Simula noong pagkakalikha nito noong 1991, maraming bersyon na ng PGP na software ang nabuo. Noong 1997, iminungkahi ni Phil Zimmerman sa Internet Engineering Task Force (IETF) ang paglikha ng open-source na batayan ng PGP. Ang mungkahi ay tinanggap at humantong sa pagkakabuo ng OpenPGP na protocol, na nagtatakda ng iisang batayan ng format para sa encryption keys at mga mensahe.
Bagamat unang ginamit sa pagbibigay lamang ng seguridad sa mga email na mensahe at attachment, ginagamit na ngayon ang PGP sa maraming uri ng mga use case, kabilang ang digital signatures, full disk encryption, at proteksyon ng network.
Unang naging pagmamay-ari ng kompanyang PGP Inc. ang PGP na kalaunan ay nabili ng Network Associates Inc. Noong 2010, nabili naman ng Symantec Corp. ang PGP sa halagang $300 million, at ang termino ay isa na ngayong trademark na ginamit para sa mga produkto nilang tumutupad sa OpenPGP.
Paano ito gumagana?
Kasunod ng file compression, nagsisimula ang aktwal na proseso ng encryption. Sa puntong ito, ang nacompress na plaintext file ay ginagamitan ng single-use key para sa encryption. Kilala itong session key. Ang key na ito ay binuo nang walang partikular na ayos sa pamamagitan ng paggamit ng symmetric cryptography, at ang bawat PGP communication session ay may natatanging session key.
Sunod dito, ang session key ay (1) sasailalim sa encryption gamit ang asymmetric encryption: ang itinakdang receiver (Bob) ay magbibigay ng kanyang public key (2) sa nagpadala ng mensahe (Alice) para ma-encrypt ni Alice ang session key. Ang hakbang na ito ang nagpapahintulot kay Alice na ligtas na ibahagi ang session key kay Bob sa pamamagitan ng Internet, anuman ang kondisyon ng seguridad.
Ang asymmetric encryption ng session key ay kadalasang ginagawa sa pamamagitan ng paggamit ng RSA algorithm. Maraming ibang sistema ng encryption ang gumagamit ng RSA, kabilang ang Transport Layer Security (TLS) protocol na binibigyan ng seguridad ang malaking bahagi ng Internet.
Oras na maipadala ang ciphertext ng mensahe at ang encrypted session key, magagamit na ni Bob ang kanyang private key (3) para i-decrypt ang session key, na siya namang gagamitin ngayon para i-decrypt ang ciphertext pabalik sa orihinal na plaintext.
Bukod sa simpleng proseso ng encryption at decryption, sinusuportahan din ng PGP ang mga digital signature - na may hindi bababa sa tatlong tungkulin:
Pag-authenticate: Mabeberipika ni Bob na si Alice ang nagpadala ng mensahe.
Integridad: Makatitiyak si Bob na hindi nabago ang mensahe.
Hindi pagbawi: Matapos ang digital na signing ng mensahe, hindi na maaaring sabihin ni Alice na hindi niya ito naipadala.
Mga use case
Isa sa mga karaniwang gamit ng PGP ay ang pagbibigay ng seguridad sa mga email. Ang email na may proteksyon ng PGP ay nagiging isang hanay ng mga karakter na hindi nababasa (ciphertext) at magagagawa lamang i-decipher ng katumbas na decryption key. Ang umiiral na mekanismo ay halos pareho din sa pagtitiyak ng seguridad ng mga mensahe sa text, at mayroon ding ilang mga software application na nagbibigay ng pahintulot sa implementasyon ng PGP sa ibang Apps, kaya nadaragdagan ng sistema ng encryption ang mga hindi ligtas na messaging service.
Bagamat ang PGP ay kadalasang gingamit sa pagbibigay ng seguridad sa komunikasyon sa internet, magagamit din ito para sa encryption ng mga indibidwal na device. Sa kontekstong ito, magagamit ang PGP sa paghahati ng mga disk sa isang kompyuter o mobile device. Sa pamamagitan ng encryption ng hard disk, kinakailangang maglagay ng password ang user tuwing bubuksan ang sistema.
Mga benepisyo at limitasyon
Binigyang-daan ng OpenPGP na protocol ang pag-usbong ng standardized competitive environment at ang mga solusyong PGP ay ibinibigay na ngayon ng maraming kompanya at organisasyon. Ganunpaman, ang lahat ng mga programang PGP na sumusunod sa mga batayan ng OpenPGP ay tugma sa isa’t isa. Nangangahulugan ito na ang mga file at key na nabuo sa isang programa ay magagamit sa iba nang walang problema.
Pagdating sa mga limitasyon, hindi madaling gamitin at intindihin ang mga sistemang PGP, lalong-lalo na sa mga user na kaunti lamang ang teknikal na kaalaman. Bukod pa rito, ang mahabang public keys ay itinuturing na malaking abala ng marami.
Noong 2018, isang malaking kahinaan na tinawag na EFAIL ang inilathala ng Electronic Frontier Foundation (EFF). Ginawang posible ng EFAIL para sa mga attacker na pagsamantalahan ang aktibong HTML content sa mga encrypted na email para makakuha ng access sa mga plaintext na bersyon ng mga mensahe.
Ganunpaman, ilan sa mga isyung inilarawan ng EFAIL ay dati nang alam ng komunidad ng PGP simula pa noong huling bahagi ng 1990s. At sa katunayan, ang mga kahinaan ay may kaugnayan sa magkakaibang implementasyon sa panig ng mga email client, at hindi sa mismong PGP. Kaya sa kabila ng nakababahala at nakapanlilinlang na mga balita, hindi pa nababasag ang PGP at patuloy itong may mataas na seguridad.
Pangwakas na ideya
Simula sa pagkakabuo nito noong 1991, naging mahalagang kasangkapan na ang PGP sa proteksyon ng mga datos at ngayon ay ginagamit sa maraming uri ng application, para sa pagbibigay ng privacy, seguridad, at authentication.
Bagamat nagpresenta ng mga mahahalagang isyu ang pagkakadiskubre sa EFAIL na kahinaan noong 2018 tungkol sa kakayahang magtagal ng protocol, ang teknolohiya nito ay itinuturing pa ring matatag at cryptologically sound. Mahalagang tandaan na ang iba’t ibang implementasyon ng PGP ay maaaring magpakita ng magkakaibang lebel ng seguridad.