Pretty Good Privacy (PGP) Nedir?
Pretty Good Privacy (PGP), dijital hizmetleri ve iletişim sistemlerini korumak için yüksek düzey güvenlik sağlayan simetrik ve asimetrik şifreleme kullanan bir şifreleme yazılımıdır. PGP ayrıca veri bütünlüğünü ve gönderici doğruluğunu garanti etmek için dijital imzaları destekler.
Temel Bilgiler
PGP, çevrimiçi iletişim sistemleri için gizlilik, güvenlik ve kimlik doğrulama sağlamak amacıyla Phil Zimmerman tarafından oluşturulan bir şifreleme yazılımıdır. Zimmerman, gizlilik talebinin artmasına yanıt olarak ilk PGP programını ücretsiz olarak erişime sundu.
1991'deki kuruluşundan bu yana çeşitli PGP sürümleri geliştirildi. 1997'de Phil Zimmerman, Internet Engineering Task Force (IETF) üzerine açık kaynaklı bir PGP standardı oluşturulmasını önerdi ve öneri kabul edildi. Bu öneri, şifreleme anahtarları ve mesajlar için standart formatları tanımlayan OpenPGP protokolünün geliştirilmesine yol açtı.
PGP başlangıçta PGP Inc tarafından sahiplenildi, ancak daha sonra Network Associates Inc tarafından satın alındı. 2010'da Symantec Corp. PGP'yi 300 milyon dolara satın aldı. Günümüzde PGP terimi, Symantec'in OpenPGP uyumlu ürünleri için bir ticari marka olarak kullanılmaktadır.
Başlangıçta e-posta mesajları ve eklerini güvence altına almak için kullanılan PGP, artık dijital imzalar, tam disk şifreleme ve ağ koruması gibi çeşitli kullanım alanlarında uygulanmaktadır.
PGP Nasıl Çalışır?
PGP, yüksek düzey güvenlik sağlamak için simetrik ve asimetrik şifrelemeyi bir arada kullanan hibrit bir kriptosistemdir. Genel anahtar kriptografisini kullanan ilk geniş çapta erişilebilir yazılımlardan biriydi.
Şifreleme sürecine başlamak için PGP, düz metin dosyalarını depolama ve iletim süresinden tasarruf etmek ve güvenliği artırmak amacıyla sıkıştırır. Sıkıştırmanın ardından sıkıştırılmış düz metin, tek kullanımlık bir anahtar olan ve simetrik kriptografi ile rastgele oluşturulan oturum anahtarı kullanılarak şifrelenir. Her PGP iletişim oturumunun benzersiz bir oturum anahtarı vardır.
Bunun ardından oturum anahtarı, alıcının göndericiye sağladığı açık anahtarı kullanılarak asimetrik şifreleme ile şifrelenir. Örneğin Sarah, oturum anahtarını güvenli bir şekilde internet üzerinden paylaşmak için Tom'un açık anahtarıyla şifreler. Bu adım, oturum anahtarının güvenlik koşullarından bağımsız olarak güvenli bir şekilde iletilmesini sağlar.
Oturum anahtarının asimetrik şifrelenmesi için genellikle RSA algoritması kullanılır; bu, İnternet'in büyük bir kısmını güvence altına alan Transport Layer Security (TLS) protokolü gibi diğer şifreleme sistemlerinde de yaygındır.
Sarah oturum anahtarını şifreledikten sonra şifreli metni ve şifrelenmiş oturum anahtarını Tom'a gönderir. Tom, özel anahtarını kullanarak oturum anahtarını çözer ve ardından şifreli metni orijinal düz metne geri döndürmek için bu anahtarı kullanır.
