Mi az a PGP?
Kezdőlap
Cikkek
Mi az a PGP?

Mi az a PGP?

Középszintű
Közzétéve May 6, 2019Frissítve Dec 11, 2023
5m

A PGP a Pretty Good Privacy rövidítése. Ez egy titkosító szoftver, amelyet arra terveztek, hogy adatvédelmi, biztonsági és hitelesítési funkciókat biztosítson az online kommunikációs rendszerek számára. Phil Zimmerman nevéhez fűződik az első PGP program, és elmondása szerint az adatvédelem iránti növekvő társadalmi igény miatt tették szabadon elérhetővé.

Az 1991-es létrehozása óta a PGP szoftvernek számos változata jött létre. 1997-ben Phil Zimmerman javaslatot tett az Internet Engineering Task Force (IETF) számára egy nyílt forráskódú PGP-szabvány létrehozására. A javaslatot elfogadták, és ez vezetett az OpenPGP protokoll létrehozásához, amely szabványos formátumokat határoz meg a titkosítási kulcsokhoz és az üzenetekhez.

Bár a PGP-t kezdetben csak az e-mail üzenetek és mellékletek védelmére használták, ma már számos területen alkalmazzák, beleértve a digitális aláírásokat, a teljes lemeztitkosítást és a hálózat védelmét.

A PGP eredetileg a PGP Inc. vállalat tulajdonában volt, amelyet később felvásárolt a Network Associates Inc. 2010-ben a Symantec Corp. 300 millió dollárért felvásárolta a PGP-t, és a kifejezés ma már az OpenPGP-kompatibilis termékeik védjegye.


Hogyan működik?

A PGP az egyik első széles körben elérhető szoftver, amely nyilvános kulcsú kriptográfiát alkalmazott. Ez egy hibrid kriptorendszer, amely egyaránt használ szimmetrikus és aszimmetrikus titkosítást a magas szintű biztonság elérése érdekében.

A szövegtitkosítás alapfolyamata során az egyszerű szöveget (egyértelműen értelmezhető adatok) rejtjelezett szöveggé (olvashatatlan adatokká) alakítják át. Mielőtt azonban a titkosításra sor kerülne, a legtöbb PGP-rendszer adattömörítést végez. Azzal, hogy a PGP a továbbítás előtt tömöríti az egyszerű szövegfájlokat, a PGP lemezterületet és átviteli időt takarít meg – miközben növeli a biztonságot is.

A fájltömörítést követően kezdődik a tényleges titkosítási folyamat. Ebben a szakaszban a tömörített egyszerű szövegfájlt egy egyszer használatos kulccsal, az úgynevezett munkamenetkulccsal titkosítják. Ezt a kulcsot szimmetrikus kriptográfia segítségével véletlenszerűen generálják, és minden PGP-kommunikációs munkamenet egyedi munkamenetkulccsal rendelkezik.

Ezután magát a munkamenetkulcsot (1) aszimmetrikus titkosítással titkosítják: a címzett (Bob) átadja az üzenet feladójának (Alice) a saját nyilvános kulcsát (2), hogy az titkosítani tudja a munkamenetkulcsot. Ez a lépés lehetővé teszi Alice számára, hogy biztonságosan megossza a munkamenetkulcsot Bobbal az interneten keresztül, a biztonsági feltételektől függetlenül.

Mi az a PGP?

A munkamenetkulcs aszimmetrikus titkosítása általában az RSA algoritmus használatával történik. Sok más titkosítási rendszer is használja az RSA-t, beleértve a Transport Layer Security (TLS) protokollt, amely az internet nagy részét védi.

Miután továbbították az üzenet rejtjelezett szövegét és a titkosított munkamenetkulcsot, Bob a privátkulcsával (3) visszafejtheti a munkamenetkulcsot, amelyet aztán a rejtjelezett szöveg eredeti szöveggé való visszafejtésére használ.

Mi az a PGP?

A titkosítás és visszafejtés alapvető folyamatán kívül a PGP támogatja a digitális aláírásokat is, amelyek legalább három funkciót látnak el: 

  • Hitelesítés: Bob ellenőrizni tudja, hogy az üzenet feladója Alice volt.

