Що таке PGP?

Що таке PGP?

Середній рівень
Опубліковано May 6, 2019Оновлено Dec 11, 2023
5m

PGP означає "досить хороша конфіденційність" (від англ. Pretty Good Privacy). Це програмне забезпечення для шифрування, призначене для забезпечення конфіденційності, безпеки й аутентифікації систем онлайн-комунікацій. Філ Циммерман – ім'я, яке стоїть за першою програмою PGP, і, за його словами, вона стала вільно доступною через зростаючий соціальний попит на конфіденційність.

З моменту створення PgP у 1991 році, було створено багато версій програмного забезпечення PGP. У 1997 році Філ Циммерман вніс пропозицію до IETF про створення стандарту PGP з відкритим вихідним кодом. Пропозиція була прийнята та призвела до створення протоколу OpenPGP, що визначає стандартні формати ключів шифрування і повідомлень.

Хоча спочатку PGP використовувався тільки для захисту повідомлень електронної пошти та вкладень, тепер він має широкий спектр випадків використання, зокрема цифрові підписи, повне шифрування диска й захист мережі.

Спочатку PGP належав компанії PGP Inc, яка пізніше була придбана компанією Network Associates Inc. У 2010 році корпорація Symantec придбала PGP за 300 мільйонів доларів, і тепер цей термін є товарним знаком, який використовується для їхніх продуктів, сумісних із OpenPGP.


Як це працює?

PGP є одним із перших широко доступних програмних засобів, що реалізують криптографію з публічним ключем. Це гібридна криптосистема, яка використовує як симетричне, так і асиметричне шифрування для досягнення високого рівня безпеки.

У базовому процесі шифрування тексту, відкритий текст (дані, які можна чітко зрозуміти) перетворюється на зашифрований текст (дані, що не читаються). Але перш ніж розпочнеться процес шифрування, більшість систем PGP виконують стиснення даних. Стискаючи текстові файли перед їхньою передачею, PGP заощаджує дисковий простір і час передачі, а також підвищує безпеку.

Після стиснення файлу починається процес шифрування. На цьому етапі стислий текстовий файл шифрується одноразовим ключем, який називається ключем сесії. Цей ключ генерується випадково з використанням симетричної криптографії, і кожен сеанс зв'язку PGP має унікальний ключ сесії.

Потім сам ключ сесії (1) шифрується з використанням асиметричного шифрування: передбачуваний одержувач (Боб) надає свій публічний ключ (2) відправнику повідомлення (Алісі), щоб вона могла зашифрувати ключ сесії. Цей крок дозволяє Алісі безпечно поділитися ключем сесії з Бобом через інтернет, незалежно від умов безпеки.

Що таке PGP?

Асиметричне шифрування ключа сесії зазвичай виконується за допомогою алгоритму RSA. Багато інших систем шифрування використовують RSA, зокрема протокол Transport Layer Security (TLS), який захищає більшу частину інтернету.

Щойно зашифрований текст повідомлення та зашифрований ключ сесії будуть передані, Боб може використовувати свій приватний ключ (3) для розшифровки ключа сесії, який потім використовується для розшифрування зашифрованого тексту назад у вихідний відкритий текст.

Що таке PGP?

Крім базового процесу шифрування і дешифрування, PGP також підтримує цифрові підписи, які виконують щонайменше три функції: 

  • Аутентифікація: Боб може переконатися, що відправником повідомлення була Аліса.

  • Цілісність: Боб може бути впевнений, що повідомлення не було змінено.

  • Безповоротність: після того, як повідомлення підписано цифровим підписом, Аліса не може стверджувати, що його не надсилала.


Варіанти використання

Одним із найпоширеніших застосувань PGP є захист електронної пошти. Електронний лист, захищений за допомогою PGP, перетворюється на рядок нечитабельних символів (зашифрований текст), який можна розшифрувати лише за допомогою відповідного ключа дешифрування. Робочі механізми захисту текстових повідомлень практично однакові, а також існують деякі програми, які дозволяють впроваджувати PGP поверх інших програм, ефективно додаючи систему шифрування до незахищених служб обміну повідомленнями.

Хоча PGP в основному використовується для захисту інтернет-комунікацій, його також можна використовувати для шифрування окремих пристроїв. У цьому контексті PGP може застосовуватися до розділів дисків комп'ютера або мобільного пристрою. Зашифрувавши жорсткий диск, користувач повинен буде вводити пароль щоразу під час завантаження системи.


Переваги та недоліки

Завдяки комбінованому використанню симетричного й асиметричного шифрування, PGP дозволяє користувачам безпечно обмінюватися інформацією та криптографічними ключами через інтернет. Будучи гібридною системою, PGP виграє як від безпеки асиметричної криптографії, так і від швидкості симетричного шифрування. Крім безпеки та швидкості, цифрові підписи забезпечують цілісність даних і справжність відправника. 

Протокол OpenPGP дозволив створити стандартизоване конкурентне середовище, і тепер рішення PGP надаються безліччю компаній і організацій. До того ж всі програми PGP, які відповідають стандартам OpenPGP, сумісні одна з одною. Це означає, що файли та ключі, створені в одній програмі, можна без проблем використовувати в іншій.

Що стосується недоліків, системи PGP не такі прості у використанні й розумінні, особливо для користувачів з невеликими технічними знаннями. Крім того, багато хто вважає велику довжину публічних ключів дуже незручною. 

У 2018 році організація Electronic Frontier Foundation (EFF) опублікувала серйозну вразливість під назвою EFAIL. EFAIL дозволила зловмисникам використовувати активний HTML-контент у зашифрованих електронних листах для отримання доступу до відкритих текстових версій повідомлень.

Однак деякі проблеми, описані EFF, уже були відомі спільноті PGP з кінця 1990-х років, і, насправді, уразливості пов’язані з різними впровадженнями з боку клієнтів електронної пошти, а не з самим PGP. Таким чином, незважаючи на тривожні й оманливі заголовки, PGP не зламаний і продовжує залишатися дуже безпечним.


Підсумки

З моменту свого розвитку в 1991 році, PGP став важливим інструментом захисту даних і зараз використовується в широкому спектрі застосунків, забезпечуючи конфіденційність, безпеку й аутентифікацію для кількох систем зв'язку та постачальників цифрових послуг. 

Хоча виявлення вразливості EFAIL у 2018 році викликало серйозні побоювання з приводу життєздатності протоколу, основна технологія, як і раніше, вважається надійною та криптографічно захищеною. Варто зазначити, що різні реалізації PGP можуть забезпечувати різні рівні безпеки.

Поділіться дописами
Реєстрація акаунту
Застосуйте свої знання на практиці, відкривши акаунт Binance вже сьогодні.