PGP Nedir?

Paylaş
PGP Nedir?
Bu makaleyi dinleyin
00:00 / 00:00

PGP’nin açılımı Pretty Good Privacy yani Oldukça İyi Gizlilik’tir. Çevrimiçi iletişim sistemlerinde gizlilik, güvenlik ve doğrulama sağlamak için tasarlanmış bir şifreleme yazılımıdır. PGP programının arkasındaki Phil Zimmerman’e göre gizlilik için artan sosyal talep nedeniyle herkesin ücretsiz olarak kullanabileceği şekilde yapılmıştır. 

1991’de ortaya çıkışından beri PGP’nin birçok yazılım versiyonu yaratılmıştır. 1997’de Phil Zimmerman, açık kaynaklı bir PGP standardı oluşturulması için İnternet Mühendisliği Görev Grubu’na (IETF) bir teklifte bulunmuştur. Teklif kabul edilmiş,böylece şifreleme anahtarı ve mesajların standart formatlarını belirleyen OpenPGP protokolünün yaratılmıştır. 

İlk başlarda yalnızca e-posta mesajlarının ve eklerinin güvenliği için kullanılsa da, PGP’nin şu anda dijital imzalar, tam disk şifrelemesi ve ağ korumasının da dahil olduğu çok geniş bir kullanım alanı vardır. 

PGP’nin ilk sahibi PGP Inc şirketiyken,  2010’da el değiştirerek Network Associates Inc. tarafından satın alınmıştır. 2010’da Symantec Şirketi PGP’yi 300 milyon dolara satın almıştır ve PGP kavramı artık bu şirketin OpenPGP uyumlu ürünleri için kullanılan bir ticari marka haline gelmiştir. 


Nasıl çalışır?

PGP, açık anahtar kriptografisi uygulaması için yaygın olarak kullanılabilen ilk yazılımlardan biridir ve yüksek seviyede güvenlik elde etmek için hem simetrik hem de asimetrik şifrelemenin kullanıldığı hibrid bir kripto sistemdir. 

Metin şifreleme temel süreçlerinde, bir açık metin (rahatça anlaşılabilir olan bir veri) şifreli bir metne (okunamaz veri) çevrilir. Fakat, şifreleme işlemi gerçekleştirilmeden önce, çoğu PGP sistemi veri sıkıştırması yapar. Açık metinleri göndermeden önce sıkıştırması sayesinde PGP güvenliği arttırırken bir yandan da  hem disk alanında hem de gönderi süresinde tasarruf sağlar. 

Dosya sıkıştırmasını takiben asıl şifreleme süreci başlar. Bu aşamada, sıkıştırılmış açık metin oturum anahtarı olarak bilinen tek kullanımlık bir anahtarla şifrelenir. Anahtar simetrik kriptografi kullanılarak rastgele oluşturulur ve her bir PGP iletişim oturumunun kendine has bir oturum anahtarı vardır. 

Daha sonra, asimetrik şifreleme kullanılarak oturum anahtarının kendisi (1) şifrelenir: Alıcı (Bob) kendi açık anahtarını (2) mesajı gönderen kişiyle (Alice) paylaşarak gönderenin oturum anahtarını şifreleyebilmesini sağlar. Bu adım sayesinde Alice oturum anahtarını Bob’la internet üzerinden  güvenlik koşullarından bağımsız olarak paylaşabilir. 

PGP Nedir?

Oturum anahtarının asimetik şifrelemesi genellikle RSA algoritmasının kullanımıyla gerçekleştirilir. RSA, aralarında İnternet’in büyük bölümünün güvenliğini sağlayan Taşıma Katmanı Güvenliği’nin (TLS) de olduğu birçok şifreleme sistemi tarafından kullanılır. 

Mesajın şifreli metni ve şifrelenmiş oturum anahtarı gönderildiğinde, Bob kendi özel anahtarını (3) kullanarak oturum anahtarının şifresini çözebilir ve daha sonra bu oturum anahtarını kullanarak şifrelenmiş metni tekrardan orjinal açık metne döndürebilir. 

PGP Nedir?

