La parola PGP è l'acronimo di Pretty Good Privacy e significa 'privacy molto buona'. È un programma di crittografia progettato per fornire privacy e sicurezza e anche per autenticare i sistemi di comunicazione online. Phil Zimmerman è il creatore del primo programma PGP e, secondo lui, è stato reso disponibile gratuitamente a causa della crescente domanda sociale di privacy.

Sono state create molte versioni del programma PGP dalla sua origine nel 1991. Nel 1997, Phil Zimmerman ha presentato una proposta al Internet Engineering Task Force (IETF) per creare uno standard PGP open source. Dopo di che, la proposta è stata accettata e ha portato alla creazione del protocollo OpenPGP, che definisce i formati standard per le chiavi di crittografia e i messaggi.

Sebbene inizialmente fosse utilizzato solo per proteggere le email e gli allegati, PGP viene ora applicato a una vasta gamma di casi d'uso, tra cui firme digitali, crittografia dell'intero disco e protezione delle reti.

PGP era inizialmente di proprietà di PGP Inc, che in seguito fu acquistata da Network Associates Inc. Nel 2010, Symantec Corp ha acquistato PGP per 300 milioni di dollari e il termine è ora un marchio utilizzato per i suoi prodotti compatibili con OpenPGP.


Come funziona?

PGP è uno dei primi programmi ampiamente disponibili per implementare la crittografia a chiave pubblica. È un sistema di crittografia ibrido che utilizza sia la crittografia simmetrica che quella asimmetrica per raggiungere un alto livello di sicurezza.

In un semplice processo di crittografia del testo, il testo normale (dati chiaramente comprensibili) viene convertito in testo crittografato (dati illeggibili). Tuttavia, prima di eseguire il processo di crittografia, la maggior parte dei sistemi PGP comprime i dati comprimendo i file di testo normale prima di inviarli, in modo che PGP risparmi spazio su disco e tempo di invio, migliorando anche la sicurezza.

Dopo la compressione del file, inizia il processo di crittografia effettiva. In questa fase, il file di testo normale compresso viene crittografato utilizzando una chiave per uso singolo nota come chiave di sessione (session key). Questa chiave viene generata casualmente utilizzando la crittografia simmetrica e ogni sessione di comunicazione PGP ha una chiave di sessione unica.

Successivamente, la chiave di sessione (1) stessa viene crittografata utilizzando la crittografia asimmetrica, dove il destinatario previsto (Bob) fornisce la sua chiave pubblica (2) al mittente del messaggio (Alice) in modo che possa crittografare la chiave di sessione. Questo passaggio consente ad Alice di condividere la chiave di sessione in modo sicuro con Bob online, indipendentemente dalle circostanze di sicurezza.

ما هو الـ PGP؟


La crittografia asimmetrica della chiave di sessione viene generalmente effettuata utilizzando l'algoritmo RSA. Molti altri sistemi di crittografia utilizzano RSA, inclusi il protocollo di sicurezza della trasmissione (TLS) che protegge gran parte di Internet.

Una volta inviato il testo crittografato del messaggio e la chiave di sessione crittografata, Bob può utilizzare la sua chiave privata (3) per decifrare la chiave di sessione, che viene poi utilizzata per decifrare nuovamente il testo crittografato e riconvertirlo nel testo normale originale.


ما هو الـ PGP؟


Oltre al processo fondamentale di crittografia e decrittografia, PGP supporta anche le firme digitali, che servono ad almeno tre scopi:

  • Autenticazione: Bob può verificare che il mittente del messaggio sia Alice.

  • Integrità: Bob può essere certo che il messaggio non sia stato alterato.

  • Non ripudio: dopo aver firmato digitalmente il messaggio, Alice non può affermare di non averlo inviato.


Casi d'uso

Uno degli usi più comuni di PGP è la protezione delle email. Le email protette da PGP vengono convertite in una serie di caratteri illeggibili (testo crittografato) e possono essere decrittografate solo utilizzando la chiave di decrittazione corrispondente. Le meccaniche operative sono praticamente le stesse per proteggere i messaggi di testo. Ci sono anche alcune applicazioni software che consentono di implementare PGP sopra altre applicazioni, aggiungendo efficacemente un sistema di crittografia ai servizi di messaggistica non sicuri.

Sebbene PGP venga utilizzato principalmente per proteggere le comunicazioni online, può anche essere applicato per crittografare dispositivi individuali. Ciò significa che PGP può essere applicato a partizioni del disco di un computer o dispositivo mobile. In altre parole, quando si crittografa un disco rigido, all'utente verrà richiesto di fornire una password ogni volta che il sistema viene avviato.


Vantaggi e svantaggi

Grazie all'uso combinato della crittografia simmetrica e della crittografia asimmetrica, PGP consente agli utenti di condividere informazioni e chiavi di crittografia in modo sicuro online. PGP beneficia sia della sicurezza della crittografia asimmetrica che della velocità della crittografia simmetrica come sistema ibrido. Oltre alla sicurezza e alla velocità, le firme digitali garantiscono anche l'integrità dei dati e l'autenticità del mittente.

Il protocollo OpenPGP è ora fornito da molte aziende e istituzioni per creare un ambiente competitivo uniforme e soluzioni PGP. Tuttavia, tutti i programmi PGP che sono compatibili con gli standard OpenPGP sono interoperabili. Ciò significa che i file e le chiavi creati in un programma possono essere utilizzati in altri programmi senza problemi.

Per quanto riguarda gli svantaggi, i sistemi PGP non sono facili da usare e comprendere, soprattutto per gli utenti con poca conoscenza tecnica. Inoltre, la lunghezza delle chiavi pubbliche è considerata da molti relativamente scomoda.

Nel 2018, è stata pubblicata una grave vulnerabilità chiamata EFAIL dalla Electronic Frontier Foundation (EFF). EFAIL ha consentito agli attaccanti di sfruttare il contenuto HTML attivo nelle email crittografate per accedere alle versioni non crittografate dei messaggi.

Tuttavia, alcune delle preoccupazioni descritte da EFAIL erano già note alla comunità PGP sin dalla fine degli anni '90. In effetti, le vulnerabilità sono legate a diverse applicazioni lato client di posta elettronica e non a PGP stesso. Pertanto, nonostante i titoli allarmanti e fuorvianti, PGP è ancora estremamente sicuro.


Considerazioni finali

PGP è diventato uno strumento essenziale per la protezione dei dati e viene ora utilizzato in una vasta gamma di applicazioni sin dalla sua creazione nel 1991, fornendo privacy, sicurezza e autenticazione per molti sistemi di comunicazione e fornitori di servizi digitali.

Sebbene la scoperta nel 2018 del difetto EFAIL abbia sollevato gravi preoccupazioni sulla fattibilità del protocollo, esso è ancora considerato una tecnologia fondamentale forte e solida dal punto di vista crittografico. È importante notare anche che le diverse applicazioni PGP possono offrire livelli diversi di sicurezza.