Какво е PGP?
Начало
Статии
Какво е PGP?

Какво е PGP?

Напреднал
Публикувано May 6, 2019Актуализирано Dec 11, 2023
5m

PGP означава Pretty Good Privacy (Достатъчно добра поверителност). Това е софтуер за криптиране, предназначен да осигури поверителност, сигурност и удостоверяване за онлайн комуникационни системи. Фил Цимерман е името зад първата PGP програма и според него тя е била предоставена безплатно поради нарастващото социално търсене на поверителност.

От създаването му през 1991 г. бяха създадени много версии на софтуера PGP. През 1997 г. Фил Цимерман направи предложение пред Работна група по интернет инженеринг (IETF) за създаването на PGP стандарт с отворен код. Предложението беше прието и доведе до създаването на протокола OpenPGP, който дефинира стандартни формати за ключове за криптиране и съобщения.

Въпреки че първоначално се използва само за защита на имейл съобщения и прикачени файлове, PGP вече се прилага за широк спектър от случаи на употреба, включително дигитални подписи, пълно дисково криптиране и мрежова защита.

PGP първоначално беше собственост на компанията PGP Inc, която по-късно беше придобита от Network Associates Inc. През 2010 г. Symantec Corp. придоби PGP за $300 млн. и сега терминът е търговска марка, използвана за техните съвместими продукти с OpenPGP.


Как работи?

PGP е сред първите широко разпространени софтуери за прилагане на криптография с публичен ключ. Това е хибридна криптосистема, която използва както симетрично, така и асиметрично криптиране, за да постигне високо ниво на сигурност.

В основен процес на шифроване на текст, обикновен текст (данни, които могат да бъдат ясно разбрани) се преобразува в шифрован текст (нечетими данни). Но преди да започне процесът на криптиране, повечето PGP системи извършват компресиране на данни. Чрез компресиране на файлове с обикновен текст преди предаването им, PGP спестява както дисково пространство, така и време за предаване - като същевременно подобрява сигурността.

След компресирането на файла започва действителният процес на криптиране. На този етап компресираният файл с обикновен текст се шифрова с ключ за еднократна употреба, който е известен като сесиен ключ. Този ключ се генерира на случаен принцип чрез използването на симетрична криптография и всяка PGP комуникационна сесия има уникален сесиен ключ.

След това самият сесиен ключ (1) се криптира с помощта на асиметрично криптиране: предвиденият получател (Боб) предоставя своя публичен ключ (2) на подателя на съобщението (Алис), така че тя да може да криптира сесийния ключ. Тази стъпка позволява на Алис безопасно да споделя сесийния ключ с Боб през интернет, независимо от условията на сигурност.

Какво е PGP?

Асиметричното криптиране на сесийния ключ обикновено се извършва чрез използването на алгоритъма RSA. Много други системи за криптиране използват RSA, включително протокола за сигурността на транспортния слой (TLS), който защитава голяма част от интернет.

След като шифрованият текст на съобщението и шифрованият сесиен ключ бъдат предадени, Боб може да използва личния си ключ (3), за да декриптира сесийния ключ, който след това се използва за декриптиране на шифрования текст обратно в оригиналния обикновен текст.

Какво е PGP?

Освен основния процес на криптиране и декриптиране, PGP поддържа и цифрови подписи - които изпълняват поне три функции: 

  • Удостоверяване: Боб може да потвърди, че подателят на съобщението е Алис.

  • Цялостност: Боб може да бъде сигурен, че съобщението не е променено.

  • Неотхвърляне: След като съобщението е цифрово подписано, Алис не може да твърди, че не го е изпратила.


Случаи на употреба

Една от най-честите употреби на PGP е защита на имейли. Имейл, който е защитен с PGP, се превръща в низ от знаци, които са нечетими (шифрован текст) и могат да бъдат дешифрирани само със съответния ключ за дешифриране. Работните механизми са практически същите за защита на текстови съобщения, а също така има някои софтуерни приложения, които позволяват PGP да бъде внедрен върху други приложения, като ефективно добавя система за криптиране към незащитени услуги за съобщения.

Въпреки че PGP се използва най-вече за защита на интернет комуникациите, той може да се прилага и за криптиране на отделни устройства. В този контекст PGP може да се приложи към дискови дялове на компютър или мобилно устройство. Чрез шифроване на твърдия диск потребителят ще трябва да въведе парола при всяко зареждане на системата.


Предимства и недостатъци

Благодарение на комбинираното си използване на симетрично и асиметрично криптиране, PGP позволява на потребителите сигурно да споделят информация и криптографски ключове през интернет. Като хибридна система, PGP се възползва както от сигурността на асиметричната криптография, така и от скоростта на симетричното криптиране. В допълнение към сигурността и скоростта, дигиталните подписи гарантират целостта на данните и автентичността на подателя. 

Протоколът OpenPGP позволи появата на стандартизирана конкурентна среда и PGP решенията вече се предоставят от множество компании и организации. Въпреки това, всички PGP програми, които отговарят на стандартите OpenPGP, са съвместими една с друга. Това означава, че файлове и ключове, генерирани в една програма, могат да се използват в друга без проблеми.

Що се отнася до недостатъците, PGP системите не са толкова лесни за използване и разбиране, особено за потребители с малко технически познания. Освен това дългата дължина на публичните ключове се смята от мнозина за доста неудобна. 

През 2018 г. голяма уязвимост, наречена EFAIL, беше публикувана от Electronic Frontier Foundation (EFF). EFAIL даде възможност на атакуващите да експлоатират активно HTML съдържание в криптирани имейли, за да получат достъп до версиите на съобщенията в обикновен текст.

Въпреки това, някои от опасенията, описани от EFAIL, вече бяха известни на общността на PGP от края на 1990 г. и всъщност уязвимостите са свързани с различните имплементации от страна на имейл клиентите, а не със самия PGP. Така че въпреки тревожните и подвеждащи заглавия, PGP не е повреден и продължава да бъде много защитен.


Заключителни мисли

От разработката си през 1991 г. PGP е основен инструмент за защита на данните и сега се използва в широк набор от приложения, осигурявайки поверителност, сигурност и удостоверяване за няколко комуникационни системи и доставчици на дигитални услуги. 

Въпреки че откриването на на пропуска EFAIL през 2018 г. повдигна сериозни опасения относно жизнеспособността на протокола, основната технология все още се счита за надеждна и криптографски стабилна. Струва си да се отбележи, че различните реализации на PGP могат да представят различни нива на сигурност.

Споделяне на публикации
Регистриране на акаунт
Приложете знанията си на практика, като отворите акаунт в Binance днес.