Mi a PGP titkosítás és hogyan működik?

PGP (PRetty Good Ptitkosítás az internet adatvédelmének és biztonságának egyik támaszpontjává vált egy fő ok miatt: lehetővé teszi kódolt üzenet küldését valakinek anélkül, hogy előzetesen meg kellett volna osztania a kódot. Sokkal több van benne, de ez az alapvető fontosságú tényező tette ezt olyan hasznossá.

Tegyük fel, hogy érzékeny üzenetet kellett elküldenie egy barátjának, anélkül hogy bárki más felfedezte volna annak tartalmát. Az egyik legjobb megoldás az, ha titkos kóddal módosítja azt, amelyet csak te és a barát tudsz, hogy ha valaki elfogja az üzenetet, akkor nem tudja elolvasni a tartalmat..

Az ilyen rendszerek nagyon jól működnek sokféle titkosításban, de van egy jelentős hiba: Hogyan lehet elküldeni egy kódolt üzenetet valakinek, ha még nem volt lehetősége megosztani a kódot velük?

Ha még nem osztotta meg a kódot korábban, és az üzenet titkosításához használta, akkor a barátja nem fogja megfejteni a kódolt üzenetet, amikor megkapja. Ha a kódot a kódolt üzenettel együtt küldi el, akkor bárki, aki elfogja az üzenetet, ugyanolyan könnyen hozzáférhet a tartalomhoz, mint a címzett..

Ez egy nehézség, amelyet a PGP sikerült megoldania úgynevezett valamivel nyilvános kulcsú titkosítás (ne aggódjon, ezt később fedezzük fel), amely lehetővé teszi a felhasználók számára, hogy biztonságos és titkosított üzeneteket küldjenek az embereknek, még akkor is, ha még soha nem találkoztak velük, nem is volt esélyük egy kód előre elrendezésére.

Mi mást csinál a PGP titkosítás??

A PGP alapvető funkciója lehetővé teszi a felhasználók számára, hogy biztonságos üzeneteket küldjenek előzetes bevezetés nélkül, de ez még nem minden. Ezenkívül lehetővé teszi a címzetteknek, hogy ellenőrizzék, hogy az üzenet hiteles-e vagy hamisított-e. Ez úgy történik, hogy valami úgynevezett digitális aláírások, amelyet később a cikkben tárgyalunk.

Ezen felül a PGP felhasználható az e-mailen kívül más dolgok titkosítására is. Használhatja merevlemez, azonnali üzenetek, fájlok és egyebek titkosításához. Noha ezek mind fontos funkciók, ez a cikk elsősorban a PGP titkosítás használatára összpontosít e-mailekben, a PGP legelterjedtebb használata.

Miért fontos a PGP??

Lehet, hogy nem tudja, de az e-mail nem túl biztonságos módja a kommunikációnak. Amikor e-mailje elhagyja a fiókját, és az interneten keresztül elküldésre kerül, akkor az áthalad a hálózatán, amely önön kívül esik. Elfogható és megtámadható, mindez ön vagy a címzett ismerete nélkül.

Ha valami értékes vagy érzékeny üzenetet kell küldenie, a normál e-mail egyszerűen nem megfelelő. A személyes üzenetét a hackerek elrabolhatják, akik esetleg csalás elkövetésére használhatják fel, míg a fontos kormányzati üzenetek kémek kezébe kerülhetnek. Egy ember botránya mindazt is olvasta, amely áthalad a beérkező levelek között.

Ezek a veszélyek részét képezik annak, hogy miért találták ki a PGP-t – hogy a magánélet és a biztonság bizonyos hasonlóságot hozzon a vadnyugatra, azaz az e-mail kommunikációra. Azt jelenti Nagyon jó adatvédelem, ami valószínűleg nem ösztönöz sok bizalmat valami iránt, amire az emberek támaszkodnak, hogy kommunikációjuk biztonságban maradjon.

A név ellenére – amelyet egy rádióműsor kitalált üzlete ihlette, a Ralph Pretty Good Grocery nevű – a PGP egy olyan titkosítási forma, amelynek nincs nyilvánosan ismert módja a megtörésnek. Ez azt jelenti, hogy amíg megfelelő módon használják, bízhat benne az üzenetek és fájlok biztonságában, magánéletében és integritásában.

