A palavra PGP é uma abreviatura de Pretty Good Privacy. É um software de criptografia projetado para fornecer privacidade, segurança e autenticação para sistemas de comunicação online. Phil Zimmerman é o dono do primeiro software PGP e segundo ele ele foi disponibilizado gratuitamente devido à crescente demanda social por privacidade.

Muitas versões do PGP foram criadas desde a sua criação em 1991. Em 1997, Phil Zimmerman apresentou uma proposta à Internet Engineering Task Force (IETF) para criar um padrão PGP de código aberto. A proposta foi então aceita e levou à criação do protocolo OpenPGP, que define formatos padrões para chaves e mensagens de criptografia.

Embora inicialmente usado apenas para proteger e-mails e anexos, o PGP agora é aplicado a uma ampla variedade de casos de uso, incluindo assinaturas digitais, criptografia completa de disco e proteção de rede.

A PGP foi inicialmente propriedade da PGP Inc, que mais tarde foi adquirida pela Network Associates Inc. Em 2010, a Symantec Corp. comprou o PGP por US$ 300 milhões e o termo agora é uma marca registrada usada para seus produtos compatíveis com OpenPGP.


Como funciona?

O PGP está entre os primeiros programas amplamente disponíveis para implementar criptografia de chave pública. É um sistema de criptografia híbrido que utiliza criptografia simétrica e assimétrica para atingir um alto nível de segurança.

No simples processo de criptografia de texto, o texto simples (dados que podem ser claramente compreendidos) é convertido em texto cifrado (dados ilegíveis).  Mas antes da criptografia, a maioria dos sistemas PGP compactam dados compactando arquivos de texto simples antes de enviá-los, economizando espaço em disco e tempo de transmissão, ao mesmo tempo que melhora a segurança.

Depois de compactar o arquivo, o processo de criptografia real começa. Neste ponto, o arquivo de texto simples compactado é criptografado usando uma chave de uso único, conhecida como chave de sessão. Esta chave é gerada aleatoriamente através do uso de criptografia simétrica e cada sessão de conexão PGP possui uma chave de sessão exclusiva.

A própria chave de sessão é então criptografada (1) usando criptografia assimétrica.   O destinatário pretendido (Bob) fornece sua chave pública (2) ao remetente da mensagem (Alice) para que ela possa criptografar a chave de sessão. Esta etapa permite que Alice compartilhe com segurança a chave de sessão com Bob pela Internet, independentemente das condições de segurança.

ما هو الـ PGP؟


A criptografia assimétrica da chave de sessão geralmente é feita através do uso do algoritmo RSA.  Muitos outros sistemas de criptografia usam RSA, incluindo o protocolo Transport Layer Security (TLS), que protege grande parte da Internet.

Depois que o texto cifrado da mensagem e a chave de sessão criptografada forem enviados, Bob poderá usar sua chave privada (3) para descriptografar a chave de sessão, que será usada para descriptografar o texto cifrado de volta ao texto simples original.


ما هو الـ PGP؟


Além do processo básico de criptografia e descriptografia, o PGP também oferece suporte a assinaturas digitais, que cumprem pelo menos três funções:

  • Autenticação: Bob pode verificar se o remetente da mensagem é Alice.

  • Integridade: Bob pode ter certeza de que a mensagem não mudou.

  • Não repúdio: Após assinar digitalmente a mensagem, Alice não pode alegar que não a enviou.


Casos de uso

Um dos usos mais comuns do PGP é proteger e-mails. O e-mail protegido por PGP é convertido em uma sequência de caracteres ilegível (texto cifrado) e só pode ser descriptografado usando a chave de descriptografia correspondente. O funcionamento é praticamente o mesmo da proteção de mensagens de texto. Existem também alguns aplicativos de software que permitem que o PGP seja implementado em cima de outros aplicativos, adicionando efetivamente um sistema de criptografia a serviços de mensagens inseguros.

Embora o PGP seja usado principalmente para proteger conexões de Internet, ele também pode ser aplicado para criptografar dispositivos individuais. Isso significa que o PGP pode ser aplicado às partições de disco de um computador ou dispositivo móvel. O que significa que quando o disco rígido é criptografado, o usuário será solicitado a fornecer uma senha sempre que o sistema for inicializado.


Vantagens e desvantagens

Graças ao uso combinado de criptografia simétrica e assimétrica, o PGP permite que os usuários compartilhem informações e chaves de criptografia com segurança pela Internet. O PGP se beneficia tanto da segurança da criptografia assimétrica quanto da velocidade da criptografia simétrica como um sistema híbrido.  Além de segurança e rapidez, as assinaturas digitais também garantem a integridade dos dados e a autenticidade do remetente.

O protocolo OpenPGP que permite o surgimento de um ambiente competitivo unificado e soluções PGP é agora fornecido por muitas empresas e organizações.  No entanto, todos os programas PGP que estão em conformidade com os padrões OpenPGP são compatíveis entre si. Isso significa que arquivos e chaves criados em um programa podem ser usados ​​em outros programas sem problemas.

Quanto às desvantagens, os sistemas PGP não são fáceis de usar e entender, especialmente para usuários com pouco conhecimento técnico. Além disso, o longo comprimento das chaves públicas é considerado por muitos relativamente inconveniente.

Em 2018, uma grande vulnerabilidade chamada EFAIL foi publicada pela Electronic Frontier Foundation (EFF). EFAIL permitiu que invasores explorassem conteúdo HTML ativo em e-mails criptografados para acessar versões não criptografadas de mensagens

Mas algumas das preocupações descritas pela EFAIL já eram conhecidas pela comunidade PGP desde o final da década de 1990.  Na verdade,  as vulnerabilidades estão relacionadas a diferentes implementações por parte dos clientes de e-mail e não ao próprio PGP. Portanto, apesar das manchetes irritantes e enganosas, o PGP ainda é muito seguro.


Pensamentos finais

O PGP tornou-se uma ferramenta essencial para a proteção de dados e é agora utilizado numa vasta gama de aplicações desde a sua criação em 1991, proporcionando privacidade, segurança e autenticação a muitos sistemas de comunicações e fornecedores de serviços digitais.

Embora a descoberta da falha EFAIL em 2018 tenha levantado grandes preocupações sobre a viabilidade do protocolo, ainda é considerado que a tecnologia subjacente é criptograficamente robusta e sólida. Deve-se notar também que diferentes implementações de PGP podem oferecer diferentes níveis de segurança.