Ce este PGP?
Acasă
Articole
Ce este PGP?

Ce este PGP?

Intermediar
Publicat May 6, 2019Actualizat Dec 11, 2023
5m

PGP înseamnă Pretty Good Privacy (Confidențialitate ridicată). Este un software de criptare conceput pentru a oferi confidențialitate, securitate și autentificare pentru sistemele de comunicații online. Phil Zimmerman este numele din spatele primului program PGP și, potrivit acestuia, a fost pus la dispoziție gratuit datorită cererii sociale tot mai mari de confidențialitate.

De la crearea acestuia în 1991, au fost create multe versiuni de software PGP. În 1997, Phil Zimmerman a făcut o propunere către Internet Engineering Task Force (IETF) pentru crearea unui standard PGP open-source. Propunerea a fost acceptată și a condus la crearea protocolului OpenPGP, care definește formatele standard pentru cheile și mesajele de criptare.

Deși inițial a fost utilizat doar pentru securizarea mesajelor de e-mail și a atașamentelor, PGP este acum aplicat la o gamă largă de cazuri de utilizare, inclusiv semnături digitale, criptarea completă a discurilor și protecția rețelelor.

PGP a fost deținut inițial de compania PGP Inc, care a fost achiziționată ulterior de Network Associates Inc. În 2010, Symantec Corp. a achiziționat PGP pentru 300 de milioane de dolari, iar termenul este acum o marcă comercială utilizată pentru produsele lor compatibile cu OpenPGP.


Cum funcționează?

PGP este printre primele software disponibile pe scară largă care implementează criptografia cu cheie publică. Este un criptosistem hibrid care utilizează atât criptarea simetrică , cât și asimetrică pentru a atinge un nivel ridicat de securitate.

Într-un proces de bază de criptare a textului, un text simplu (date care pot fi înțelese clar) este convertit în text cifrat (date care nu pot fi citite). Dar înainte ca procesul de criptare să aibă loc, majoritatea sistemelor PGP efectuează comprimarea datelor. Prin comprimarea fișierelor de text simplu înainte de a le transmite, PGP economisește atât spațiu pe disc, cât și timpul de transmisie - în același timp îmbunătățind securitatea.

După comprimarea fișierului, începe procesul propriu-zis de criptare. În această etapă, fișierul de text simplu comprimat este criptat cu o cheie de unică folosință, care este cunoscută sub numele de cheie de sesiune. Această cheie este generată aleatoriu prin utilizarea criptografiei simetrice, iar fiecare sesiune de comunicare PGP are o cheie de sesiune unică.

Apoi, cheia de sesiune (1) în sine este criptată folosind criptarea asimetrică: receptorul vizat (Bob) furnizează cheia sa publică (2) expeditorului mesajului (Alice), astfel încât acesta să poată cripta cheia de sesiune. Acest pas îi permite lui Alice să partajeze în siguranță cheia de sesiune cu Bob prin Internet, indiferent de condițiile de securitate.

Ce este PGP?

Criptarea asimetrică a cheii de sesiune se face de obicei prin utilizarea algoritmului RSA. Multe alte sisteme de criptare folosesc RSA, inclusiv protocolul Transport Layer Security (TLS) care securizează o mare parte a Internetului.

Odată ce textul cifrat al mesajului și cheia de sesiune criptată sunt transmise, Bob își poate folosi cheia privată (3) pentru a decripta cheia de sesiune, care este apoi folosită pentru a decripta textul cifrat înapoi în textul simplu original.

Ce este PGP?

Pe lângă procesul de bază de criptare și decriptare, PGP acceptă și semnăturile digitale - care au cel puțin trei funcții: 

  • Autentificare: Bob poate verifica dacă expeditorul mesajului a fost Alice.

  • Integritate: Bob poate fi sigur că mesajul nu a fost modificat.

  • Non-repudiere: după ce mesajul este semnat digital, Alice nu poate pretinde că nu l-a trimis.


Cazuri de utilizare

Una dintre cele mai comune utilizări pentru PGP este securizarea e-mailurilor. Un e-mail care este protejat cu PGP este transformat într-un șir de caractere care nu pot fi citite (text cifrat) și poate fi descifrat numai cu cheia de decriptare corespunzătoare. Mecanismele de lucru sunt practic aceleași pentru securizarea mesajelor text și există, de asemenea, unele aplicații software care permit implementarea PGP peste alte aplicații, adăugând efectiv un sistem de criptare la serviciile de mesagerie nesecurizate.

Deși PGP este folosit mai ales pentru a securiza comunicațiile prin internet, poate fi aplicat și pentru a cripta dispozitive individuale. În acest context, PGP poate fi aplicat partițiilor de disc ale unui computer sau dispozitiv mobil. Prin criptarea hard disk-ului, utilizatorului i se va cere să furnizeze o parolă de fiecare dată când sistemul pornește.


Avantaje și dezavantaje

Datorită utilizării combinate a criptării simetrice și asimetrice, PGP permite utilizatorilor să partajeze în siguranță informații și chei criptografice prin Internet. Ca sistem hibrid, PGP beneficiază atât de securitatea criptografiei asimetrice, cât și de viteza de criptare simetrică. Pe lângă securitate și viteză, semnăturile digitale asigură integritatea datelor și autenticitatea expeditorului. 

Protocolul OpenPGP a permis apariția unui mediu competitiv standardizat, iar soluțiile PGP sunt acum furnizate de mai multe companii și organizații. Totuși, toate programele PGP care respectă standardele OpenPGP sunt compatibile între ele. Aceasta înseamnă că fișierele și cheile generate într-un program pot fi folosite în altul fără probleme.

În ceea ce privește dezavantajele, sistemele PGP nu sunt atât de simplu de utilizat și de înțeles, mai ales pentru utilizatorii cu puține cunoștințe tehnice. De asemenea, lungimea mare a cheilor publice este considerată de mulți ca fiind destul de incomodă. 

În 2018, o vulnerabilitate majoră numită EFAIL a fost publicată de Electronic Frontier Foundation (EFF). EFAIL a făcut posibil ca atacatorii să exploateze conținutul HTML activ din e-mailurile criptate pentru a obține acces la versiunile de text simplu ale mesajelor.

Cu toate acestea, unele dintre preocupările descrise de EFAIL erau deja cunoscute de comunitatea PGP încă de la sfârșitul anilor 1990 și, de fapt, vulnerabilitățile sunt legate de diferitele implementări din partea clienților de e-mail, și nu de PGP în sine. Deci, în ciuda titlurilor alarmante și înșelătoare, PGP nu este defect și continuă să fie extrem de sigur.


Gânduri de încheiere

De la dezvoltarea sa în 1991, PGP a fost un instrument esențial pentru protecția datelor și este acum utilizat într-o gamă largă de aplicații, oferind confidențialitate, securitate și autentificare pentru mai multe sisteme de comunicații și furnizori de servicii digitale. 

În timp ce descoperirea defectului EFAIL din 2018 a stârnit îngrijorări semnificative cu privire la viabilitatea protocolului, tehnologia de bază este încă considerată ca fiind robustă și sigură din punct de vedere criptografic. Trebuie remarcat faptul că diferite implementări ale PGP pot prezenta niveluri diferite de securitate.

Distribuiți postările
Înregistrați un cont
Puneți-vă cunoștințele în practică prin deschiderea unui cont Binance astăzi.