Vad Àr PGP?
Hem
Artiklar
Vad Àr PGP?

Vad Àr PGP?

Avancerad
Publicerad May 6, 2019Uppdaterad Dec 11, 2023
5m

PGP stÄr för Pretty Good Privacy. Det Àr en krypteringsprogramvara som Àr utformad för att tillhandahÄlla integritet, sÀkerhet och autentisering för onlinekommunikationssystem. Phil Zimmerman Àr namnet bakom det första PGP-programmet och enligt honom gjordes det fritt tillgÀngligt pÄ grund av den vÀxande sociala efterfrÄgan pÄ integritet.

Sedan skapandet 1991 har mÄnga versioner av PGP-programvaran skapats. 1997 lade Phil Zimmerman fram ett förslag till Internet Engineering Task Force (IETF) för att skapa en öppen kÀllkod PGP-standard. Förslaget accepterades och ledde till skapandet av OpenPGP-protokollet, som definierar standardformat för krypteringsnycklar och meddelanden.

Även om det ursprungligen endast anvĂ€ndes för att sĂ€kra e-postmeddelanden och bilagor, anvĂ€nds PGP nu i ett brett urval av anvĂ€ndningsomrĂ„den, inklusive digitala signaturer, fullstĂ€ndig diskkryptering och nĂ€tverksskydd.

PGP Àgdes ursprungligen av företaget PGP Inc, som senare förvÀrvades av Network Associates Inc. Under 2010 förvÀrvade Symantec Corp. PGP för 300 miljoner dollar och termen Àr nu ett varumÀrke som anvÀnds för deras OpenPGP-kompatibla produkter.


Hur fungerar det?

PGP Àr bland de första allmÀnt tillgÀngliga programvarorna som implementerar kryptografi med offentliga nycklar. Det Àr ett hybridkryptosystem som anvÀnder bÄde symmetrisk och asymmetrisk kryptering för att uppnÄ en hög sÀkerhetsnivÄ.

I en grundlĂ€ggande process för textkryptering omvandlas en oformatterad text (data som tydligt kan förstĂ„s) till chiffertext (olĂ€slig data). Men innan krypteringsprocessen Ă€ger rum utför de flesta PGP-system datakomprimering. Genom att komprimera oformatterade textfiler innan de överförs sparar PGP bĂ„de diskutrymme och överföringstid – samtidigt som sĂ€kerheten förbĂ€ttras.

Efter filkomprimeringen börjar sjÀlva krypteringsprocessen. I detta skede krypteras den komprimerade oformatterade textfilen med en engÄngsnyckel, som kallas sessionsnyckeln. Denna nyckel skapas slumpmÀssigt genom anvÀndningen av symmetrisk kryptografi och varje PGP-kommunikationssession har en unik sessionsnyckel.

DÀrefter krypteras sessionsnyckeln (1) med asymmetrisk kryptering: Den avsedda mottagaren (Bob) tillhandahÄller sin offentliga nyckel (2) till avsÀndaren av meddelandet (Alice) sÄ att hon kan kryptera sessionsnyckeln. Detta steg gör det möjligt för Alice att sÀkert dela sessionsnyckeln med Bob via Internet, oavsett sÀkerhetsförhÄllanden.

Vad Àr PGP?

Den asymmetriska krypteringen av sessionsnyckeln görs vanligtvis genom anvÀndning av RSA-algoritmen. MÄnga andra krypteringssystem anvÀnder RSA, inklusive protokollet Transport Layer Security (TLS) som sÀkrar en stor del av Internet.

NÀr meddelandets chiffertext och den krypterade sessionsnyckeln har överförts kan Bob anvÀnda sin privata nyckel (3) för att dekryptera sessionsnyckeln, som sedan anvÀnds för att dekryptera chiffertexten tillbaka till den ursprungliga oformatterade texten.

Vad Àr PGP?

Bortsett frÄn den grundlÀggande processen för kryptering och dekryptering stöder PGP ocksÄ digitala signaturer, som tjÀnar minst tre funktioner: 

  • Autentisering: Bob kan verifiera att avsĂ€ndaren av meddelandet var Alice.