A PGP története

A PGP egy titkosítási program volt készítette: Paul Zimmerman Az internet sötét korában, 1991-ben. Zimmerman, aki kitartó nukleárisellenes aktivista volt, eredetileg létrehozta a programot, hogy a hasonló gondolkodású egyének biztonságosabban tudják kommunikálni és fájlokat tárolni. Az első titkosítási algoritmust „BassOmatic” -nak hívták, amelyet Zimmerman a Szombat esti élet vázlat.

A Zimmerman az FTP-n keresztül ingyen kiadta a PGP-t, így széles körben elérhetővé vált a nyilvános kulcsú kriptográfia első formája. Gyorsan elterjedt a Usenetben, különösen a béke és más politikai aktivisták körében. Ezekből a gyökerekből kihatott annak használata azon felhasználók számára, akik nagyobb adatvédelmet és biztonságot akartak kommunikációjukhoz.

Miután a PGP titkosítás elterjedt az Egyesült Államokon kívül, az Egyesült Államok Vámszolgálata (USCS) nyomozást kezdett Zimmerman ellen, mivel a PGP-t ezután nagy szilárdságú kriptográfiának minősítették. Abban az időben az ilyen típusú kriptográfia a lőszer egyik formájának tekinthető, és engedélyhez kötött exportálása.

Miután a PGP eljutott a tengerentúlra, az USCS aggódott az alkotójával a nemzetközi terjesztés kezdeményezéséért. Szerencsére Zimmermannek, több éves nyomozás és valamilyen ötletes jogi manőverezés után a vád felszámolására nem került sor.

Az évek alatt, folyamatosan megjelentek a PGP új verziói, hogy javítsák annak biztonságát és használhatóságát. Ezek között a változások között szerepelt a tanúsítványrendszer átalakítása, új szimmetrikus és aszimmetrikus algoritmusok bevezetése és egy új proxy-alapú architektúra kifejlesztése..

Az út mentén számos felvásárlás történt, amikor a Symantec Corporation a PGP Corporation-t és eredeti eszközeinek nagy részét 300 millió dollárért (229,7 millió font) vásárolta meg. Most a PGP védjegye van, és termékeikben, például Symantec Command Line és Symantec Desktop Email Encryption.

Lásd még:
Híres kódok és rejtjelek a történelem során
Titkosítási források: Az eszközök és útmutatók nagy listája

OpenPGP

A PGP korai napjait az RSA titkosítási algoritmus használata alapján szabadalmi nézeteltérések sújtották. Annak érdekében, hogy a PGP fejlesztése ezen engedélyezési kérdések nélkül folytatódjon, a mögötte álló csapat elindította a nem szabadalmi szabvány létrehozását, amelyet nyíltan és szabadon lehetne használni..

1997-ben megkeresették az Internet Engineering Task Force (IETF) javaslatát a szabvány kidolgozására és OpenPGP-nek nevezni. A javaslatot elfogadták, és Az OpenPGP internetes szabvány lett. Ez lehetővé tette bárki számára az OpenPGP beépítését a szoftverébe.

Az OpenPGP-t aktívan fejlesztik az RFC 4880 specifikáció alapján. Ez a szabvány meghatározza a titkosítási algoritmusokat, formátumokat, összetételt és egyéb funkciókat, amelyeket a programoknak használniuk kell az OpenPGP-kompatibilishez.

Mely programok használják az OpenPGP-t?

A PGP titkosítást számos szabadalmaztatott programban használják, mint például a fent említett Symantec termékek. Az OpenPGP szabvány fejlesztésének köszönhetően számos ingyenes megvalósításban is elérhető.

Ezek közül a legszembetűnőbb a Gpg4win, amely egy ingyenes titkosítási eszközkészlet a Windows számára. A PGP-titkosítás Mac OS-en használható olyan programokkal, mint a GPG Suite, az Android K-9 Mail-rel és az iOS a Canary Mail-rel. További OpenPGP-kompatibilis lehetőségek megtalálhatók az OpenPGP webhelyen.

