在过去几个礼拜，pgp 作为使用者电子邮件加密方法的效果成为

在过去几个礼拜，PGP 作为使用者电子邮件加密方法的效果成为备受争议的话题。最新一波来自约翰霍普金斯大学的密码学教授Matthew Green，他对 PGP 的批评主要在于金钥管理的缺陷和缺乏远期安全（Forward Secrecy）。

对于这整个产业来说，做好加密是非常重要的。这是在21世纪确保网络生活安全的根本。PGP 在多年来都是防护电子邮件安全的重要组成部分，因此，如果是因为它被破解而需要修正的建议是必须被认真看待。

但 PGP 本身的加密功能被认为还是健全的，虽然它一直被视为不方便使用。不过它从未真正被认为是提供给一般使用者。一直都是有技术能力的使用者才会去依赖于PGP。这些使用者有能力去使用 PGP 客户端，尽管它们不够精良。

现在，事情改变了；可以想像人们可能有兴趣去使用PGP，但不具备足够的技术能力去使用现有的客户端。这些使用者需要的是“点了就用”的软件。在“安全”和“易用”之间有个不容易消弥的根本鸿沟。

PGP 有个的确值得批评的地方是它管理金钥的方式。简单来说，PGP 将管理金钥的所有负担都放在使用者身上。其他加密解决方案（如SSL/TLS）则恰恰相反，这些过程基本上对于最终使用者来说是不可见的。

便利性和安全性间的有个基本的取舍问题，在这里，PGP的设计是以安全为最高考量：金钥交换直接由使用者进行管理。这意味着使用者可以自行决定谁的金钥可以信任。这对安全来说是最根本的决定，而PGP将它直接交到使用者手上。这对精通技术的人来说可能没问题，但对一般使用者来说就困难许多。

其他电子邮件加密解决方案（像我们所提供的）依赖于某种信任机构（TA）来管理金钥。TA必须去验证使用者身份，但这将管理金钥的负担从最终使用者身上拿走。当然，这代表着最终使用者必须信任TA服务器 –这对企业环境来说或许还好，但对于一般个人来说可能无法接受。

没有人会阻止厂商提供更加易用的方式来替使用者实作PGP。这也正是Google和Yahoo正尝试在做的事情，看他们如何克服这些难题来让一般使用者可以接受PGP将会是件非常有意思的事。

关于PGP还有一件事要说。不管它有什么缺陷，它自出现以来就已经被证明是可靠且值得信任的。没错，它的确有其问题，但很大部分的原因是因为它被使用在它从未瞄准的市场。此外，随着运算能力的增加，金钥长度也必须随着需要而增加 –而这是一个尚未解决的问题。

不过，PGP的核心仍然健全。说它必须“死”是适得其反，因为这么做会将使用者推向其他号称安全的“解决方案”，但实际上却不安全。PGP所需要做的是加以改良以满足使用者不断衍生的需求。处理得当，可能就意味着PGP将会在未来很长一段时间继续成为强大的安全标准。