PGP stÄr för Pretty Good Privacy. Det Àr en krypteringsprogramvara som Àr utformad för att tillhandahÄlla integritet, sÀkerhet och autentisering för onlinekommunikationssystem. Phil Zimmerman Àr namnet bakom det första PGP-programmet och enligt honom gjordes det fritt tillgÀngligt pÄ grund av den vÀxande sociala efterfrÄgan pÄ integritet.
Sedan skapandet 1991 har mÄnga versioner av PGP-programvaran skapats. 1997 lade Phil Zimmerman fram ett förslag till Internet Engineering Task Force (IETF) för att skapa en öppen kÀllkod PGP-standard. Förslaget accepterades och ledde till skapandet av OpenPGP-protokollet, som definierar standardformat för krypteringsnycklar och meddelanden.
Ăven om det ursprungligen endast anvĂ€ndes för att sĂ€kra e-postmeddelanden och bilagor, anvĂ€nds PGP nu i ett brett urval av anvĂ€ndningsomrĂ„den, inklusive digitala signaturer, fullstĂ€ndig diskkryptering och nĂ€tverksskydd.
PGP Àgdes ursprungligen av företaget PGP Inc, som senare förvÀrvades av Network Associates Inc. Under 2010 förvÀrvade Symantec Corp. PGP för 300 miljoner dollar och termen Àr nu ett varumÀrke som anvÀnds för deras OpenPGP-kompatibla produkter.
Hur fungerar det?
PGP Àr bland de första allmÀnt tillgÀngliga programvarorna som implementerar kryptografi med offentliga nycklar. Det Àr ett hybridkryptosystem som anvÀnder bÄde symmetrisk och asymmetrisk kryptering för att uppnÄ en hög sÀkerhetsnivÄ.
I en grundlĂ€ggande process för textkryptering omvandlas en oformatterad text (data som tydligt kan förstĂ„s) till chiffertext (olĂ€slig data). Men innan krypteringsprocessen Ă€ger rum utför de flesta PGP-system datakomprimering. Genom att komprimera oformatterade textfiler innan de överförs sparar PGP bĂ„de diskutrymme och överföringstid â samtidigt som sĂ€kerheten förbĂ€ttras.
Efter filkomprimeringen börjar sjÀlva krypteringsprocessen. I detta skede krypteras den komprimerade oformatterade textfilen med en engÄngsnyckel, som kallas sessionsnyckeln. Denna nyckel skapas slumpmÀssigt genom anvÀndningen av symmetrisk kryptografi och varje PGP-kommunikationssession har en unik sessionsnyckel.
DÀrefter krypteras sessionsnyckeln (1) med asymmetrisk kryptering: Den avsedda mottagaren (Bob) tillhandahÄller sin offentliga nyckel (2) till avsÀndaren av meddelandet (Alice) sÄ att hon kan kryptera sessionsnyckeln. Detta steg gör det möjligt för Alice att sÀkert dela sessionsnyckeln med Bob via Internet, oavsett sÀkerhetsförhÄllanden.
Den asymmetriska krypteringen av sessionsnyckeln görs vanligtvis genom anvÀndning av RSA-algoritmen. MÄnga andra krypteringssystem anvÀnder RSA, inklusive protokollet Transport Layer Security (TLS) som sÀkrar en stor del av Internet.
NÀr meddelandets chiffertext och den krypterade sessionsnyckeln har överförts kan Bob anvÀnda sin privata nyckel (3) för att dekryptera sessionsnyckeln, som sedan anvÀnds för att dekryptera chiffertexten tillbaka till den ursprungliga oformatterade texten.
Bortsett frĂ„n den grundlĂ€ggande processen för kryptering och dekryptering stöder PGP ocksĂ„ digitala signaturer, som tjĂ€nar minst tre funktioner:Â
Autentisering: Bob kan verifiera att avsÀndaren av meddelandet var Alice.
Integritet: Bob kan vara sÀker pÄ att meddelandet inte Àndrades.