Hogyan működik a PGP titkosítás??

Először fedezzük fel a legfontosabb fogalmakat, majd bemészünk egy példába, amely konkrétabb megértést kínál Önnek. A PGP titkosítás számos fő elemre támaszkodik, amelyekre szükség van, hogy megkerülje a fejét, hogy megértse, hogyan működik. A legfontosabbak szimmetrikus kulcsú kriptográfia, nyilvános kulcsú kriptográfia, digitális aláírások és a a bizalom hálózata.

Szimmetrikus kulcsú kriptográfia

A szimmetrikus kulcsú kriptográfia magában foglalja ugyanazon kulcs használatát az adatok titkosításához és dekódolásához. A PGP-ben egy véletlenszerű, egyszeri kulcs jön létre, amelyet a munkamenet kulcs. Az session kulcs titkosítja az üzenetet, amely az elküldendő adatok nagy része.

Az ilyen típusú titkosítás viszonylag hatékony, ám van egy problémája. Hogyan osztja meg a munkamenet kulcsot a címzettjével? Ha az e-mail mellett küldi el, akkor bárki, aki elhallgatja az üzenetet, ugyanolyan könnyen hozzáférhet a tartalomhoz, mint a címzett. Kulcs nélkül a címzett csak a rejtjelet fogja látni.

Nyilvános kulcsú kriptográfia

A PGP ezt a problémát a nyilvános kulcsú kriptográfiával oldja meg, amely aszimmetrikus kriptográfia néven is ismert. Az ilyen típusú titkosításban két kulcs van: a nyilvános kulcs és a magán.

Minden felhasználónak van egyet. A potenciális levelező nyilvános kulcsa megtalálható kulcsszerverekön keresztüli kereséssel vagy a személy közvetlen megkérdezésével. Nyilvános kulcsok a feladó használja az adatok titkosításához, de nem tudják visszafejteni azokat.

Miután az adatok titkosításra kerültek a címzett nyilvános kulcsával, csak az őket tudják visszafejteni privát kulcs. Ez az oka annak, hogy a nyilvános kulcsokat szabadon kiosztják, de a privát kulcsokat óvatosan kell őrizni. Ha a támadó sérti a személyes kulcsát, ez lehetővé teszi számukra az összes PGP-re titkosított e-mail elérését..

A PGP-ben a nyilvános kulcsú titkosítást nem az üzenet titkosítására használják, hanem csak az egyszeri felhasználásra munkamenet kulcs amelyet titkosítás céljából hoztak létre. Miért? Mivel a nyilvános kulcsú titkosítás egyszerűen túl nem hatékony. Túl sokáig tartana, és nagyobb mennyiségű számítási erőforrást kellene felhasználni.

Mivel az üzenet törzse általában az adatok nagy részét tartalmazza, a PGP ehhez a gazdaságosabb szimmetrikus kulcsos titkosítást használja. Fenntartja a munkavégzéshez használt nyilvános kulcs titkosítását, ezáltal az egész folyamat hatékonyabbá válik.

Ilyen módon az üzenet praktikusabb módon titkosításra kerül, míg a nyilvános kulcsú titkosítás a munkamenet kulcs biztonságos kézbesítésére szolgál a címzett számára.. Mivel csak a magánkulcsukkal lehet visszafejteni a munkamenetkulcsot, és az üzenet visszafejtéséhez a munkamenetkulcsra van szükség, a tartalom biztonságos a támadókkal szemben.

Digitális aláírások

Írásos aláírásainkat gyakran használják annak igazolására, hogy valakik vagyunk, akiknek azt mondjuk, hogy mi vagyunk. Távol állnak a bolondbiztosságoktól, de továbbra is hasznos módja a csalás megelőzésének. Digitális aláírások hasonlóak, a nyilvános kulcsú kriptográfia segítségével hitelesítik, hogy az adatok a forrásból származnak, amelyre állítják, és hogy nem hamisították meg.

A folyamat lényegében lehetetlenné teszi a digitális aláírások hamisítását, hacsak a magánkulcs nem sérült. A digitális aláírások a PGP üzenet-titkosításával együtt vagy külön is felhasználhatók. Minden attól függ, hogy mit küld és miért.

