Pretty Good Privacy (PGP) spiegato
Pretty Good Privacy (PGP) è un software di crittografia che utilizza crittografia simmetrica e asimmetrica per garantire un elevato livello di sicurezza nella protezione di servizi digitali e sistemi di comunicazione. PGP supporta inoltre le firme digitali per garantire l'integrità dei dati e l'autenticità del mittente.
Basics
PGP è un software di crittografia creato da Phil Zimmerman per assicurare privacy, sicurezza e autenticazione nelle comunicazioni online. Zimmerman rese disponibile gratuitamente il primo programma PGP in risposta alla crescente domanda di privacy.
Dal suo inizio nel 1991 sono state sviluppate diverse versioni del software PGP. Nel 1997 Phil Zimmerman propose all'Internet Engineering Task Force (IETF) la creazione di uno standard OpenPGP, che venne accettato. Questa proposta portò allo sviluppo del protocollo OpenPGP, che definisce formati standard per chiavi di crittografia e messaggi.
PGP era inizialmente di proprietà di PGP Inc, ma venne successivamente acquisito da Network Associates Inc. Nel 2010 Symantec Corp. acquisì PGP per 300 milioni di dollari. Oggi il termine PGP è usato come marchio per i prodotti di Symantec conformi a OpenPGP.
Inizialmente utilizzato per proteggere messaggi e allegati email, PGP è ora applicato in vari casi d'uso come firme digitali, crittografia dell'intero disco e protezione delle reti.
How Does PGP Work?
PGP è un sistema crittografico ibrido che impiega crittografia simmetrica e asimmetrica per offrire un alto livello di sicurezza. Fu tra i primi software ampiamente disponibili a utilizzare la crittografia a chiave pubblica.
Per avviare il processo di crittografia, PGP comprime i file in chiaro per risparmiare spazio e tempo di trasmissione, oltre a incrementare la sicurezza. Dopo la compressione, il file compresso viene cifrato usando una chiave monouso, nota come chiave di sessione, generata casualmente tramite crittografia simmetrica. Ogni sessione di comunicazione PGP ha la sua chiave di sessione unica.
Successivamente la chiave di sessione viene cifrata utilizzando crittografia asimmetrica, dove il destinatario fornisce la propria chiave pubblica al mittente. In questo caso, ad esempio, Sarah cifra la chiave di sessione con la chiave pubblica di Tom per condividerla in sicurezza attraverso Internet. Questo passaggio assicura che la chiave di sessione possa essere trasmessa in modo sicuro indipendentemente dalle condizioni di sicurezza della rete.
L'algoritmo RSA è comunemente utilizzato per la crittografia asimmetrica della chiave di sessione, come avviene anche in altri sistemi di cifratura come il protocollo Transport Layer Security (TLS), che protegge una vasta parte di Internet.
Dopo che Sarah cifra la chiave di sessione, invia il testo cifrato e la chiave di sessione cifrata a Tom. Tom usa la sua chiave privata per decifrare la chiave di sessione, che poi utilizza per decifrare il testo cifrato riportandolo al testo in chiaro originale.
PGP offre più della semplice cifratura e decifratura. Supporta anche le firme digitali, che hanno tre funzioni principali. La prima è l'autenticazione. Tom può usare PGP per verificare che il mittente del messaggio sia Sarah. La seconda è l'integrità. Tom può assicurarsi che il messaggio non sia stato alterato grazie a PGP. La terza è il non ripudio. Dopo che Sarah firma digitalmente il messaggio, non può negare di averlo inviato.
Usage
PGP è comunemente usato per proteggere le email trasformandole in testo cifrato che richiede la corrispondente chiave di decifratura. Lo stesso processo è applicabile anche ai messaggi di testo e può essere implementato in altre app. Oltre a proteggere le comunicazioni su Internet, PGP può essere usato per cifrare singoli dispositivi come le partizioni del disco di computer e dispositivi mobili. Cifrando il disco rigido, il sistema richiede una password ad ogni avvio.
Pros of Using PGP
Privacy Without Speed Loss
Utilizzando sia crittografia simmetrica che asimmetrica, PGP è uno strumento potente per la comunicazione sicura che garantisce la protezione delle informazioni sensibili. Con PGP gli utenti possono cifrare i dati e le chiavi crittografiche e condividerle in modo sicuro su Internet. Questo sistema ibrido offre il meglio di entrambi i mondi: la forte sicurezza della crittografia asimmetrica e la velocità della crittografia simmetrica. Inoltre, PGP fornisce firme digitali che garantiscono integrità dei dati e autenticità del mittente, aggiungendo un ulteriore livello di protezione al processo di comunicazione.
OpenPGP Standard
Diverse aziende e organizzazioni offrono soluzioni PGP conformi al protocollo OpenPGP, creando un ambiente standardizzato e competitivo. La buona notizia è che tutti i programmi PGP che rispettano gli standard OpenPGP sono interoperabili. Pertanto, file e chiavi creati in un programma possono essere utilizzati in un altro senza problemi di compatibilità.
Cons of Using PGP
Entry Threshold
I sistemi PGP presentano alcuni svantaggi di cui gli utenti dovrebbero essere consapevoli. Uno di questi è che possono essere difficili da usare e comprendere, soprattutto per chi ha conoscenze tecniche limitate. Inoltre, molte persone trovano scomode le chiavi pubbliche lunghe.
EFAIL Vulnerability
L'Electronic Frontier Foundation (EFF) ha pubblicato nel 2018 una vulnerabilità significativa chiamata EFAIL. La vulnerabilità permetteva agli attaccanti di accedere a versioni in chiaro dei messaggi tramite contenuti HTML attivi nelle email cifrate. Tuttavia, alcune delle problematiche sollevate da EFAIL erano già note alla comunità PGP dalla fine degli anni '90, e le vulnerabilità erano legate alle diverse implementazioni dei client di posta elettronica e non a PGP in sé. Quindi, nonostante i titoli allarmistici, PGP rimane altamente sicuro e non è compromesso.
Conclusion
PGP è stato uno strumento vitale per la protezione dei dati sin dalla sua nascita nel 1991. Oggi viene utilizzato in varie applicazioni, fornendo sicurezza, autenticazione e privacy per servizi digitali e sistemi di comunicazione. Nonostante la scoperta della falla EFAIL nel 2018, che ha sollevato dubbi sulla sua efficacia, la tecnologia di base di PGP resta solida e crittograficamente sicura. Tuttavia, il livello di sicurezza può variare tra le diverse implementazioni di PGP.