Ano Ang PGP?
Ano Ang PGP?
HomeMga Artikulo
Ano Ang PGP?

Ano Ang PGP?

Intermediya
Published May 6, 2019Updated Apr 29, 2021
5m
Nangangahulugan ang PGP na Pretty Good Privacy. Isa itong encryption software na dinisenyo para magbigay ng privacy, seguridad, at authentication para sa mga sistema ng online ng komunikasyon. Si Phil Zimmerman ang pangalan sa likod ng unang PGP program, at ayon sa kanya, ginawa ito nang libre dahil sa lumalagong demand ng lipunan para sa privacy.

Simula noong pagkakalikha nito noong 1991, maraming bersyon na ng PGP na software ang nabuo. Noong 1997, iminungkahi ni Phil Zimmerman sa Internet Engineering Task Force (IETF) ang paglikha ng open-source na batayan ng PGP. Ang mungkahi ay tinanggap at humantong sa pagkakabuo ng OpenPGP na protocol, na nagtatakda ng iisang batayan ng format para sa encryption keys at mga mensahe.

Bagamat unang ginamit sa pagbibigay lamang ng seguridad sa mga email na mensahe at attachment, ginagamit na ngayon ang PGP sa maraming uri ng mga use case, kabilang ang digital signatures, full disk encryption, at proteksyon ng network.

Unang naging pagmamay-ari ng kompanyang PGP Inc. ang PGP na kalaunan ay nabili ng Network Associates Inc. Noong 2010, nabili naman ng Symantec Corp. ang PGP sa halagang $300 million, at ang termino ay isa na ngayong trademark na ginamit para sa mga produkto nilang tumutupad sa OpenPGP.


Paano ito gumagana?

Ang PGP ay isa sa mga unang madaling makuhang software na nagpapatupad ng public key cryptography. Isa itong hybrid na cryptosystem na parehong gumagamit ng symmetric at asymmetric encryption para makamit ang mataas na lebel ng seguridad.
Sa simpleng proseso ng text encryption, ang plaintext (datos na madaling maintindihan) ay iko-convert sa ciphertext (hindi nababasang datos). Ngunit bago maganap ang proseso ng encryption, karamihan sa mga sistemang PGP ay nagsasagawa ng data compression. Sa pamamagitan ng pag-compress ng plaintext files bago ipadala ang mga ito, nakatitipid sa espasyo ng disk at oras sa pagpapadala ang PGP - habang pinapabuti rin ang seguridad.

Kasunod ng file compression, nagsisimula ang aktwal na proseso ng encryption. Sa puntong ito, ang nacompress na plaintext file ay ginagamitan ng single-use key para sa encryption. Kilala itong session key. Ang key na ito ay binuo nang walang partikular na ayos sa pamamagitan ng paggamit ng symmetric cryptography, at ang bawat PGP communication session ay may natatanging session key.

Sunod dito, ang session key ay (1) sasailalim sa encryption gamit ang asymmetric encryption: ang itinakdang receiver (Bob) ay magbibigay ng kanyang public key (2) sa nagpadala ng mensahe (Alice) para ma-encrypt ni Alice ang session key. Ang hakbang na ito ang nagpapahintulot kay Alice na ligtas na ibahagi ang session key kay Bob sa pamamagitan ng Internet, anuman ang kondisyon ng seguridad.

Ang asymmetric encryption ng session key ay kadalasang ginagawa sa pamamagitan ng paggamit ng RSA algorithm. Maraming ibang sistema ng encryption ang gumagamit ng RSA, kabilang ang Transport Layer Security (TLS) protocol na binibigyan ng seguridad ang malaking bahagi ng Internet.

Oras na maipadala ang ciphertext ng mensahe at ang encrypted session key, magagamit na ni Bob ang kanyang private key (3) para i-decrypt ang session key, na siya namang gagamitin ngayon para i-decrypt ang ciphertext pabalik sa orihinal na plaintext.

Bukod sa simpleng proseso ng encryption at decryption, sinusuportahan din ng PGP ang mga digital signature - na may hindi bababa sa tatlong tungkulin: 

  • Pag-authenticate: Mabeberipika ni Bob na si Alice ang nagpadala ng mensahe.