  • Integritás: Bob biztos lehet benne, hogy az üzenetet nem módosították.

  • Letagadhatatlanság: miután az üzenetet digitálisan aláírta, Alice nem tagadhatja, hogy ő küldte azt.


Felhasználási módok

A PGP egyik leggyakoribb felhasználási területe az e-mailek védelme. A PGP-vel védett e-mail egy olvashatatlan karakterlánccá (rejtjelezett szöveggé) alakul, és csak a megfelelő visszafejtési kulccsal lehet megfejteni. A működési mechanizmusok gyakorlatilag ugyanazok a szöveges üzenetek védelmére, és vannak olyan szoftveralkalmazások is, amelyek lehetővé teszik, hogy a PGP-t más alkalmazásokon implementálják, így gyakorlatilag egy titkosítási rendszerrel egészítik ki a nem biztonságos üzenetküldő szolgáltatásokat.

Bár a PGP-t leginkább az internetes kommunikáció biztosítására használják, egyedi eszközök titkosítására is alkalmazható. Ebben az összefüggésben a PGP alkalmazható egy számítógép vagy mobil eszköz lemezpartícióira. A merevlemez titkosításával a felhasználónak minden rendszerindításkor meg kell adnia a jelszót.


Előnyök és hátrányok

A PGP a szimmetrikus és aszimmetrikus titkosítás kombinációjának köszönhetően lehetővé teszi a felhasználók számára, hogy biztonságosan osszanak meg információkat és kriptográfiai kulcsokat az interneten keresztül. Hibrid rendszerként a PGP az aszimmetrikus kriptográfia biztonságát és a szimmetrikus titkosítás sebességét egyaránt kihasználja. A biztonság és a sebesség mellett a digitális aláírás biztosítja az adatok sértetlenségét és a feladó hitelességét. 

Az OpenPGP protokoll lehetővé tette egy szabványosított versenykörnyezet kialakulását, és ma már számos vállalat és szervezet kínál PGP-megoldásokat. Ennek ellenére minden olyan PGP program, amely megfelel az OpenPGP szabványoknak, kompatibilis a többivel. Ez azt jelenti, hogy az egyik programban létrehozott fájlok és kulcsok gond nélkül felhasználhatóak egy másik programban.

Ami a hátrányokat illeti, a PGP-rendszerek használata és megértése nem túl egyszerű, különösen a kevés technikai ismerettel rendelkező felhasználók számára. A nyilvános kulcsok hosszúsága is elég kényelmetlen sokak szerint. 

2018-ban az Electronic Frontier Foundation (EFF) közzétette az EFAIL nevű lényeges sebezhetőséget. Az EFAIL lehetővé tette a támadók számára, hogy a titkosított e-mailek aktív HTML-tartalmát kihasználva hozzáférjenek az üzenetek egyszerű szöveges változatához.

Az EFAIL által leírt problémák némelyike azonban már az 1990-es évek vége óta ismert volt a PGP közösség számára, és valójában a sebezhetőségek az e-mail kliensek különböző megvalósításaihoz kapcsolódnak, nem pedig magához a PGP-hez. A riasztó és félrevezető szalagcímek ellenére tehát a PGP nem hibás, és továbbra is rendkívül biztonságos.


Záró gondolatok

A PGP 1991-es kifejlesztése óta az adatvédelem nélkülözhetetlen eszköze, és ma már több területen is használják, számos kommunikációs rendszer és digitális szolgáltató számára biztosítja az adatvédelmet, a biztonságot és a hitelesítést. 

Bár az EFAIL hiba 2018-as felfedezése jelentős aggályokat vetett fel a protokoll életképességével kapcsolatban, az alaptechnológiát továbbra is robusztusnak és kriptográfiailag megbízhatónak tartják. Érdemes megjegyezni, hogy a különböző PGP-megvalósítások különböző szintű biztonságot nyújthatnak.

Bejegyzések megosztása
Regisztráljon fiókot
Kamatoztassa tudását a gyakorlatban is, nyisson Binance-fiókot még ma.