Pretty Good Privacy (PGP) – e-kirjade krüpteerimise ja autentimise tarkvara

Pretty Good Privacy (PGP) on arvutiprogramm, mis pakub krüptograafilist privaatsust ja autentimist. PGP-d kasutatakse sageli elektrooniliste kirjade (e-kirjade) allkirjastamiseks, krüpteerimiseks ja dekrüpteerimiseks, et suurendada e-kirjavahetuse turvalisust. Algselt lõi selle Phil Zimmermann 1991. aastal.

PGP ja teised sarnased tooted järgivad andmete krüpteerimiseks ja dekrüpteerimiseks OpenPGP standardit (RFC 4880).

Kuidas PGP töötab

PGP kasutab hübriidset krüptograafiat: sõnumi sisu krüpteeritakse kiiresti sümmeetrilise võtmega (näiteks AES), seejärel krüpteeritakse see sümmeetriline võti vastu-võtja avaliku asümmeetrilise võtmega (näiteks RSA või ElGamal). Autentsuse tagamiseks lisatakse sõnumile digiallkiri, mis on loodud saatja privaatvõtmega ja kontrollitav avaliku võtmega. Tavalised komponendid:

  • Asümmeetrilised võtmed: paarid "avalik" ja "privaat" (public/private key).
  • Sümmeetriline võti (session key): kiireks andmete krüpteerimiseks.
  • Allkirjastamine: sõnumi integriteedi ja saatja tuvastamise tagamiseks.
  • Võtmehaarded ja sõrmejäljed (fingerprints): võtmete identiteedi kontrollimiseks.

Ajalugu ja levinud rakendused

PGP loodi 1991. aastal ning sellest kasvas välja suur hulk rakendusi ja vabalt levivaid implementeeringuid. Üks tuntumaid on GnuPG (GPG), mis on tasuta ja avatud lähtekoodiga OpenPGP-ühilduv rakendus. PGP leidis laialdast kasutust nii individuaalsetes privaatsus- ja turvakasutustes kui ka organisatsioonides e-kirjade ja failide kaitsmisel.

Peamised tarkvarad ja standardid

  • GnuPG (GPG): laialdaselt kasutatav tasuta implementatsioon OpenPGP standardist.
  • Comercial PGP tarkvara: ajalooliselt oli ka kommertsväljaandeid, mis pakkusid graafilisi liideseid ja ettevõttelahendusi.
  • OpenPGP (RFC 4880): standard, mida järgitakse, et tagada erinevate PGP-tarkvarade ühilduvus.

Võtmehaldus ja usaldusmudel

PGP ei tugine tavapärasele sertifitseerimiskeskusele (CA), vaid kasutajatevahelisele Web of Trust mudelile, kus kasutajad digitaalselt allkirjastavad üksteise avalikke võtmeid, kinnitades nende sidusust identiteediga. Lisaks on laialdaselt kasutusel võtmehoidlad (keyservers), kust avalikke võtmeid saab otsida, ning võtmete tühistamise (revocation) sertifikaadid juhuks kui privaatvõti on kompromiteeritud.

Turvalisus ja piirangud

  • PGP pakub tugevat krüptimist ja autentimist, kuid ei kata kõiki privaatsuse aspekte: meilide metaandmed (näiteks saatja, saaja ja kuupäev) jäävad sageli nähtavaks.
  • PGP ei paku vaikimisi forward secrecy (edaspidisest lekkest kaitsmist), seega kompromiteeritud privaatvõti võib võimaldada varasemate sõnumite dekrüpteerimist.
  • Turvaintsidendid nagu EFAIL (2018) näitasid, et e-posti klientide ja HTML-maili käitumise tõttu võivad tekkida praktikas lisariskid; seetõttu on oluline hoida tarkvara ajakohasena ja vältida HTML-i automaatset renderdamist krüpteeritud kirjade puhul.

Parimad tavad PGP kasutamisel

  • Kasutage tugevat ja unikaalset passfraasi privaatvõtme kaitsmiseks.
  • Looge ja hoiustage offline'is "master" privaatvõti ning kasutage igapäevatöös alamvõtmeid (subkeys) – see vähendab riske ja võimaldab võtmete vahetust ilma põhimõttelist võtit hävitamata.
  • Väljastage tühistamissertifikaat (revocation certificate) kohe pärast võtme loomist ja säilitage see turvalises kohas juhuks kompromiteerimisest.
  • Kontrollige kõigi võtmete sõrmejälgi (fingerprints) välisel kanalil (telefon, isiklik kohtumine jm), et kinnitada avaliku võtme õigsust.
  • Hoia PGP-implementatsioon ajakohasena ning väldi tundmatute või kahtlaste laienduste ja liideste kasutamist.
  • Kui võimalik, kasutage riistvaralisi lahendusi (nt OpenPGP kaardid, smartcard) privaatvõtmete turvaliseks hoiustamiseks.

Kogukond ja õiguslikud küsimused

PGP ja OpenPGP kogukond on aktiivne ning pakub palju dokumentatsiooni, tööriistu ja juhendeid. Mõnes riigis on krüpteerimise seaduslikkus või selle piirangud reguleeritud — kasutajad peaksid olema teadlikud kohaliku õiguskeskkonna nõuetest seoses krüpteeritud andmetega ja võtmete haldamisega.

Kokkuvõtlikult: PGP on võimas vahend e-kirjade ja failide krüpteerimiseks ning autentimiseks. Selle efektiivne ja turvaline kasutamine eeldab tugevat võtmehaldust, tarkvara hoolikat valikut ja tundlikkust tänapäevaste rakendus- ning kliendiriskide suhtes.

OpenPGP

OpenPGP on Interneti standardite rada; praegune spetsifikatsioon on RFC 4880 (november 2007). OpenPGP on endiselt väljatöötamisel ja RFC 2440 järeltulija, milleks on RFC 4880, on muudetud kavandatavaks standardiks. Paljud e-posti kliendid pakuvad OpenPGP-le vastavat e-posti turvalisust, nagu on kirjeldatud dokumendis RFC 3156.

Vaba Tarkvara Sihtasutus on välja töötanud oma OpenPGP-le vastava programmi nimega GNU Privacy Guard (lühendatult GnuPG või GPG). GnuPG on koos kogu lähtekoodiga vabalt kättesaadav GNU General Public License (GPL) alusel ja seda hoitakse eraldi eemal mitmetest graafilistest kasutajaliidestest (GUI), mis suhtlevad GnuPG raamatukoguga krüpteerimis-, dekrüpteerimis- ja allkirjastamisfunktsioonide jaoks (vt KGPG, Seahorse, MacGPG). Mitmed teised müüjad on samuti välja töötanud OpenPGP-le vastava tarkvara.

Seotud leheküljed

  • FreeOTFE - Ketta krüpteerimine
  • PuTTY - SSH krüpteerimine

AlegsaOnline.com - 2020 / 2025 - License CC3