  • Integridad: Makatitiyak si Bob na hindi nabago ang mensahe.

  • Hindi pagbawi: Matapos ang digital na signing ng mensahe, hindi na maaaring sabihin ni Alice na hindi niya ito naipadala.


Mga use case

Isa sa mga karaniwang gamit ng PGP ay ang pagbibigay ng seguridad sa mga email. Ang email na may proteksyon ng PGP ay nagiging isang hanay ng mga karakter na hindi nababasa (ciphertext) at magagagawa lamang i-decipher ng katumbas na decryption key. Ang umiiral na mekanismo ay halos pareho din sa pagtitiyak ng seguridad ng mga mensahe sa text, at mayroon ding ilang mga software application na nagbibigay ng pahintulot sa implementasyon ng PGP sa ibang Apps, kaya nadaragdagan ng sistema ng encryption ang mga hindi ligtas na messaging service.

Bagamat ang PGP ay kadalasang gingamit sa pagbibigay ng seguridad sa komunikasyon sa internet, magagamit din ito para sa encryption ng mga indibidwal na device. Sa kontekstong ito, magagamit ang PGP sa paghahati ng mga disk sa isang kompyuter o mobile device. Sa pamamagitan ng encryption ng hard disk, kinakailangang maglagay ng password ang user tuwing bubuksan ang sistema.


Mga benepisyo at limitasyon

Salamat sa pinagsamang gamit ng symmetric at assymetric encryption, pinapayagan ng PGP ang mga user na ligtas na magbahagi ng impormasyon at cryptographic keys sa Internet. Bilang isang hybrid na sistema, nakikinabang ang PGP sa seguridad ng asymmetric cryptography at sa bilis ng symmetric encryption. Dagdag pa sa seguridad at bilis, tinitiyak ng mga digital signature ang integridad ng datos at pagiging totoo ng nagpadala. 

Binigyang-daan ng OpenPGP na protocol ang pag-usbong ng standardized competitive environment at ang mga solusyong PGP ay ibinibigay na ngayon ng maraming kompanya at organisasyon. Ganunpaman, ang lahat ng mga programang PGP na sumusunod sa mga batayan ng OpenPGP ay tugma sa isa’t isa. Nangangahulugan ito na ang mga file at key na nabuo sa isang programa ay magagamit sa iba nang walang problema.

Pagdating sa mga limitasyon, hindi madaling gamitin at intindihin ang mga sistemang PGP, lalong-lalo na sa mga user na kaunti lamang ang teknikal na kaalaman. Bukod pa rito, ang mahabang public keys ay itinuturing na malaking abala ng marami. 

Noong 2018, isang malaking kahinaan na tinawag na EFAIL ang inilathala ng Electronic Frontier Foundation (EFF). Ginawang posible ng EFAIL para sa mga attacker na pagsamantalahan ang aktibong HTML content sa mga encrypted na email para makakuha ng access sa mga plaintext na bersyon ng mga mensahe.

Ganunpaman, ilan sa mga isyung inilarawan ng EFAIL ay dati nang alam ng komunidad ng PGP simula pa noong huling bahagi ng 1990s. At sa katunayan, ang mga kahinaan ay may kaugnayan sa magkakaibang implementasyon sa panig ng mga email client, at hindi sa mismong PGP. Kaya sa kabila ng nakababahala at nakapanlilinlang na mga balita, hindi pa nababasag ang PGP at patuloy itong may mataas na seguridad.


Pangwakas na ideya

Simula sa pagkakabuo nito noong 1991, naging mahalagang kasangkapan na ang PGP sa proteksyon ng mga datos at ngayon ay ginagamit sa maraming uri ng application, para sa pagbibigay ng privacy, seguridad, at authentication. 

Bagamat nagpresenta ng mga mahahalagang isyu ang pagkakadiskubre sa EFAIL na kahinaan noong 2018 tungkol sa kakayahang magtagal ng protocol, ang teknolohiya nito ay itinuturing pa ring matatag at cryptologically sound. Mahalagang tandaan na ang iba’t ibang implementasyon ng PGP ay maaaring magpakita ng magkakaibang lebel ng seguridad.