Hvad er PGP?
Hjem
Artikler
Hvad er PGP?

Hvad er PGP?

Let √łvet
Offentliggjort May 6, 2019Opdateret Dec 11, 2023
5m

PGP st√•r for Pretty Good Privacy. Det er en krypteringssoftware, der er designet til at give beskyttelse af personoplysninger, sikkerhed og godkendelse til online kommunikationssystemer. Phil Zimmerman er navnet bag det f√łrste PGP-program, og if√łlge ham blev det gjort frit tilg√¶ngeligt p√• grund af den voksende sociale eftersp√łrgsel efter beskyttelse af personoplysninger.

Siden oprettelsen i 1991 er der kommet mange versioner af PGP-softwaren. I 1997 fremsatte Phil Zimmerman et forslag til Internet Engineering Task Force (IETF) om at skabe en open source PGP-standard. Forslaget blev accepteret og f√łrte til oprettelsen af OpenPGP-protokollen, som definerer standardformater for krypteringsn√łgler og meddelelser.

Selvom PGP oprindeligt kun blev brugt til at sikre e-mailbeskeder og vedhæftede filer, anvendes det nu til en lang række formål, herunder digitale signaturer, fuld diskkryptering og netværksbeskyttelse.

PGP var oprindeligt ejet af virksomheden PGP Inc, som senere blev opk√łbt af Network Associates Inc. I 2010 k√łbte Symantec Corp. PGP for 300 millioner USD, og udtrykket er nu et varem√¶rke, der bruges til deres OpenPGP-kompatible produkter.


Hvordan fungerer det?

PGP er blandt de f√łrste bredt tilg√¶ngelige programmer, der implementerer kryptografi med offentlig n√łgle. Det er et hybridkrypteringssystem, der bruger b√•de symmetrisk og asymmetrisk kryptering til at opn√• et h√łjt sikkerhedsniveau.

I en grundl√¶ggende proces med tekstkryptering konverteres en klartekst (data, der tydeligt kan forst√•s) til ciffertekst (ul√¶selige data). Men f√łr krypteringsprocessen finder sted, udf√łrer de fleste PGP-systemer datakomprimering. Ved at komprimere klartekstfiler, f√łr de transmitteres, sparer PGP b√•de diskplads og transmissionstid ‚Äď samtidig med at sikkerheden forbedres.

Efter filkomprimeringen begynder den egentlige krypteringsproces. P√• dette trin krypteres den komprimerede klartekstfil med en engangsn√łgle, som kaldes sessionsn√łglen. Denne n√łgle genereres tilf√¶ldigt ved hj√¶lp af symmetrisk kryptografi, og hver PGP-kommunikationssession har en unik sessionsn√łgle.

Dern√¶st krypteres selve¬†sessionsn√łglen (1)¬†ved hj√¶lp af asymmetrisk kryptering: Den tilsigtede modtager (Bob) giver sin¬†offentlige n√łgle (2)¬†til afsenderen af meddelelsen (Alice), s√• hun kan kryptere sessionsn√łglen. Dette trin giver Alice mulighed for at dele sessionsn√łglen p√• sikker vis med Bob via internettet, uanset sikkerhedsforholdene.

Hvad er PGP?

Den asymmetriske kryptering af sessionsn√łglen sker normalt ved hj√¶lp af RSA-algoritmen. Mange andre krypteringssystemer bruger RSA, herunder TLS-protokollen (Transport Layer Security), som beskytter en stor del af internettet.

N√•r meddelelsens ciffertekst og den krypterede sessionsn√łgle er overf√łrt, kan Bob bruge sin¬†private key (3)¬†til at dekryptere sessionsn√łglen, som derefter bruges til at dekryptere cifferteksten tilbage til den oprindelige klartekst.

Hvad er PGP?