  • Integritet: Bob kan vara sĂ€ker pĂ„ att meddelandet inte Ă€ndrades.

  • Icke-avvisning: Efter att meddelandet Ă€r digitalt signerat kan Alice inte hĂ€vda att hon inte skickade det.


AnvÀndningsomrÄden

Ett av de vanligaste anvÀndningsomrÄdena för PGP Àr att sÀkra e-postmeddelanden. Ett e-postmeddelande som Àr skyddat med PGP förvandlas till en strÀng med tecken som Àr olÀsliga (chiffertext) och kan bara dechiffreras med motsvarande dekrypteringsnyckel. Arbetsmekanismerna Àr praktiskt taget desamma för att sÀkra textmeddelanden och det finns ocksÄ nÄgra mjukvaruapplikationer som gör att PGP kan implementeras ovanpÄ andra appar, vilket effektivt lÀgger till ett krypteringssystem till icke-sÀkra meddelandetjÀnster.

Även om PGP oftast anvĂ€nds för att sĂ€kra internetkommunikation kan det ocksĂ„ anvĂ€ndas för att kryptera enskilda enheter. I detta sammanhang kan PGP tillĂ€mpas pĂ„ diskpartitioner pĂ„ en dator eller mobil enhet. Genom att kryptera hĂ„rddisken mĂ„ste anvĂ€ndaren ange ett lösenord varje gĂ„ng systemet startar upp.


Fördelar och nackdelar

Tack vare den kombinerade anvÀndningen av symmetrisk och asymmetrisk kryptering gör PGP att anvÀndare sÀkert kan dela information och kryptografiska nycklar via Internet. Som ett hybridsystem drar PGP nytta av bÄde sÀkerheten för asymmetrisk kryptografi och hastigheten för symmetrisk kryptering. Förutom sÀkerhet och hastighet sÀkerstÀller digitala signaturer dataintegriteten och avsÀndarens Àkthet. 

OpenPGP-protokollet möjliggjorde uppkomsten av en standardiserad konkurrensmiljö och PGP-lösningar tillhandahĂ„lls nu av flera företag och organisationer. ÄndĂ„ Ă€r alla PGP-program som uppfyller OpenPGP-standarderna kompatibla med varandra. Detta innebĂ€r att filer och nycklar som skapas i ett program kan anvĂ€ndas i ett annat utan problem.

NÀr det gÀller nackdelarna Àr PGP-system inte sÄ enkla att anvÀnda och förstÄ, sÀrskilt för anvÀndare med liten teknisk kunskap. Dn lÄnga lÀngden pÄ de offentliga nycklarna anses ocksÄ vara ganska obekvÀmt för mÄnga. 

År 2018 publicerades en stor sĂ„rbarhet som heter EFAIL av Electronic Frontier Foundation (EFF). EFAIL gjorde det möjligt för angripare att utnyttja aktivt html-innehĂ„ll i krypterade e-postmeddelanden för att fĂ„ tillgĂ„ng till oformatterade textversioner av meddelanden.

NÄgra av de problem som beskrivs av EFAIL var emellertid redan kÀnda av PGP-gemenskapen sedan slutet av 1990-talet och faktiskt Àr sÄrbarheterna relaterade till de olika implementeringarna frÄn e-postklienternas sida och inte med PGP sjÀlv. SÄ, de alarmerande och vilseledande rubrikerna till trots fungerar PGP och fortsÀtter att vara mycket sÀker.


Sammanfattningsvis

Sedan utvecklingen 1991 har PGP varit ett viktigt verktyg för dataskydd och anvÀnds nu i ett brett spektrum av applikationer, som tillhandahÄller integritet, sÀkerhet och autentisering för flera kommunikationssystem och digitala tjÀnsteleverantörer. 

Medan upptÀckten av EFAIL-felet 2018 vÀckte betydande oro över protokollets lönsamhet, betraktas kÀrntekniken fortfarande som robust och kryptografiskt sund. Det Àr viktigt att komma ihÄg att det finns olika sÀkerhetsnivÄer för olika PGP-implementeringar.

Dela inlÀgg
Registrera ett konto
OmsÀtt din kunskap i praktiken genom att öppna ett Binance-konto idag.