Ha az üzenet érzékeny, és nem csak a címzettnek kellene elolvasnia, akkor titkosítást kell használnia. Ha az üzenetet érintetlenül és megváltoztatás nélkül kell kézbesíteni, akkor digitális aláírást kell használni. Ha mindkettő fontos, akkor együttesen használja őket.

A digitális aláírások algoritmus segítségével működnek, amellyel a feladó személyes kulcsát összekapcsolják az általuk hitelesített adatokkal. Az üzenet egyszerű szövege a: hash funkció, amely egy algoritmus, amely a bemeneteket rögzített méretű adatblokkdá alakítja, az úgynevezett a üzenet feldolgozása.

Az üzenet kivonatát ezután a feladó privát kulcsa titkosítja. Ez a titkosított üzenet kivonat az úgynevezett digitális aláírás. A PGP titkosításban a digitális aláírást az üzenet törzsével együtt küldik el (amely lehet titkosítva vagy sima szövegben is).

A digitális aláírások ellenőrzése

Amikor valaki digitális aláírással ellátott e-mailt kap, ellenőrizhetik annak hitelességét és integritását a feladó nyilvános kulcsával. Az egész folyamatot általában a címzett PGP szoftvere hajtja végre, de megtesszük a durva lépéseket, hogy képet kapjunk arról, hogy mi történik valójában.

Először egy hash függvényt használunk a kapott üzenetre. Ez az e-mail üzenetének kivonatát adja a jelenlegi formájában.

A következő lépés az eredeti üzenet kivonatának kiszámítása a küldött digitális aláírás alapján. Az a feladó nyilvános kulcsa a digitális aláírás dekódolása. Ez az üzenet pontosan annyira emésztődik, mint amikor a feladó aláírta.

Annak megállapításához, hogy az üzenet hiteles-e, és hogy nem történt-e annak megsértése, az összes címzett programnak meg kell tennie a kapott e-mail üzenet kivonatának összehasonlítását a digitális aláírásból származó üzenet összefoglalóval..

Ha az üzenetet akár egy karakter vagy írásjele megváltoztatta, akkor az üzenet kivonása teljesen más lesz. Ha az üzenet az emésztés nem egyezik meg, akkor a címzett megtudja, hogy probléma van az üzenettel.

Ha a két üzenet feltüntetése nem azonos, akkor három valószínű bűnös van:

• Az A digitális aláírás visszafejtéséhez használt nyilvános kulcsot nem kapcsolták össze a titkosításához használt magánkulccsal. Ez azt jelenti, hogy a küldő lehet, hogy nem az, akinek mondják.
• Az a digitális aláírás hamis lehet.
• Az Az üzenet aláírása óta megváltozott.

Ha egy digitális aláírással ellátott üzenetet kap, és az emésztés nem egyezik meg, szkeptikusnak kell lennie. Lehet, hogy ártatlan hiba, mert véletlenül a rossz nyilvános kulcsot használták fel, de lehet egy csaló üzenet vagy egy megsértett üzenet is..

A bizalom hálózata

Honnan tudja, hogy egy nyilvános kulcs tulajdonképpen annak a személynek tartozik, aki azt mondja? Nem lehet, hogy valaki felteszi a saját nyilvános kulcsát, és azt állítja, hogy ő a pápa, és megpróbálja elérni az összes bejövő PGP-re titkosított e-mailjét (feltételezve, hogy ő elég hozzáértő a PGP használatához)?

Szerencsére mindez előre gondolkodott, és megoldásokat vezettek be. Ellenkező esetben valami olyan egyszerű teljesen aláásná az egész rendszert. Az ilyen tevékenység megakadályozása érdekében a a bizalom hálózata fejlesztették ki.

A bizalomhálózat növekedett annak ellenőrzésének egyik módjaként, hogy minden PGP nyilvános kulcs és felhasználói azonosító valóban kapcsolódik-e ahhoz a személyhez vagy szervezethez, amelyet állítólag képviselnek. A bizalomhálózat a valós élet entitását a nyilvános kulccsal köti össze egy harmadik fél felhasználásával a felhasználó aláírására PGP digitális tanúsítvány. A legjobb rész? Mindent megtesz egy központi hatóság nélkül, amely összeomolhat vagy megsérülhet.

