PGP es una abreviatura de Pretty Good Privacy. Es un software de cifrado diseñado para brindar privacidad, seguridad y autenticación a los sistemas de comunicación en línea. Phil Zimmerman es el propietario del primer software PGP y, según él, estuvo disponible de forma gratuita debido a la creciente demanda social de privacidad.

Se han creado muchas versiones de PGP desde su creación en 1991. En 1997, Phil Zimmerman presentó una propuesta al Internet Engineering Task Force (IETF) para crear un estándar PGP de código abierto. Luego, la propuesta fue aceptada y condujo a la creación del protocolo OpenPGP, que define formatos estándar para claves y mensajes de cifrado.

Aunque inicialmente se usaba solo para proteger correos electrónicos y archivos adjuntos, PGP ahora se aplica a una amplia gama de casos de uso, incluidas firmas digitales, cifrado completo de discos y protección de redes.

PGP fue inicialmente propiedad de PGP Inc, que luego fue comprada por Network Associates Inc. En 2010, Symantec Corp. compró PGP por 300 millones de dólares y el término ahora es una marca registrada utilizada para sus productos compatibles con OpenPGP.


¿Cómo funciona?

PGP se encuentra entre los primeros programas ampliamente disponibles para implementar criptografía de clave pública. Es un sistema de cifrado híbrido que utiliza cifrado simétrico y asimétrico para lograr un alto nivel de seguridad.

En el sencillo proceso de cifrar texto, el texto sin formato (datos que pueden entenderse claramente) se convierte en texto cifrado (datos que no se pueden leer).  Pero antes del cifrado, la mayoría de los sistemas PGP comprimen los datos comprimiendo archivos de texto sin formato antes de enviarlos. PGP ahorra espacio en disco y tiempo de transmisión y, al mismo tiempo, mejora la seguridad.

Después de comprimir el archivo, comienza el proceso de cifrado real. En este punto, el archivo de texto sin formato comprimido se cifra utilizando una clave de un solo uso, que se conoce como clave de sesión. Esta clave se genera aleatoriamente mediante el uso de cifrado simétrico y cada sesión de conexión PGP tiene una clave de sesión única.

Luego, la clave de sesión en sí se cifra (1) mediante cifrado asimétrico. El destinatario previsto (Bob) proporciona su clave pública (2) al remitente del mensaje (Alice) para que pueda cifrar la clave de sesión. Este paso permite a Alice compartir de forma segura la clave de sesión con Bob a través de Internet, independientemente de las condiciones de seguridad.

ما هو الـ PGP؟


El cifrado asimétrico de la clave de sesión generalmente se realiza mediante el uso del algoritmo RSA.  Muchos otros sistemas de cifrado utilizan RSA, incluido el protocolo Transport Layer Security (TLS), que protege gran parte de Internet.

Una vez que se envían el texto cifrado del mensaje y la clave de sesión cifrada, Bob puede usar su clave privada (3) para descifrar la clave de sesión que luego se usa para descifrar el texto cifrado al texto sin formato original.


ما هو الـ PGP؟


Además del proceso básico de cifrado y descifrado, PGP también admite firmas digitales, que cumplen al menos tres funciones:

  • Autenticación: Bob puede verificar que el remitente del mensaje es Alice.

  • Integridad: Bob puede estar seguro de que el mensaje no ha cambiado.

  • No repudio: Después de firmar digitalmente el mensaje, Alice no puede afirmar que no lo envió.


Casos de uso

Uno de los usos más comunes de PGP es proteger el correo electrónico. El correo electrónico protegido por PGP se convierte en una cadena de caracteres ilegible (texto cifrado) y sólo se puede descifrar utilizando la clave de descifrado correspondiente. El funcionamiento es prácticamente el mismo que para proteger los mensajes de texto. También existen algunas aplicaciones de software que permiten implementar PGP sobre otras aplicaciones, agregando de manera efectiva un sistema de cifrado a servicios de mensajería inseguros.

Aunque PGP se utiliza principalmente para proteger conexiones a Internet, también se puede aplicar para cifrar dispositivos individuales. Esto significa que se puede aplicar PGP a las particiones del disco de una computadora o dispositivo móvil. Lo que significa que cuando el disco duro está cifrado, se le pedirá al usuario que proporcione una contraseña cada vez que se inicie el sistema.


Ventajas y desventajas

Gracias al uso combinado de cifrado simétrico y asimétrico, PGP permite a los usuarios compartir información y claves de cifrado de forma segura a través de Internet. PGP se beneficia tanto de la seguridad del cifrado asimétrico como de la velocidad del cifrado simétrico como sistema híbrido.  Además de la seguridad y la rapidez, las firmas digitales también garantizan la integridad de los datos y la autenticidad del remitente.

Muchas empresas y organizaciones ofrecen ahora el protocolo OpenPGP, que permite el surgimiento de un entorno competitivo unificado y soluciones PGP.  Sin embargo, todos los programas PGP que cumplen con los estándares OpenPGP son compatibles entre sí. Esto significa que los archivos y claves creados en un programa se pueden utilizar en otros programas sin problemas.

En cuanto a las desventajas, los sistemas PGP no son fáciles de usar ni de comprender, especialmente para usuarios con pocos conocimientos técnicos. Además, muchos consideran que la gran longitud de las claves públicas es relativamente inconveniente.

En 2018, la Electronic Frontier Foundation (EFF) publicó una vulnerabilidad importante llamada EFAIL. EFAIL permitió a los atacantes explotar el contenido HTML activo en correos electrónicos cifrados para acceder a versiones no cifradas de los mensajes.

Pero algunas de las preocupaciones descritas por EFAIL ya eran conocidas por la comunidad de PGP desde finales de los años 1990.  De hecho, las vulnerabilidades están relacionadas con diferentes implementaciones por parte de los clientes de correo electrónico y no con PGP en sí. Entonces, a pesar de los titulares molestos y engañosos, PGP sigue siendo muy seguro.


Pensamientos finales

PGP se ha convertido en una herramienta esencial para la protección de datos y ahora se utiliza en una amplia gama de aplicaciones desde su creación en 1991, brindando privacidad, seguridad y autenticación a muchos sistemas de comunicaciones y proveedores de servicios digitales.

Si bien el descubrimiento de la falla EFAIL en 2018 generó grandes preocupaciones sobre la viabilidad del protocolo, todavía se considera que la tecnología subyacente es criptográficamente sólida y sólida. También cabe señalar que diferentes implementaciones de PGP pueden ofrecer diferentes niveles de seguridad.