Cos'è il PGP?

Condividi
Cos'è il PGP?
Ascolta questo articolo
00:00 / 00:00

PGP è l’acronimo di Pretty Good Privacy. Si tratta di un software di cifratura progettato per fornire privacy, sicurezza e autenticazione a sistemi di comunicazione online. Phil Zimmerman è il nome dietro al primo programma PGP e, a quanto affermato da Zimmerman, è stato messo a disposizione gratuitamente a causa della crescente domanda sociale per la privacy.

Dalla sua creazione nel 1991, sono state sviluppate molte versioni del software PGP. Nel 1997, Phil Zimmerman ha avanzato una proposta alla Internet Engineering Task Force (IETF) per la creazione di uno standard PGP open-source. La proposta è stata accettata e ha portato alla creazione del protocollo OpenPGP, il quale definisce formati standard per messaggi e chiavi di cifratura.

Sebbene alle sue origini fosse usato solo per proteggere messaggi e allegati email, PGP viene oggi applicato a una vasta gamma di casi, tra cui le firme digitali, la full-disk encryption e la protezione di network.

PGP era inizialmente di proprietà della compagnia PGP Inc, in seguito acquisita da Network Associates Inc. Nel 2010, Symantec Corp. ha comprato PGP per $300 milioni, e il termine è ora un marchio usato per i loro prodotti conformi al protocollo OpenPGP.


Come funziona?

PGP è tra i primi software ampiamente diffusi ad implementare la crittografia a chiave pubblica. E’ un crittosistema ibrido che usa sia la cifratura simmetrica che quella asimmetrica per raggiungere un alto livello di sicurezza.

In un processo base di cifratura di testo, un testo semplice (dati chiaramente comprensibili) viene convertito in un testo cifrato (dati non leggibili). Invece, prima che avvenga il processo di cifratura, gran parte dei sistemi PGP eseguono una compressione dei dati. Comprimendo i file di testo semplice prima di trasmetterli, PGP permette di risparmiare sia spazio su disco che tempo di trasmissione - migliorando allo stesso tempo la sicurezza.

Al termine della compressione del file, inizia l’effettivo processo di cifratura. In questa fase, il file di testo semplice compresso viene criptato con una chiave monouso, conosciuta come chiave di sessione. Questa chiave viene generata casualmente attraverso l’uso di crittografia simmetrica, e ogni sessione di comunicazione PGP ha una chiave di sessione unica.

Successivamente, la stessa chiave di sessione (1) viene criptata usando cifratura asimmetrica: il destinatario (Bob) fornisce la sua chiave pubblica (2) al mittente del messaggio (Alice) affinché possa criptare la chiave di sessione. Questo passaggio permette ad Alice di condividere in modo sicuro la chiave di sessione con Bob via Internet, a prescindere dalle condizioni di sicurezza.

Cos'è il PGP?

La cifratura asimmetrica della chiave di sessione si svolge in genere attraverso l’uso dell’algoritmo RSA. Molti altri sistemi di cifratura usano l’RSA, incluso il protocollo Transport Layer Security (TLS) che protegge gran parte dell’Internet.

Una volta che il testo cifrato del messaggio e la chiave di sessione criptata sono stati trasmessi, Bob può usare la sua chiave privata (3) per decifrare la chiave di sessione, la quale viene poi usata per decriptare il testo cifrato al fine di ottenere il testo semplice originale.

Cos'è il PGP?

Oltre al processo di base di cifratura e decifratura, PGP supporta anche le firme digitali - essenziali per almeno tre funzioni: 

  • Autenticazione: Bob può verificare che il mittente del messaggio fosse effettivamente Alice.

  • Integrità: Bob può essere sicuro che il messaggio non sia stato alterato.

  • Non disconoscibilità: dopo che il messaggio è stato firmato digitalmente, Alice non può sostenere di non averlo inviato.


Casi d’uso

Uno dei casi d’uso più comuni per PGP è la protezione delle email. Un’email protetta da PGP viene trasformata in una stringa di caratteri illeggibili (testo cifrato) e può essere decifrata solo con la chiave di decodifica corrispondente. I meccanismi di funzionamento sono praticamente gli stessi per la protezione di messaggi di testo, ed esistono anche delle applicazioni software che consentono di implementare PGP su altre App, aggiungendo un sistema di cifratura a servizi di messaggistica non protetti.

Anche se PGP viene usato principalmente per proteggere comunicazioni su internet, può essere applicato per cifrare dispositivi individuali. In questo contesto, PGP può essere applicato a partizioni del disco di un computer o di un dispositivo mobile. Cifrando l’hard disk, l’utente sarà tenuto a fornire una password ad ogni avvio del sistema.


Vantaggi e Svantaggi

Grazie all’uso combinato di cifratura simmetrica e asimmetrica, PGP consente agli utenti di condividere in modo sicuro informazioni e chiavi crittografiche su internet. Come sistema ibrido, PGP trae vantaggio dalla sicurezza della crittografia asimmetrica e dalla velocità della cifratura simmetrica. Oltre a sicurezza e velocità, le firme digitali garantiscono l’integrità dei dati e l’autenticità del mittente.

Il protocollo OpenPGP ha reso possibile lo sviluppo di un ambiente competitivo standardizzato, e attualmente diverse organizzazioni e compagnie forniscono soluzioni PGP. Nonostante questo, tutti i programmi PGP conformi con gli standard OpenPGP sono compatibili l’uno con l’altro. Questo significa che file e chiavi generati in un programma possono essere usati in un altro senza problemi.

Per quanto riguarda gli svantaggi, i sistemi PGP non sono molto semplici da utilizzare e comprendere, soprattutto per utenti con poche conoscenze tecniche. Inoltre, la notevole lunghezza delle chiavi pubbliche è considerata da molti piuttosto sconveniente.

Nel 2018, una grave vulnerabilità chiamata EFAIL è stata pubblicata dalla Electronic Frontier Foundation (EFF). EFAIL permetteva agli hacker di sfruttare contenuti HTML attivi in email criptate per ottenere l’accesso alle versioni di testo semplice dei messaggi.

Tuttavia, alcune delle preoccupazioni descritte da EFAIL erano già note alla comunità PGP dagli ultimi anni ‘90 e, in realtà, le vulnerabilità erano collegate alle differenti implementazioni da parte dei client di posta elettronica, non a PGP. Quindi, contrariamente a quanto affermato dai titoli allarmanti e ingannevoli, PGP non ha problemi e continua ad essere altamente sicuro.


In chiusura

A partire dalla sua nascita nel 1991, PGP è stato uno strumento essenziale per la protezione di dati ed è oggi utilizzato in una vasta gamma di applicazioni, fornendo privacy, sicurezza e autenticazione a diversi sistemi di comunicazione e provider di servizi digitali.

Sebbene la scoperta nel 2018 della falla EFAIL abbia sollevato notevoli preoccupazioni riguardo la capacità del protocollo, la tecnologia di base è ancora considerata solida e crittograficamente valida. E’ opportuno segnalare che implementazioni PGP differenti possono presentare diversi livelli di sicurezza.

Loading