PGP to skrót od Pretty Good Privacy, co oznacza bardzo dobrą prywatność. Jest to program szyfrujący zaprojektowany, aby zapewnić prywatność i bezpieczeństwo, a także autoryzację systemów komunikacji online. Phil Zimmerman jest twórcą pierwszego programu PGP, a według niego był on udostępniony za darmo z powodu rosnącego zapotrzebowania społecznego na prywatność.

Od momentu swojego powstania w 1991 roku stworzono wiele wersji programu PGP. W 1997 roku Phil Zimmerman złożył propozycję dla Internet Engineering Task Force (IETF) w celu stworzenia otwartego standardu PGP. Propozycja ta została zaakceptowana i doprowadziła do stworzenia protokołu OpenPGP, który określa formaty standardów dla kluczy szyfrujących i wiadomości.

Mimo że pierwotnie był używany tylko do zabezpieczania wiadomości e-mail i załączników, PGP jest teraz stosowane w szerokim zakresie przypadków użycia, w tym cyfrowych podpisów, szyfrowania całych dysków oraz ochrony sieci.

PGP był początkowo własnością firmy PGP Inc, która później została zakupiona przez Network Associates Inc. W 2010 roku Symantec Corp nabył PGP za 300 milionów dolarów, a termin ten stał się marką używaną dla produktów zgodnych z OpenPGP.


Jak to działa?

PGP jest jednym z pierwszych programów dostępnych na szeroką skalę do realizacji szyfrowania klucza publicznego. Jest to system szyfrowania hybrydowego, który wykorzystuje szyfrowanie symetryczne i asymetryczne, aby osiągnąć wysoki poziom bezpieczeństwa.

W prostej operacji szyfrowania tekstu, tekst jawny (dane, które można jasno zrozumieć) jest przekształcany w tekst zaszyfrowany (dane, które są nieczytelne). Jednak przed przeprowadzeniem operacji szyfrowania, większość systemów PGP kompresuje dane, poprzez kompresję plików tekstu jawnego przed ich wysłaniem, aby PGP oszczędzał miejsce na dysku i czas wysyłania, jednocześnie poprawiając bezpieczeństwo.

Po skompresowaniu pliku rozpoczyna się właściwy proces szyfrowania. Na tym etapie skompresowany plik tekstu jawnego jest szyfrowany za pomocą klucza do użytku jednego, znanego jako klucz sesji. Klucz ten jest generowany losowo przy użyciu szyfrowania symetrycznego, a każdy sesja PGP ma unikalny klucz sesji.

Następnie klucz sesji (1) sam w sobie jest szyfrowany za pomocą szyfrowania asymetrycznego, w którym zamierzony odbiorca (Bob) udostępnia swój klucz publiczny (2) nadawcy wiadomości (Alice), aby mogła ona zaszyfrować klucz sesji. Ten krok pozwala Alice bezpiecznie dzielić się kluczem sesji z Bobem w Internecie, niezależnie od warunków bezpieczeństwa.

ما هو الـ PGP؟


Szyfrowanie asymetryczne klucza sesji jest zazwyczaj realizowane za pomocą algorytmu RSA. Wiele innych systemów szyfrowania również korzysta z RSA, w tym protokół zabezpieczeń warstwy transportowej (TLS), który zabezpiecza dużą część Internetu.

Po wysłaniu zaszyfrowanego tekstu wiadomości oraz zaszyfrowanego klucza sesji, Bob może użyć swojego klucza prywatnego (3) do odszyfrowania klucza sesji, który następnie jest używany do odszyfrowania zaszyfrowanego tekstu z powrotem do oryginalnego tekstu jawnego.


ما هو الـ PGP؟


Oprócz podstawowego procesu szyfrowania i odszyfrowania, PGP wspiera również podpisy cyfrowe, które pełnią co najmniej trzy funkcje:

  • Autoryzacja: Bob może potwierdzić, że nadawcą wiadomości jest Alice.

  • Integralność: Bob może być pewny, że wiadomość nie została zmieniona.

  • Nienegowalność: Po podpisaniu wiadomości cyfrowo, Alice nie może twierdzić, że jej nie wysłała.


Przypadki użycia

Jednym z najczęściej stosowanych zastosowań PGP jest zabezpieczanie wiadomości e-mail. Zabezpieczony przez PGP e-mail jest przekształcany w ciąg nieczytelnych znaków (tekst zaszyfrowany), który może być odszyfrowany tylko za pomocą odpowiadającego klucza deszyfrującego. Mechanizmy działania są w praktyce takie same dla zabezpieczania wiadomości tekstowych. Istnieją również niektóre aplikacje, które umożliwiają wdrażanie PGP na szczycie innych aplikacji, co efektywnie dodaje system szyfrowania do niebezpiecznych usług wiadomości.

Mimo że PGP jest głównie używane do zabezpieczania komunikacji internetowej, można je również stosować do szyfrowania pojedynczych urządzeń. Oznacza to, że PGP może być stosowane do sekcji dysku komputera lub urządzenia mobilnego. To znaczy, że przy szyfrowaniu dysku twardego użytkownik będzie proszony o podanie hasła za każdym razem, gdy system się uruchomi.


Zalety i wady

Dzięki wspólnemu użyciu szyfrowania symetrycznego i asymetrycznego, PGP umożliwia użytkownikom bezpieczne dzielenie się informacjami i kluczami szyfrującymi w Internecie. PGP korzysta z bezpieczeństwa szyfrowania asymetrycznego i szybkości szyfrowania symetrycznego jako systemu hybrydowego. Oprócz bezpieczeństwa i szybkości, cyfrowe podpisy również zapewniają integralność danych i autentyczność nadawcy.

Protokół OpenPGP jest obecnie dostarczany przez wiele firm i instytucji, co pozwala na pojawienie się jednolitego konkurencyjnego środowiska i rozwiązań PGP. Jednak wszystkie programy PGP zgodne z normami OpenPGP są ze sobą kompatybilne. Oznacza to, że pliki i klucze utworzone w jednym programie mogą być używane w innych programach bez problemów.

Jeśli chodzi o wady, systemy PGP nie są łatwe w użyciu i zrozumieniu, szczególnie dla użytkowników posiadających niewielką wiedzę techniczną. Ponadto, długi klucz publiczny jest przez wielu uważany za stosunkowo niewygodny.

W 2018 roku ujawniono poważną lukę bezpieczeństwa nazwaną EFAIL przez Electronic Frontier Foundation (EFF). EFAIL umożliwił atakującym wykorzystanie aktywnej zawartości HTML w szyfrowanych wiadomościach e-mail do uzyskania dostępu do wersji wiadomości niezaszyfrowanych.

Jednak niektóre obawy opisane przez EFAIL były już znane społeczności PGP od końca lat 90. W rzeczywistości, luk związane są z różnymi aplikacjami po stronie klientów poczty e-mail, a nie z samym PGP. Dlatego mimo niepokojących i mylących nagłówków, PGP wciąż jest bardzo bezpieczne.


Zakończenie myśli

PGP stał się podstawowym narzędziem ochrony danych i jest teraz używany w szerokim zakresie aplikacji od momentu jego utworzenia w 1991 roku, zapewniając prywatność, bezpieczeństwo i autoryzację dla wielu systemów komunikacyjnych i dostawców usług cyfrowych.

Chociaż odkrycie w 2018 roku wady EFAIL wzbudziło poważne obawy dotyczące użyteczności protokołu, nadal uważana jest za solidną i mocną technologię szyfrowania. Warto również zauważyć, że różne aplikacje PGP mogą oferować różne poziomy bezpieczeństwa.