这篇文章主要讨论了不应使用 PGP 以及替代 PGP 的工具和方法，具体如下：

• PGP 现状及问题：文章指出 PGP 已发布五年多，但仍有人认为应使用 PGP，然而实际上不应该使用 PGP。在软件社区存在对通信工具的盲目跟从，PGP 的宣传者也让情况变得混乱，且相信 PGP 好的人往往不擅长密码工程。

• 具体替代工具及用途：

  • 签名软件分发：使用 Sigstore，Python 开发者可通过 PEP 740 利用 Trusted Publishers 获得 Sigstore，对于未支持 Sigstore 的包生态系统，可使用 minisign 或 SSH 签名。
  • 签名 Git 标签/提交：使用 SSH 签名，停止使用 RSA。
  • 在计算机之间发送文件：使用 Magic Wormhole 或 SSH + rsync。
  • 加密备份：通常推荐 Tarsnap，Borg 使用合理密码学但未仔细审查，Kopia 虽看起来不错但误用“零知识”术语。
  • 加密应用数据：使用 Tink 或 libsodium，避免使用 OpenPGP、OpenSSL 及其竞争对手。
  • 加密文件：使用 age，它有公共密钥加密和基于密码的密钥派生两种模式，与 PGP 相比在多个方面更优，如支持 AEAD、内存安全等，Rust 爱好者可使用 rage。
  • 私人消息传递：使用 Signal，其在安全方面优于 PGP，未来将为 Fediverse 的直接消息开发端到端加密，且目前没有比 Signal 更好的替代方案。

• PGP 的其他替代用途及注意事项：

  • 身份验证：作者正在设计公共密钥目录项目，以提供可透明验证的公共密钥，目前项目未完成，可手动检查公共密钥。
  • 加密邮件：不建议加密邮件，因为电子邮件本身不安全，即使使用 PGP 也存在问题，如默认明文、邮件元数据明文等。对于坚持需要加密邮件的人，可考虑发送空消息并使用 age 加密实际内容，但仍存在问题。作者正在设计一种新的加密消息协议，具有端到端加密和前向保密性等优点。
• 总结：密码学家对 PGP 的看法是明确的，不应使用 PGP，应使用文中推荐的替代工具和方法。同时，作者还在积极设计新的加密协议。最后更新了博客文章并添加了更多 furry 艺术。