O que é PGP?

O que é PGP?

Intermedi√°rio
Publicado em May 6, 2019Atualizado em Nov 8, 2023
5m
PGP (do inglês Pretty Good Privacy), é um software de encriptação projetado para fornecer privacidade, segurança e autenticação para sistemas de comunicação online. Phil Zimmerman é o nome por trás do primeiro programa PGP e, de acordo com ele, o programa foi disponibilizado gratuitamente devido à uma crescente demanda social por privacidade.

Desde sua cria√ß√£o em 1991, muitas vers√Ķes do software PGP foram criadas. Em 1997, Phil Zimmerman fez uma proposta para a organiza√ß√£o americana IETF (Internet Engineering Task Force) para a cria√ß√£o de um padr√£o aberto de criptografia PGP. A proposta foi aceita e levou √† cria√ß√£o do protocolo OpenPGP, que define os formatos padr√Ķes para chaves de encripta√ß√£o e mensagens que usam PGP.

Apesar de inicialmente utilizados para proteger mensagens e anexos de email, a tecnologia PGP é agora aplicada em uma grande variedade de cenários, incluindo assinaturas digitais, encriptação de discos e proteção de redes.

No come√ßo, PGP era propriedade da empresa PGP Inc., a qual foi posteriormente adquirida pela Network Associates Inc. Em 2010, a Symantec Corp. comprou os direitos da tecnologia PGP por 300 milh√Ķes de d√≥lares, e o termo agora √© uma marca registrada da empresa (usado em todos os produtos que s√£o compat√≠veis com o protocolo OpenPGP).


Como o PGP funciona?

PGP est√° entre os primeiros softwares amplamente dispon√≠veis a implementar¬†criptografia de chave p√ļblica. A tecnologia PGP consiste de um sistema h√≠brido de criptografia que usa tanto encripta√ß√£o¬†sim√©trica como assim√©trica para atingir altos n√≠veis de¬†seguran√ßa e privacidade.
Em um processo simples de encriptação, um plaintext (texto claro, que pode ser facilmente compreendido) é convertido em ciphertext (texto cifrado, ilegível). Mas antes do processo de encriptação começar, a maioria dos sistemas PGP realiza uma compressão. Ao comprimir os dados antes de transmiti-los, o programa PGP economiza tanto espaço de armazenamento quanto tempo de transmissão - além de também aumentar a segurança.

Ap√≥s a compress√£o dos arquivos, o processo de encripta√ß√£o √© iniciado. Nesse momento, o plaintext comprimido √© encriptado com uma chave de uso √ļnico, chamada chave de sess√£o (session key). Tal chave √© gerada aleatoriamente atrav√©s de um sistema de criptografia sim√©trica e cada sess√£o de comunica√ß√£o PGP possui uma √ļnica session key.

Em seguida, a session key (1) √© encriptada usando encripta√ß√£o assim√©trica: o receptor da mensagem (Bob) fornece sua chave p√ļblica (2) para o remetente (Alice) para que ela consiga encriptar a session key criada na etapa anterior. Isso garante que Alice possa compartilhar a session key com Bob pela Internet, independente das condi√ß√Ķes de seguran√ßa.

Geralmente, a encriptação assimétrica da session key é feita através do algoritmo RSA. Muitos outros sistemas de encriptação usam o RSA, incluindo o protocolo TLS (Transport Layer Security) que protege uma grande parte da Internet.

Assim que o ciphertext da mensagem e a session key encriptada são transmitidos, Bob pode usar sua chave privada (3) para decriptar a session key, a qual é então usada para decriptar o ciphertext de volta a sua forma original (plaintext).

Al√©m do processo b√°sico de encripta√ß√£o e decripta√ß√£o, o PGP tamb√©m suportar assinaturas digitais - as quais servem para pelo menos tr√™s fun√ß√Ķes:

  • Autentica√ß√£o: Bob pode ter certeza de que o remetente da mensagem foi Alice.

  • Integridade: Bob pode checar se a mensagem n√£o foi alterada.

  • N√£o-repudia√ß√£o: depois que a mensagem √© assinada digitalmente, Alice n√£o pode negar que foi a remetente.


