PGP adalah singkatan dari Pretty Good Privacy. Ini adalah perangkat lunak enkripsi yang dirancang untuk memberikan privasi, keamanan, dan otentikasi untuk sistem komunikasi online. Phil Zimmerman adalah nama di balik program PGP pertama, yang menurutnya tersedia secara gratis karena meningkatnya permintaan masyarakat akan privasi.

Sejak didirikan pada tahun 1991, banyak versi perangkat lunak PGP telah dibuat. Pada tahun 1997, Phil Zimmerman mengajukan proposal kepada Internet Engineering Task Force (IETF) untuk pembuatan standar PGP open source. Proposal tersebut diterima dan mengarah pada pembuatan protokol OpenPGP, yang mendefinisikan format standar untuk kunci enkripsi dan pesan.

Meskipun awalnya hanya digunakan untuk melindungi pesan email dan lampiran, PGP kini diterapkan pada berbagai kasus penggunaan, termasuk tanda tangan digital, enkripsi disk penuh, dan perlindungan jaringan.

PGP awalnya dimiliki oleh perusahaan PGP Inc, yang kemudian diakuisisi oleh Network Associates Inc. Pada tahun 2010, Symantec Corp. mengakuisisi PGP seharga $300 juta, dan istilah tersebut sekarang menjadi merek dagang yang digunakan untuk produk-produknya yang kompatibel dengan OpenPGP.


Bagaimana itu bekerja?

PGP adalah salah satu perangkat lunak pertama yang tersedia secara luas untuk mengimplementasikan kriptografi kunci publik. Ini adalah sistem kriptografi hibrid yang menggunakan enkripsi simetris dan asimetris untuk mencapai tingkat keamanan yang tinggi.

Dalam proses enkripsi teks dasar, teks biasa (data yang dapat dipahami dengan jelas) diubah menjadi teks sandi (data yang tidak dapat dibaca). Namun sebelum proses enkripsi berlangsung, sebagian besar sistem PGP melakukan kompresi data. Dengan mengompresi file teks biasa sebelum mengirimkannya, PGP menghemat ruang disk dan waktu transmisi, sekaligus meningkatkan keamanan.

Setelah kompresi file, proses enkripsi sebenarnya dimulai. Pada tahap ini, file teks biasa terkompresi dienkripsi dengan kunci satu kali, yang dikenal sebagai kunci sesi. Kunci ini dihasilkan secara acak menggunakan kriptografi simetris, dan setiap sesi komunikasi PGP memiliki kunci sesi unik.

Kunci sesi(1) sendiri kemudian dienkripsi menggunakan enkripsi asimetris: penerima yang dituju (Bob) memberikan kunci publiknya(2) kepada pengirim pesan (Alice) sehingga ia dapat mengenkripsi kunci sesi. Langkah ini memungkinkan Alice untuk berbagi kunci sesi dengan Bob secara aman melalui Internet, apa pun kondisi keamanannya.

¿Qué es PGP?

Enkripsi asimetris pada kunci sesi biasanya dilakukan dengan menggunakan algoritma RSA. Banyak sistem enkripsi lain yang menggunakan RSA, termasuk protokol Transport Layer Security (TLS) yang melindungi sebagian besar Internet.

Setelah pesan tersandi dan kunci sesi terenkripsi dikirimkan, Bob dapat menggunakan kunci pribadinya (3) untuk mendekripsi kunci sesi, yang kemudian digunakan untuk mendekripsi teks tersandi kembali ke teks biasa.

¿Qué es PGP?

Selain proses enkripsi dan dekripsi dasar, PGP juga mendukung tanda tangan digital, yang setidaknya memiliki tiga fungsi:

  • Otentikasi: Bob dapat memverifikasi bahwa pengirim pesan adalah Alice.

  • Integritas: Bob dapat yakin bahwa pesan tersebut tidak diubah.

  • Non-penyangkalan: Setelah pesan ditandatangani secara digital, Alice tidak dapat mengklaim bahwa dia tidak mengirimkannya.


Kasus penggunaan

Salah satu kegunaan PGP yang paling umum adalah untuk melindungi email. Email yang dilindungi PGP diubah menjadi serangkaian karakter yang tidak dapat dibaca (teks sandi) dan hanya dapat didekripsi dengan kunci dekripsi yang sesuai. Mekanisme kerjanya sebagian besar sama untuk melindungi pesan teks, dan ada juga beberapa aplikasi perangkat lunak yang memungkinkan PGP diimplementasikan di atas aplikasi lain, menambahkan sistem enkripsi ke layanan pesan tidak aman.

Meskipun PGP terutama digunakan untuk mengamankan komunikasi Internet, PGP juga dapat diterapkan untuk mengenkripsi perangkat individual. Dalam konteks ini, PGP dapat diterapkan pada partisi disk komputer atau perangkat seluler. Saat Anda mengenkripsi hard drive, pengguna harus memberikan kata sandi setiap kali sistem melakukan booting.


Keuntungan dan kerugian

Berkat gabungan penggunaan enkripsi simetris dan asimetris, PGP memungkinkan pengguna berbagi informasi dan kunci kriptografi dengan aman melalui Internet. Sebagai sistem hybrid, PGP mendapatkan keuntungan dari keamanan kriptografi asimetris dan kecepatan enkripsi simetris. Selain keamanan dan kecepatan, tanda tangan digital menjamin integritas data dan keaslian pengirimnya.

Protokol OpenPGP memungkinkan munculnya lingkungan kompetitif terstandar dan solusi PGP kini disediakan oleh berbagai perusahaan dan organisasi. Namun, semua program PGP yang mematuhi standar OpenPGP kompatibel satu sama lain. Ini berarti file dan kunci yang dihasilkan dalam satu program dapat digunakan di program lain tanpa masalah.

Adapun kelemahannya, sistem PGP tidak mudah digunakan dan dipahami, terutama bagi pengguna yang memiliki sedikit pengetahuan teknis. Selain itu, banyak yang menganggap kunci publik yang panjang cukup merepotkan.

Pada tahun 2018, Electronic Frontier Foundation (EFF) menerbitkan kerentanan utama yang disebut EFAIL. EFAIL memungkinkan penyerang mengeksploitasi konten HTML aktif dalam email terenkripsi untuk mendapatkan akses ke versi teks biasa dari pesan tersebut.

Namun, beberapa kekhawatiran yang dijelaskan oleh EFAIL sudah diketahui oleh komunitas PGP sejak akhir tahun 1990an, dan faktanya kerentanan tersebut terkait dengan implementasi klien email yang berbeda, dan bukan dengan PGP itu sendiri. Jadi meskipun berita utama mengkhawatirkan dan menyesatkan, PGP tidak rusak dan tetap sangat aman.


Kesimpulannya

Sejak dikembangkan pada tahun 1991, PGP telah menjadi alat penting untuk perlindungan data dan kini digunakan dalam berbagai aplikasi, memberikan privasi, keamanan, dan otentikasi untuk berbagai sistem komunikasi dan penyedia layanan digital.

Meskipun penemuan kelemahan EFAIL pada tahun 2018 menimbulkan kekhawatiran yang signifikan tentang kelangsungan protokol, teknologi intinya masih dianggap kuat dan bersifat kriptografis. Perlu dicatat bahwa penerapan PGP yang berbeda mungkin menimbulkan tingkat keamanan yang berbeda.