تم إنشاء العديد من إصدارات برنامج PGP منذ نشأته في عام 1991. وفي عام 1997 قدم Phil Zimmerman اقتراحًا لفريق مهام هندسة الإنترنت (IETF) لإنشاء معيار PGP مفتوح المصدر. بعد ذلك تم قبول الاقتراح وأدى إلى إنشاء بروتوكول OpenPGP الذي يحدد تنسيقات المعايير لمفاتيح التشفير والرسائل.
على الرغم من استخدامه مبدئيًا فقط لتأمين رسائل البريد الإلكتروني والمرفقات، إلا أنه يتم تطبيق PGP الآن على مجموعة واسعة من حالات الاستخدام بما في ذلك التوقيعات الرقمية وتشفير القرص بالكامل وحماية الشبكات.
كان PGP مملوك مبدئيًا لشركة PGP Inc التي اشترتها لاحقًا Network Associates Inc. و في عام 2010 قامت Symantec Corp بشراء PGP مقابل 300 مليون دولار وأصبح المصطلح الآن علامة تجارية تستخدم لمنتجاتها المتوافقة مع OpenPGP.
كيف يعمل؟
بعد ضغط الملف، تبدأ عملية التشفير الفعلية. وفي هذه المرحلة يتم تشفير ملف النص العادي المضغوط باستخدام مفتاح للاستخدام الفردي والذي يُعرف باسم مفتاح الجلسة (session key). يتم إنشاء هذا المفتاح بشكل عشوائي من خلال استخدام تشفير متماثل ولكل جلسة اتصال PGP مفتاح جلسة فريد.
بعد ذلك، تم تشفير مفتاح الجلسة (1) نفسه باستخدام تشفير غير متماثل يوفر المتلقي المقصود (Bob) مفتاحه العام (2) إلى مرسل الرسالة (Alice) حتى تتمكن من تشفير مفتاح الجلسة. تتيح هذه الخطوة لـ Alice مشاركة مفتاح الجلسة بأمان مع Bob عبر الإنترنت بغض النظر عن ظروف الأمان.
يتم عادةً التشفير غير المتماثل لمفتاح الجلسة من خلال استخدام خوارزمية RSA. تستخدم العديد من أنظمة التشفير الأخرى RSA بما في ذلك بروتوكول أمان طبقة النقل (TLS) أو (Transport Layer Security) الذي يؤمن جزءًا كبيرًا من الإنترنت.
بمجرد إرسال النص المشفر للرسالة ومفتاح الجلسة المشفر، يستطيع بوب استخدام مفتاحه الخاص (3) لفك تشفير مفتاح الجلسة والذي يستخدم بعد ذلك لفك تشفير النص المشفر مرة أخرى و تحويلة إلى النص العادي الأصلي.
بصرف النظر عن العملية الأساسية للتشفير وفك التشفير، يدعم PGP أيضًا التوقيعات الرقمية، التي تخدم ثلاث وظائف على الأقل:
المصادقة: يستطيع بوب التحقق من أن مرسل الرسالة هو أليس.
النزاهة: يمكن أن يكون بوب على يقين من أن الرسالة لم تتغير.
عدم النكران: بعد توقيع الرسالة رقمياً ، لا تستطيع أليس أن تدعي أنها لم ترسلها.
حالات الإستخدام
أحد أكثر استخدامات PGP شيوعًا هو تأمين رسائل البريد الإلكتروني. يتم تحويل البريد الإلكتروني المحمي بواسطة PGP إلى سلسلة من الأحرف غير قابلة للقراءة (نص مشفر) ولا يمكن فك تشفيرها إلا باستخدام مفتاح فك التشفير المقابل. تكون آليات العمل هي نفسها من الناحية العملية لتأمين الرسائل النصية. وهناك أيضًا بعض تطبيقات البرامج التي تسمح بتنفيذ PGP على رأس التطبيقات الأخرى مما يضيف بشكل فعال نظام تشفير إلى خدمات المراسلة غير الآمنة.
على الرغم من استخدام PGP في الغالب لتأمين اتصالات الإنترنت، إلا أنه يمكن تطبيقه أيضًا لتشفير الأجهزة الفردية. وهذا يعني أنه قد يتم تطبيق PGP على أقسام القرص لجهاز كمبيوتر أو جهاز محمول. بمعنى أنه عند تشفير القرص الصلب سيُطلب من المستخدم تقديم كلمة مرور في كل مرة يقوم فيها النظام ببدء التشغيل.
المميزات والعيوب
يتم الآن توفير بروتوكول OpenPGP المسموح به لظهور بيئة تنافسية موحدة وحلول PGP من قبل العديد من الشركات والمؤسسات. ومع ذلك فإن جميع برامج PGP التي تتوافق مع معايير OpenPGP متوافقة مع بعضها البعض. هذا يعني أنه يمكن استخدام الملفات والمفاتيح التي تم إنشاؤها في أحد البرامج في برامج أخرى دون مشاكل.
أما بالنسبة للعيوب، فإن أنظمة PGP ليست سهلة الاستخدام والفهم خاصة بالنسبة للمستخدمين الذين لديهم القليل من المعرفة التقنية. و أيضا يعتبر طول المفاتيح العامة الطويل من قبل الكثيرين غير مريح نسبيا.
في عام 2018، تم نشر ثغرة أمنية كبيرة تسمى EFAIL بواسطة Electronic Frontier Foundation (EFF). أتاح EFAIL للمهاجمين استغلال محتوى HTML النشط في رسائل البريد الإلكتروني المشفرة للوصول إلى إصدارات الرسائل غير المشفرة
لكن بعض المخاوف التي وصفها EFAIL كانت معروفة بالفعل من قبل مجتمع PGP منذ أواخر التسعينيات. وفي الواقع، ترتبط نقاط الضعف بالتطبيقات المختلفة من جانب عملاء البريد الإلكتروني وليس بـ PGP نفسه. لذلك على الرغم من العناوين الرئيسية المزعجة والمضللة فإن PGP لا يزال آمن للغاية.
أفكار ختامية
أصبح PGP أداة أساسية لحماية البيانات ويستخدم الآن في مجموعة واسعة من التطبيقات منذ إنشائه في عام 1991، حيث يوفر الخصوصية والأمان والمصادقة للعديد من أنظمة الاتصالات ومقدمي الخدمات الرقمية.
في حين أن اكتشاف 2018 من عيب EFAIL أثار مخاوف كبيرة حول جدوى البروتوكول، إلا أنها لا تزال تعتبر التكنولوجيا الأساسية قوية وسليمة من ناحية التشفير. تجدر الإشارة أيضا إلى أن تطبيقات PGP المختلفة قد تقدم مستويات مختلفة من الأمان.