Casos de uso

Uma das aplica√ß√Ķes mais comuns do PGP √© na prote√ß√£o de emails. Um email que √© protegido com PGP √© transformado em uma sequ√™ncia de caracteres que s√£o ileg√≠veis (ciphertext) e s√≥ podem ser decifrados com a chave de decripta√ß√£o correspondente. Os mecanismos de funcionamento s√£o praticamente os mesmos na prote√ß√£o de mensagens de texto, e existem algumas vers√Ķes de PGP que permitem que a tecnologia seja implementada em cima de outros Apps (preexistentes). Isso permite que desenvolvedores e usu√°rios adicionem um sistema de encripta√ß√£o PGP em servi√ßos de mensagens que n√£o s√£o seguros por padr√£o.

Apesar da tecnologia PGP ser amplamente utilizada na proteção de comunicação por Internet, ela também pode ser aplicada para encriptar dispositivos individuais. Nesse contexto, um programa PGP pode ser usado para encriptar uma partição (disco rígido) de um computador ou até celular. Ao encriptar um disco rígido com PGP, o usuário terá que fornecer uma senha todas as vezes que o sistema for iniciado.


Vantagens e desvantagens

Gra√ßas ao uso combinado de encripta√ß√£o sim√©trica e assim√©trica, o PGP permite que usu√°rios compartilhem informa√ß√Ķes e chaves criptogr√°ficas pela Internet de maneira segura. Como um sistema h√≠brido, PGP se beneficia tanto da seguran√ßa da¬†criptografia assim√©trica quanto da velocidade da¬†encripta√ß√£o sim√©trica. Al√©m da seguran√ßa e velocidade, as assinaturas digitais garantem a integridade dos dados e a autenticidade dos remetentes.

O protocolo OpenPGP permitiu a emerg√™ncia de um ambiente competitivo e solu√ß√Ķes PGP agora s√£o fornecidas por v√°rias empresas e organiza√ß√Ķes. Ainda assim, todos os programas PGP que seguem os padr√Ķes OpenPGP s√£o compat√≠veis entre si. Portanto, arquivos e chaves geradas em um programa podem ser usados em outros sem nenhum problema.

Em rela√ß√£o √†s desvantagens, sistemas PGP n√£o s√£o t√£o simples de usar e entender, principalmente para usu√°rios que n√£o possuem conhecimento t√©cnico. Ademais, as chaves p√ļblicas s√£o muito longas e por isso s√£o consideradas por muitos como inconvenientes.

Em 2018, uma vulnerabilidade chamada EFAIL foi publicada pela Electronic Frontier Foundation (EFF). Tal vulnerabilidade permitiu que hackers explorassem conte√ļdo ativo de HTML em emails encriptados, ganhando acesso as vers√Ķes de plaintext das mensagens (antes de serem encriptadas).

Entretanto, alguns dos problemas relatados pelo EFAIL já eram conhecidos pela comunidade PGP desde os anos 90 e, na realidade, essas vulnerabilidades estão relacionadas às diferentes formas de implementação por parte dos provedores de email, e não ao PGP propriamente dito. Então apesar das manchetes alarmantes e enganosas, os sistemas PGP não estão quebrados e continuam sendo altamente seguros e confiáveis.


Considera√ß√Ķes finais

Desde sua cria√ß√£o em 1991, a tecnologia PGP tem sido uma ferramenta essencial na prote√ß√£o de dados e √© hoje utilizada em uma grande gama de aplica√ß√Ķes, fornecendo privacidade, seguran√ßa e autentica√ß√£o para diversos sistemas de comunica√ß√£o digital.

Apesar da descoberta de 2018 ter levantado preocupa√ß√Ķes sobre a viabilidade do protocolo, a tecnologia PGP ainda √© considerada robusta e criptograficamente funcional. Vale lembrar que dependendo de como a tecnologia PGP √© implementada, diferentes n√≠veis de seguran√ßa s√£o atingidos.

Compartilhar publica√ß√Ķes
Registre uma conta
Coloque seus conhecimentos em pr√°tica. Abra uma conta na Binance hoje mesmo.