O que é PGP?

Compartilhar
O que é PGP?

PGP (do inglês Pretty Good Privacy), é um software de encriptação projetado para fornecer privacidade, segurança e autenticação para sistemas de comunicação online. Phil Zimmerman é o nome por trás do primeiro programa PGP e, de acordo com ele, o programa foi disponibilizado gratuitamente devido à uma crescente demanda social por privacidade.

Desde sua criação em 1991, muitas versões do software PGP foram criadas. Em 1997, Phil Zimmerman fez uma proposta para a organização americana IETF (Internet Engineering Task Force) para a criação de um padrão aberto de criptografia PGP. A proposta foi aceita e levou à criação do protocolo OpenPGP, que define os formatos padrões para chaves de encriptação e mensagens que usam PGP.

Apesar de inicialmente utilizados para proteger mensagens e anexos de email, a tecnologia PGP é agora aplicada em uma grande variedade de cenários, incluindo assinaturas digitais, encriptação de discos e proteção de redes.

No começo, PGP era propriedade da empresa PGP Inc., a qual foi posteriormente adquirida pela Network Associates Inc. Em 2010, a Symantec Corp. comprou os direitos da tecnologia PGP por 300 milhões de dólares, e o termo agora é uma marca registrada da empresa (usado em todos os produtos que são compatíveis com o protocolo OpenPGP).


Como o PGP funciona?

PGP está entre os primeiros softwares amplamente disponíveis a implementar criptografia de chave pública. A tecnologia PGP consiste de um sistema híbrido de criptografia que usa tanto encriptação simétrica como assimétrica para atingir altos níveis de segurança e privacidade.

Em um processo simples de encriptação, um plaintext (texto claro, que pode ser facilmente compreendido) é convertido em ciphertext (texto cifrado, ilegível). Mas antes do processo de encriptação começar, a maioria dos sistemas PGP realiza uma compressão. Ao comprimir os dados antes de transmiti-los, o programa PGP economiza tanto espaço de armazenamento quanto tempo de transmissão - além de também aumentar a segurança.

Após a compressão dos arquivos, o processo de encriptação é iniciado. Nesse momento, o plaintext comprimido é encriptado com uma chave de uso único, chamada chave de sessão (session key). Tal chave é gerada aleatoriamente através de um sistema de criptografia simétrica e cada sessão de comunicação PGP possui uma única session key.

Em seguida, a session key (1) é encriptada usando encriptação assimétrica: o receptor da mensagem (Bob) fornece sua chave pública (2) para o remetente (Alice) para que ela consiga encriptar a session key criada na etapa anterior. Isso garante que Alice possa compartilhar a session key com Bob pela Internet, independente das condições de segurança.

O que é PGP?

Geralmente, a encriptação assimétrica da session key é feita através do algoritmo RSA. Muitos outros sistemas de encriptação usam o RSA, incluindo o protocolo TLS (Transport Layer Security) que protege uma grande parte da Internet.

Assim que o ciphertext da mensagem e a session key encriptada são transmitidos, Bob pode usar sua chave privada (3) para decriptar a session key, a qual é então usada para decriptar o ciphertext de volta a sua forma original (plaintext).

O que é PGP?

Além do processo básico de encriptação e decriptação, o PGP também suportar assinaturas digitais - as quais servem para pelo menos três funções:

  • Autenticação: Bob pode ter certeza de que o remetente da mensagem foi Alice.

  • Integridade: Bob pode checar se a mensagem não foi alterada.

  • Não-repudiação: depois que a mensagem é assinada digitalmente, Alice não pode negar que foi a remetente.


Casos de uso

Uma das aplicações mais comuns do PGP é na proteção de emails. Um email que é protegido com PGP é transformado em uma sequência de caracteres que são ilegíveis (ciphertext) e só podem ser decifrados com a chave de decriptação correspondente. Os mecanismos de funcionamento são praticamente os mesmos na proteção de mensagens de texto, e existem algumas versões de PGP que permitem que a tecnologia seja implementada em cima de outros Apps (preexistentes). Isso permite que desenvolvedores e usuários adicionem um sistema de encriptação PGP em serviços de mensagens que não são seguros por padrão.

Apesar da tecnologia PGP ser amplamente utilizada na proteção de comunicação por Internet, ela também pode ser aplicada para encriptar dispositivos individuais. Nesse contexto, um programa PGP pode ser usado para encriptar uma partição (disco rígido) de um computador ou até celular. Ao encriptar um disco rígido com PGP, o usuário terá que fornecer uma senha todas as vezes que o sistema for iniciado.


Vantagens e desvantagens

Graças ao uso combinado de encriptação simétrica e assimétrica, o PGP permite que usuários compartilhem informações e chaves criptográficas pela Internet de maneira segura. Como um sistema híbrido, PGP se beneficia tanto da segurança da criptografia assimétrica quanto da velocidade da encriptação simétrica. Além da segurança e velocidade, as assinaturas digitais garantem a integridade dos dados e a autenticidade dos remetentes.

O protocolo OpenPGP permitiu a emergência de um ambiente competitivo e soluções PGP agora são fornecidas por várias empresas e organizações. Ainda assim, todos os programas PGP que seguem os padrões OpenPGP são compatíveis entre si. Portanto, arquivos e chaves geradas em um programa podem ser usados em outros sem nenhum problema.

Em relação às desvantagens, sistemas PGP não são tão simples de usar e entender, principalmente para usuários que não possuem conhecimento técnico. Ademais, as chaves públicas são muito longas e por isso são consideradas por muitos como inconvenientes.

Em 2018, uma vulnerabilidade chamada EFAIL foi publicada pela Electronic Frontier Foundation (EFF). Tal vulnerabilidade permitiu que hackers explorassem conteúdo ativo de HTML em emails encriptados, ganhando acesso as versões de plaintext das mensagens (antes de serem encriptadas).

Entretanto, alguns dos problemas relatados pelo EFAIL já eram conhecidos pela comunidade PGP desde os anos 90 e, na realidade, essas vulnerabilidades estão relacionadas às diferentes formas de implementação por parte dos provedores de email, e não ao PGP propriamente dito. Então apesar das manchetes alarmantes e enganosas, os sistemas PGP não estão quebrados e continuam sendo altamente seguros e confiáveis.


Considerações finais

Desde sua criação em 1991, a tecnologia PGP tem sido uma ferramenta essencial na proteção de dados e é hoje utilizada em uma grande gama de aplicações, fornecendo privacidade, segurança e autenticação para diversos sistemas de comunicação digital.

Apesar da descoberta de 2018 ter levantado preocupações sobre a viabilidade do protocolo, a tecnologia PGP ainda é considerada robusta e criptograficamente funcional. Vale lembrar que dependendo de como a tecnologia PGP é implementada, diferentes níveis de segurança são atingidos.

Loading