由器通常不支持。所以从某种意义上说,SSL 会比 IPSEC 更灵活,因为它在更高层上运行。
PGP: 与 SSL/IPSEC 完全不同的域,因为 SSL/IPSEC 将自身限制为网络加密,它们不处理文件或任何其他数据的加密,所有它们处理的是对通过网络传输的“字节”的加密,一旦另一端读取了字节,它就会以未加密的方式坐在那里。
现在 PGP 是一种应用程序/标准,您可以使用它使用目标公钥加密文件,然后只有目标的私钥才能解密文件。无论如何,您可以加密文件、电子邮件或其他任何东西,然后通过网络将其传输到目的地,它会实现同样的效果。但另一方面,您也可以将文件加密存储在磁盘上或将其复制到外部硬盘驱动器上,然后沿着走廊走到目的地。
总而言之,IPSEC/SSL 大致相当,它们在不同的网络层上运行,而 PGP 与 IPSEC/SSL 是完全不同的域,但您仍然可以使用 PGP 加密某些数据,然后通过网络。
所以真正意义上的灵活性,特别是在 PGP 上下文中,因为您可以将它用于其他事情,例如将加密文件存储在磁盘上,或者可以使用您的私钥签署一些文档/文件和任何人可以使用您的公钥来证明它来自您。
【讨论】:
每个加密协议只有在两端都有支持的情况下才有效。
SSL 是最容易部署的,因为它内置在浏览器和网络服务器中。在大多数情况下,每个想要运行 Web 服务器的人都已经内置了 SSL 支持——他们只需要精通技术就可以打开它(并购买证书或愿意接受到最后的警告)用户。
SSL 的一大优点是它内置了密钥管理功能。
IPSEC 确实提供主机到主机加密。然而,底层设计非常灵活,以至于多个 IPSEC 系统无法相互通信,除非它们配置相同。更糟糕的是,密钥管理多年来一直不是协议的一部分。即使系统有宏伟的计划,可以自动识别两端都有启用 IPSEC 的系统并自动接合,但这从来没有奏效(仍然没有奏效)。
PGP 是一种静态消息加密系统。它不会加密交互的东西。而且您不应该使用 PGP,而应该使用 S/MIME,因为它已经集成到 Apple Mail、Evolution、Outlook Express、Outlook、Thunderbird 等中。
所以是的,IPSEC 会是更好的选择,但它太难使用了。 PGP 做得还不够。 SSL 达到了最佳状态,这就是它占据主导地位的原因。
【讨论】: