Pretty Good Privacy (PGP) explicado

Pretty Good Privacy (PGP) es un software de cifrado que utiliza cifrado simétrico y asimétrico para ofrecer un alto nivel de seguridad y proteger servicios digitales y sistemas de comunicación. PGP también admite firmas digitales para garantizar la integridad de los datos y la autenticidad del remitente.

Conceptos básicos

PGP es un software de cifrado creado por Phil Zimmermann para garantizar la privacidad, la seguridad y la autenticación en los sistemas de comunicación en línea. Zimmermann puso el primer programa PGP a disposición de forma gratuita en respuesta a la creciente demanda de privacidad.

Desde su creación en 1991 se han desarrollado varias versiones del software PGP. En 1997, Phil Zimmermann propuso la creación de un estándar OpenPGP ante el Internet Engineering Task Force (IETF), que fue aceptado. Esta propuesta condujo al desarrollo del protocolo OpenPGP, que define formatos estándar para claves de cifrado y mensajes.

PGP fue inicialmente propiedad de PGP Inc., pero más tarde fue adquirido por Network Associates Inc. En 2010, Symantec Corp. adquirió PGP por 300 millones de dólares. Hoy en día, el término PGP se utiliza como marca para los productos de Symantec compatibles con OpenPGP.

Usado inicialmente para asegurar mensajes de correo electrónico y archivos adjuntos, PGP ahora se aplica en varios casos de uso como firmas digitales, cifrado completo de discos y protección de redes.

¿Cómo funciona PGP?

PGP es un criptosistema híbrido que emplea cifrado simétrico y asimétrico para ofrecer un alto nivel de seguridad. Fue uno de los primeros programas disponibles ampliamente en utilizar criptografía de clave pública.

Para iniciar el proceso de cifrado, PGP comprime los archivos de texto plano para ahorrar espacio y tiempo de transmisión, además de aumentar la seguridad. Tras la compresión, el archivo comprimido se cifra usando una clave de un solo uso, conocida como clave de sesión, que se genera aleatoriamente mediante criptografía simétrica. Cada sesión de comunicación PGP tiene su propia clave de sesión única.

Después, la clave de sesión se cifra mediante cifrado asimétrico, donde el receptor previsto proporciona su clave pública al remitente. En este caso, por ejemplo, Sarah cifra la clave de sesión con la clave pública de Tom para compartirla de forma segura a través de Internet. Este paso asegura que la clave de sesión pueda transmitirse de forma segura independientemente de las condiciones de seguridad.

El algoritmo RSA se usa comúnmente para el cifrado asimétrico de la clave de sesión, al igual que en otros sistemas de cifrado como el protocolo Transport Layer Security (TLS), que protege una gran parte de Internet.

Después de que Sarah cifra la clave de sesión, envía el texto cifrado y la clave de sesión cifrada a Tom. Tom usa su clave privada para descifrar la clave de sesión, que luego utiliza para descifrar el texto cifrado y recuperar el texto plano original.

PGP ofrece más que solo cifrado y descifrado. También admite firmas digitales, que tienen tres funciones principales. La primera es la autenticación. Tom puede usar PGP para verificar que la remitente fue Sarah. La segunda es la integridad. Tom puede asegurarse de que el mensaje no fue alterado usando PGP. La tercera es la no repudio. Después de que Sarah firma digitalmente el mensaje, no puede negar haberlo enviado.

Uso

PGP se utiliza comúnmente para asegurar correos electrónicos convirtiéndolos en texto cifrado que requiere la clave de descifrado correspondiente. El mismo proceso se usa para asegurar mensajes de texto y también puede implementarse en otras aplicaciones. Además de proteger las comunicaciones por Internet, PGP puede usarse para cifrar dispositivos individuales, como particiones de disco de computadoras y móviles. Al cifrar el disco duro, el sistema requiere una contraseña cada vez que se inicia.

Ventajas de usar PGP

Privacidad sin pérdida de velocidad

Al utilizar cifrado tanto simétrico como asimétrico, PGP es una herramienta potente para la comunicación segura que garantiza la protección de la información sensible. Con PGP, los usuarios pueden cifrar datos y claves criptográficas y compartirlas de forma segura por Internet. Este sistema híbrido ofrece lo mejor de ambos mundos: la fuerte seguridad de la criptografía asimétrica y la velocidad del cifrado simétrico. Además, PGP proporciona firmas digitales que garantizan la integridad de los datos y la autenticidad del remitente, añadiendo una capa extra de protección al proceso de comunicación.

Estándar OpenPGP

Varias empresas y organizaciones ofrecen soluciones PGP que cumplen con el protocolo OpenPGP, creando un entorno competitivo y estandarizado. La buena noticia es que todos los programas PGP que siguen los estándares OpenPGP son interoperables. Por lo tanto, los archivos y claves creados en un programa pueden usarse en otro sin problemas de compatibilidad.

Desventajas de usar PGP

Barrera de entrada

Los sistemas PGP tienen algunas desventajas que los usuarios deben conocer. Una de ellas es que pueden ser difíciles de usar y entender, especialmente para quienes tienen conocimientos técnicos limitados. Además, muchas personas encuentran inconvenientes las claves públicas largas.

Vulnerabilidad EFAIL

La Electronic Frontier Foundation (EFF) publicó en 2018 una vulnerabilidad importante llamada EFAIL. La vulnerabilidad permitía a atacantes obtener versiones en texto plano de mensajes a través de contenido HTML activo en correos cifrados. Sin embargo, algunos de los problemas señalados por EFAIL ya eran conocidos por la comunidad PGP desde finales de los años 90, y las vulnerabilidades estaban relacionadas con diferentes implementaciones de clientes de correo y no con PGP en sí. Por lo tanto, pese a los titulares alarmantes, PGP sigue siendo altamente seguro y no está roto.

Conclusión

PGP ha sido una herramienta vital para la protección de datos desde su creación en 1991. Actualmente se utiliza en diversas aplicaciones, proporcionando seguridad, autenticación y privacidad para servicios digitales y sistemas de comunicación. A pesar del hallazgo de la falla EFAIL en 2018, que generó dudas sobre su viabilidad, la tecnología central de PGP sigue siendo sólida y criptográficamente segura. Sin embargo, los niveles de seguridad pueden variar según las distintas implementaciones de PGP.