Şifreleme ve şifre çözme temel süreçlerinin yanı sıra, PGP dijital imzaları da destekler. Bu imzaların en az üç işlevi bulunur:

  • Doğrulama: Bob, mesajı gönderen kişinin Alice olduğunu doğrulayabilir

  • Değiştirilmezlik: Bob, mesajın değiştirilmediğinden emin olabilir

  • Red-olmaması: Mesaj dijital olarak imzalandıktan sonra, Alice bu mesajı göndermediğini iddia edemez


Kullanım Alanları

PGP’nin en yaygın kullanım alanlarından biri e-postaların güvenliğidir. PGP ile korunan bir e-posta okunamaz halde olan (şifreli metin) bir karakter dizisi haline getirilir ve yalnızca karşılık gelen şifre çözme anahtarı ile şifresi çözülebilir. Çalışma mekanizması, metin mesajlarını güvenli hale getirmede de temelde aynıdır. Ayrıca başka uygulamaların üzerine PGP ekleyerek güvenli olmayan mesajlaşma hizmetlerine bir şifreleme sistemi eklenmesini sağlayan bazı yazılım uygulamaları da bulunur. 

PGP çoğunlukla internet iletişimlerini güvenli hale getirmek için kullanılsa da, bireysel cihazları şifrelemek için de kullanılabilir. PGP bu bağlamda, bilgisayarın disk bölümlerine ya da mobil cihazlara uygulanabilir. Hard disk şifrelendiğinde, sistemin yeniden başlatıldığı her sefer kullanıcının bir şifre girmesi gerekir. 


Avantajları ve Dezavantajları

PGP simetrik ve asimetrik şifrelemeyi beraber kullanması sayesinde, kullanıcıların bilgi ve kriptografik anahtar paylaşımını internet üzerinden güvenle yapabilmesini sağlar. PGP, hibrid bir sistem olması nedeniyle hem asimetrik kriptografinin güvenliğinden hem de simetrik şifrelemenin hızından faydalanır. Güvenlik ve hıza ek olarak, dijital imzalar da verinin değiştirilmezliğini ve göndericinin, olduğunu iddia ettiği kişi olmasını garantiler. 

OpenPGP protokolü standart hale getirilmiş rekabetçi bir ortamın ortaya çıkmasını sağlamıştır ve günümüzde birçok şirket ve organizasyon tarafından PGP çözümleri sunulmaktadır. Buna rağmen, OpenPGP standartlarına uygun tüm PGP programları birbiriyle uyumludur. Bu da, bir programın oluşturduğu dosya ve anahtarların başka bir programda sorunsuz kullanılabileceği anlamına gelir. 

Dezavantaj olarak, PGP sistemlerini anlamak ve kullanmak özellikle de teknik bilgisi az olan kullanıcılar için çok kolay değildir. Ayrıca, açık anahtarların çok uzun olması çoğu kişi tarafından elverişsiz bulunmaktadır. 

2018’de, Electronic Frontier Foundation (EFF) tarafından EFAIL adındaki büyük bir güvenlik açığı yayınlanmıştır. EFAIL sayesinde saldırganlar şifreli e-postalardaki  aktif HTML içeriğinden faydalanarak mesajların açık metin versiyonlarına erişim sağlayabilmektedir. 

Fakat, EFAIL tarafından açıklanan bazı güvenlik sorunları 1990’ların sonlarından beri PGP topluluğu tarafından zaten bilinmektedir ve aslında bu güvenlik açıkları PGP’nin kendisinden değil e-posta kullanıcılarının farklı uygulamalarından kaynaklanmaktadır. Yani, korkutucu ve yanlış yönlendirici haber başlıklarına rağmen, PGP arızalı değildir ve yüksek seviyede güvenli olmaya devam etmektedir. 


Son fikirler

1991’de geliştirilmesinden beri PGP veri korunmasında en temel araçlardan biridir ve günümüzde, geniş kullanım alanıyla çeşitli iletişim sistemleri ve dijital hizmet sağlayıcıları için güvenlik, gizlilik ve doğrulama sağlamaktadır. 

EFAIL sorununun 2018’deki keşfi protokolün geleceğine yönelik önemli sıkıntılar yaratsa da, bu teknolojinin özü hala sağlam ve kriptografik olarak güvenilir kabul edilmektedir. Farklı PGP uygulamalarının farklı seviyelerde güvenlik sağlayabileceğini de belirtmek önemlidir.  

Loading