Ud over den grundl√¶ggende proces med kryptering og dekryptering underst√łtter PGP ogs√• digitale signaturer, som tjener mindst tre funktioner:¬†

  • Godkendelse: Bob kan verificere, at afsenderen af beskeden var Alice.

  • Integritet: Bob kan v√¶re sikker p√•, at beskeden ikke er blevet √¶ndret.

  • Uafviselighed: N√•r beskeden er digitalt signeret, kan Alice ikke p√•st√•, at hun ikke har sendt den.


Use cases

√Čn af de mest almindelige anvendelser af PGP er at beskytte e-mails. En e-mail, der er beskyttet med PGP, omdannes til en streng af tegn, der er ul√¶selige (ciffertekst), og som kun kan afkodes med den tilh√łrende dekrypteringsn√łgle. Mekanismerne er praktisk talt de samme til beskyttelse af tekstbeskeder, og der er ogs√• nogle softwareapplikationer, der g√łr det muligt at implementere PGP oven p√• andre apps og p√• effektiv vis f√łje et krypteringssystem til ikke-sikrede beskedtjenester.

Selvom PGP mest bruges til at sikre internetkommunikation, kan det også bruges til at kryptere individuelle enheder. I denne sammenhæng kan PGP anvendes på diskpartitioner på en computer eller mobilenhed. Ved at kryptere harddisken skal brugeren angive en adgangskode, hver gang systemet starter op.


Fordele og ulemper

Takket v√¶re den kombinerede brug af symmetrisk og asymmetrisk kryptering giver PGP brugerne mulighed for p√• sikker vis at dele oplysninger og kryptografiske n√łgler via internettet. Som et hybridsystem drager PGP fordel af b√•de sikkerheden ved asymmetrisk kryptografi og hastigheden ved symmetrisk kryptering. Ud over sikkerhed og hastighed sikrer digitale signaturer dataenes integritet og afsenderens autenticitet.¬†

OpenPGP-protokollen muliggjorde fremkomsten af et standardiseret konkurrencemilj√ł, og PGP-l√łsninger leveres nu af flere virksomheder og organisationer. Alligevel er alle PGP-programmer, der overholder OpenPGP-standarderne, kompatible med hinanden. Det betyder, at filer og n√łgler, der er genereret i √©t program, kan bruges i et andet uden problemer.

Med hensyn til ulemperne er PGP-systemer ikke s√• enkle at bruge og forst√•, is√¶r for brugere med ringe teknisk viden. Den lange l√¶ngde p√• de offentlige n√łgler anses ogs√• af mange for at v√¶re ret upraktisk.¬†

I 2018 blev en stor sårbarhed kaldet EFAIL offentliggjort af Electronic Frontier Foundation (EFF). EFAIL gjorde det muligt for angribere at udnytte aktivt HTML-indhold i krypterede e-mails til at få adgang til klartekstversionerne af beskederne.

Men nogle af de problemer, som EFAIL beskriver, har PGP-fællesskabet allerede kendt til siden slutningen af 1990'erne, og faktisk er sårbarhederne relateret til forskellige implementeringer af e-mailklienter og ikke til selve PGP. Så på trods af de alarmerende og misvisende overskrifter er PGP ikke i stykker og er fortsat meget sikker.


Sammenfatning

Siden udviklingen i 1991 har PGP v√¶ret et vigtigt v√¶rkt√łj til databeskyttelse og bruges nu i en lang r√¶kke applikationer, der giver beskyttelse af personoplysninger, sikkerhed og godkendelse for flere kommunikationssystemer og digitale tjenesteudbydere.¬†

Selvom opdagelsen af EFAIL-fejlen i 2018 gav anledning til betydelig bekymring for protokollens levedygtighed, betragtes kerneteknologien stadig som robust og kryptografisk forsvarlig. Det er værd at bemærke, at forskellige PGP-implementeringer kan have forskellige sikkerhedsniveauer.

Del opslag
Registrer en konto
Omsæt din viden til praksis ved at åbne en Binance-konto i dag.