Icke-avvisning: Efter att meddelandet Àr digitalt signerat kan Alice inte hÀvda att hon inte skickade det.
AnvÀndningsomrÄden
Ett av de vanligaste anvÀndningsomrÄdena för PGP Àr att sÀkra e-postmeddelanden. Ett e-postmeddelande som Àr skyddat med PGP förvandlas till en strÀng med tecken som Àr olÀsliga (chiffertext) och kan bara dechiffreras med motsvarande dekrypteringsnyckel. Arbetsmekanismerna Àr praktiskt taget desamma för att sÀkra textmeddelanden och det finns ocksÄ nÄgra mjukvaruapplikationer som gör att PGP kan implementeras ovanpÄ andra appar, vilket effektivt lÀgger till ett krypteringssystem till icke-sÀkra meddelandetjÀnster.
Ăven om PGP oftast anvĂ€nds för att sĂ€kra internetkommunikation kan det ocksĂ„ anvĂ€ndas för att kryptera enskilda enheter. I detta sammanhang kan PGP tillĂ€mpas pĂ„ diskpartitioner pĂ„ en dator eller mobil enhet. Genom att kryptera hĂ„rddisken mĂ„ste anvĂ€ndaren ange ett lösenord varje gĂ„ng systemet startar upp.
Fördelar och nackdelar
Tack vare den kombinerade anvĂ€ndningen av symmetrisk och asymmetrisk kryptering gör PGP att anvĂ€ndare sĂ€kert kan dela information och kryptografiska nycklar via Internet. Som ett hybridsystem drar PGP nytta av bĂ„de sĂ€kerheten för asymmetrisk kryptografi och hastigheten för symmetrisk kryptering. Förutom sĂ€kerhet och hastighet sĂ€kerstĂ€ller digitala signaturer dataintegriteten och avsĂ€ndarens Ă€kthet.Â
OpenPGP-protokollet möjliggjorde uppkomsten av en standardiserad konkurrensmiljö och PGP-lösningar tillhandahĂ„lls nu av flera företag och organisationer. ĂndĂ„ Ă€r alla PGP-program som uppfyller OpenPGP-standarderna kompatibla med varandra. Detta innebĂ€r att filer och nycklar som skapas i ett program kan anvĂ€ndas i ett annat utan problem.
NĂ€r det gĂ€ller nackdelarna Ă€r PGP-system inte sĂ„ enkla att anvĂ€nda och förstĂ„, sĂ€rskilt för anvĂ€ndare med liten teknisk kunskap. Dn lĂ„nga lĂ€ngden pĂ„ de offentliga nycklarna anses ocksĂ„ vara ganska obekvĂ€mt för mĂ„nga.Â
à r 2018 publicerades en stor sÄrbarhet som heter EFAIL av Electronic Frontier Foundation (EFF). EFAIL gjorde det möjligt för angripare att utnyttja aktivt html-innehÄll i krypterade e-postmeddelanden för att fÄ tillgÄng till oformatterade textversioner av meddelanden.
NÄgra av de problem som beskrivs av EFAIL var emellertid redan kÀnda av PGP-gemenskapen sedan slutet av 1990-talet och faktiskt Àr sÄrbarheterna relaterade till de olika implementeringarna frÄn e-postklienternas sida och inte med PGP sjÀlv. SÄ, de alarmerande och vilseledande rubrikerna till trots fungerar PGP och fortsÀtter att vara mycket sÀker.
Sammanfattningsvis
Sedan utvecklingen 1991 har PGP varit ett viktigt verktyg för dataskydd och anvĂ€nds nu i ett brett spektrum av applikationer, som tillhandahĂ„ller integritet, sĂ€kerhet och autentisering för flera kommunikationssystem och digitala tjĂ€nsteleverantörer.Â
Medan upptÀckten av EFAIL-felet 2018 vÀckte betydande oro över protokollets lönsamhet, betraktas kÀrntekniken fortfarande som robust och kryptografiskt sund. Det Àr viktigt att komma ihÄg att det finns olika sÀkerhetsnivÄer för olika PGP-implementeringar.