PGP yalnızca şifreleme ve şifre çözmeden ibaret değildir. Ayrıca üç temel işleve sahip dijital imzaları da destekler. Birinci işlev kimlik doğrulamadır: Tom, PGP kullanarak mesajın göndericisinin Sarah olduğunu doğrulayabilir. İkinci işlev bütünlüktür: Tom, PGP ile mesajın değiştirilmediğinden emin olabilir. Üçüncü işlev ise inkâr edememedir: Sarah mesajı dijital olarak imzaladıktan sonra mesajı gönderdiğini inkar edemez.
Kullanım
PGP, e-postaları karşılık gelen bir şifre çözme anahtarı gerektiren şifreli metne dönüştürerek güvence altına almak için yaygın şekilde kullanılır. Aynı süreç kısa mesajları güvence altına almak için de uygulanabilir ve diğer uygulamalara da entegre edilebilir. İnternet iletişimlerini güvence altına almanın yanı sıra PGP, bilgisayar ve mobil cihaz disk bölümleri gibi bireysel aygıtların şifrelenmesi için kullanılabilir. Sabit disk şifrelenirse sistem her açılışta bir parola talep eder.
PGP Kullanmanın Avantajları
Hız Kaybı Olmadan Gizlilik
Hem simetrik hem de asimetrik şifrelemeyi kullanan PGP, hassas bilgilerin korunmasını sağlayan güçlü bir güvenli iletişim aracıdır. PGP ile kullanıcılar verileri ve kriptografik anahtarları şifreleyebilir ve bunları internet üzerinden güvenli şekilde paylaşabilir. Bu hibrit sistem, asimetrik kriptografinin güçlü güvenliğini ve simetrik şifrelemenin hızlı performansını bir arada sunar. Ayrıca PGP, iletişim sürecine ekstra bir koruma katmanı ekleyen veri bütünlüğü ve gönderici doğruluğunu garanti eden dijital imzalar sağlar.
OpenPGP Standardı
Birçok şirket ve organizasyon OpenPGP protokolüne uyan PGP çözümleri sunar ve bu da standart bir rekabet ortamı oluşturur. İyi haber şu ki, OpenPGP standartlarını izleyen tüm PGP programları karşılıklı çalışabilirlik sunar. Bu nedenle bir programda oluşturulan dosya ve anahtarlar, uyumluluk sorunu olmadan başka bir programda kullanılabilir.
PGP Kullanmanın Dezavantajları
Giriş Eşiği
PGP sistemlerinin kullanıcıların bilmesi gereken bazı dezavantajları vardır. Bunlardan biri, özellikle sınırlı teknik bilgisi olanlar için kullanımının ve anlaşılmasının zor olabilmesidir. Ayrıca birçok kişi uzun açık anahtarları kullanışsız bulmaktadır.
EFAIL Zafiyeti
Electronic Frontier Foundation (EFF), 2018'de EFAIL adlı önemli bir zafiyeti yayımladı. Bu zafiyet, saldırganların şifrelenmiş e-postalardaki etkin HTML içeriği aracılığıyla mesajların düz metin sürümlerine erişmesini sağlıyordu. Ancak EFAIL tarafından gündeme getirilen bazı sorunlar, 1990'ların sonlarından beri PGP topluluğu tarafından zaten biliniyordu ve zafiyetler PGP'nin kendisinden ziyade e-posta istemcilerinin farklı uygulamalarına bağlıydı. Bu nedenle, paniğe yol açan başlıklara rağmen PGP yüksek düzeyde güvenliğini korumaktadır ve kırılmış değildir.
Sonuç
PGP, 1991'deki ortaya çıkışından bu yana veri koruma için hayati bir araç olmuştur. Günümüzde çeşitli uygulamalarda güvenlik, kimlik doğrulama ve gizlilik sağlamak için kullanılmaktadır. 2018'de ortaya çıkan EFAIL açığı bazı endişelere yol açsa da, PGP'nin temel teknolojisi sağlam ve kriptografik olarak güvenlidir. Ancak farklı PGP uygulamalarının güvenlik düzeyleri değişiklik gösterebilir.