PGP significa Privacidade muito boa. É um software de criptografia projetado para fornecer privacidade, segurança e autenticação para sistemas de comunicação online. Phil Zimmerman é o nome por trás do primeiro programa PGP, que ele diz ter sido disponibilizado gratuitamente devido à crescente demanda social por privacidade.

Desde a sua criação em 1991, muitas versões do software PGP foram criadas. Em 1997, Phil Zimmerman fez uma proposta à Internet Engineering Task Force (IETF) para a criação de um padrão PGP de código aberto. A proposta foi aceita e levou à criação do protocolo OpenPGP, que define formatos padrão para chaves e mensagens de criptografia.

Embora inicialmente usado apenas para proteger mensagens de e-mail e anexos, o PGP agora é aplicado a uma ampla variedade de casos de uso, incluindo assinaturas digitais, criptografia completa de disco e proteção de rede.

O PGP era inicialmente propriedade da empresa PGP Inc, que mais tarde foi adquirida pela Network Associates Inc. Em 2010, a Symantec Corp. adquiriu o PGP por US$ 300 milhões, e o termo agora é uma marca registrada usada para seus produtos compatíveis com OpenPGP.


¿Como funciona?

O PGP está entre os primeiros softwares amplamente disponíveis para implementar criptografia de chave pública. É um sistema criptográfico híbrido que utiliza criptografia simétrica e assimétrica para atingir um alto nível de segurança.

Em um processo básico de criptografia de texto, o texto simples (dados que podem ser claramente compreendidos) é convertido em texto cifrado (dados ilegíveis). Mas antes que o processo de criptografia ocorra, a maioria dos sistemas PGP realiza a compactação de dados. Ao compactar arquivos de texto simples antes de transmiti-los, o PGP economiza espaço em disco e tempo de transmissão, ao mesmo tempo que melhora a segurança.

Após a compactação do arquivo, o processo de criptografia real começa. Neste estágio, o arquivo de texto simples compactado é criptografado com uma chave única, conhecida como chave de sessão. Essa chave é gerada aleatoriamente usando criptografia simétrica e cada sessão de comunicação PGP possui uma chave de sessão exclusiva.

A própria chave de sessão (1) é então criptografada usando criptografia assimétrica: o destinatário pretendido (Bob) fornece sua chave pública (2) ao remetente da mensagem (Alice) para que ele possa criptografar a chave de sessão. Esta etapa permite que Alice compartilhe com segurança a chave de sessão com Bob pela Internet, independentemente das condições de segurança.

¿Qué es PGP?

A criptografia assimétrica da chave de sessão geralmente é feita usando o algoritmo RSA. Muitos outros sistemas de criptografia usam RSA, incluindo o protocolo Transport Layer Security (TLS), que protege grande parte da Internet.

Depois que o texto cifrado da mensagem e a chave de sessão criptografada são transmitidos, Bob pode usar sua chave privada(3) para descriptografar a chave de sessão, que é então usada para descriptografar o texto cifrado de volta ao texto simples.

¿Qué es PGP?

Além do processo básico de criptografia e descriptografia, o PGP também oferece suporte a assinaturas digitais, que cumprem pelo menos três funções:

  • Autenticação: Bob pode verificar se o remetente da mensagem foi Alice.

  • Integridade: Bob pode ter certeza de que a mensagem não foi modificada.

  • Não repúdio: Após a mensagem ser assinada digitalmente, Alice não pode alegar que não a enviou.


Casos de uso

Um dos usos mais comuns do PGP é proteger e-mails. Um e-mail protegido por PGP é convertido em uma série de caracteres que não podem ser lidos (texto cifrado) e só podem ser descriptografados com a chave de descriptografia correspondente. Os mecanismos de funcionamento são basicamente os mesmos para proteger mensagens de texto, e também existem alguns aplicativos de software que permitem que o PGP seja implementado em cima de outros aplicativos, adicionando um sistema de criptografia a serviços de mensagens não seguros.

Embora o PGP seja usado principalmente para proteger as comunicações na Internet, ele também pode ser aplicado para criptografar dispositivos individuais. Neste contexto, o PGP pode ser aplicado às partições de disco de um computador ou dispositivo móvel. Ao criptografar o disco rígido, o usuário deve fornecer uma senha sempre que o sistema for inicializado.


Vantagens e desvantagens

Graças ao uso combinado de criptografia simétrica e assimétrica, o PGP permite aos usuários compartilhar informações e chaves criptográficas com segurança pela Internet. Como sistema híbrido, o PGP se beneficia tanto da segurança da criptografia assimétrica quanto da velocidade da criptografia simétrica. Além de segurança e rapidez, as assinaturas digitais garantem a integridade dos dados e a autenticidade do remetente.

O protocolo OpenPGP permitiu o surgimento de um ambiente competitivo padronizado e as soluções PGP são agora fornecidas por diversas empresas e organizações. Ainda assim, todos os programas PGP que cumprem os padrões OpenPGP são compatíveis entre si. Isso significa que arquivos e chaves gerados em um programa podem ser usados ​​em outro sem problemas.

Quanto às desvantagens, os sistemas PGP não são tão fáceis de usar e entender, principalmente para usuários com pouco conhecimento técnico. Além disso, muitos consideram o longo comprimento das chaves públicas bastante inconveniente.

Em 2018, a Electronic Frontier Foundation (EFF) publicou uma grande vulnerabilidade chamada EFAIL. O EFAIL possibilitou que invasores explorassem conteúdo HTML ativo em e-mails criptografados para obter acesso a versões em texto simples das mensagens.

No entanto, algumas das preocupações descritas pelo EFAIL já eram conhecidas da comunidade PGP desde o final da década de 1990, e na verdade as vulnerabilidades estão relacionadas com diferentes implementações de clientes de email, e não com o próprio PGP. Portanto, apesar das manchetes alarmantes e enganosas, o PGP não está quebrado e permanece altamente seguro.


Em conclusão

Desde o seu desenvolvimento em 1991, o PGP tem sido uma ferramenta essencial para a proteção de dados e é hoje utilizado numa vasta gama de aplicações, proporcionando privacidade, segurança e autenticação para diversos sistemas de comunicação e prestadores de serviços digitais.

Embora a descoberta da falha EFAIL em 2018 tenha levantado preocupações significativas sobre a viabilidade do protocolo, a tecnologia central ainda é considerada robusta e criptográfica. Vale ressaltar que diferentes implementações de PGP podem apresentar diferentes níveis de segurança.