A digitális tanúsítvány a felhasználó azonosító információit, nyilvános kulcsát és egy vagy több digitális aláírást tartalmaz. Ha személyesen ismer egy PGP-felhasználót, akkor megerősítheti, hogy nyilvános kulcsa kapcsolódik a valós identitásukhoz. Bízhat benne, és aláírhatja digitálisan a tanúsítványukat, ami azt mutatja, hogy legalább egy ember igazolja személyazonosságát. Ugyanígy tehetik meg neked is.

Ha mindketten találkozol egy-egy új PGP-felhasználóval, és digitálisan aláírják igazolásaikat személyazonosságuk ellenőrzése érdekében, elkezdesz egy kis hálózatot kiépíteni, ahol mind a ketten megbízhatsz a nyilvános kulcsok és az identitások közötti kapcsolatokban, az egyes személyek bizalma alapján. másokban, amelyekhez kapcsolódnak.

Túlóra, ez összekapcsolt bizalmi hálózatot épít fel, sok ember digitális aláírással vigyáz egymásra digitális aláírással, amely igazolja a nyilvános kulcs tulajdonjogát.

Időnként az új felhasználók számára nehéz lehet megtalálni valakit, aki aláírja a tanúsítványokat, és igazolja a saját és a nyilvános kulcs közötti kapcsolatot. Különösen kihívást jelenthet, ha nem ismernek más PGP-felhasználókat a valós életben.

Ezt részben megoldotta a kulcsot aláíró felek, valós találkozók, amelyek során a felhasználók felbecsülhetik, hogy a kulcsok annak a személynek a tulajdonát képezik-e, aki azt mondja. Ha minden megtörténik az azonosításukkal, akkor hazatéréskor digitálisan aláírják a személy igazolását.

Vannak a bizalom különböző szintjei, beleértve a teljes és a részleges bizalmat. Azokat, amelyek tanúsítványain sok digitális aláírás mutatkozik, amelyek teljes bizalmat képviselnek, sokkal megbízhatóbbnak tekintik, mint azok, amelyek csak néhány részleges bizalommal rendelkeznek..

A bizalomhálózat lehetővé teszi a felhasználók számára, hogy meghatározzák, vajon bíznak-e a potenciális levelező digitális tanúsítványában. Ha az elküldendő üzenet rendkívül érzékeny, dönthet úgy, hogy túl nagy a kockázata annak, hogy olyan személynek küldje el, aki csak részben bíz meg.

Tanúsító hatóságok

A PGP digitális tanúsítványok nem az egyetlen módja annak, hogy az identitások összekapcsolhatók a nyilvános kulcsaikkal. X.509 tanúsítványok szintén használható. Ez egy általános tanúsítási szabvány, amelyet más célokra is használnak. A fő különbség a PGP-igazolások és az X.509-igazolások között az, hogy a PGP-igazolásokat bárki aláírhatja, míg az X.509-igazolásokat az úgynevezett tanúsító hatóság.

A PGP tanúsítványokat igazolási hatóságok is aláírhatják, de az X.509 tanúsítványokat csak a tanúsító hatóságok vagy azok képviselői írhatják alá. Az X.509 tanúsítványok a nyilvános kulcs mellett számos tulajdonos azonosító információt tartalmaznak, de nekik van kezdő és lejárati dátuma is.

A PGP tanúsítványokkal ellentétben, amelyeket a felhasználó maguk készíthetnek, Az X.509 tanúsítványok csak igazolási hatósághoz fordulva érhetők el. Ezeknek a tanúsítványoknak is csak egyetlen digitális aláírása van a kibocsátótól, szemben a sok aláírással, amelyet a PGP tanúsítvány más felhasználóktól kaphat.

Mellékletek titkosítása

A PGP a mellékletek titkosításához is használható. Van néhány módszer erre, de ez a megvalósítástól függ. Általában véve a legjobb módszer a PGP / MIME, amely a mellékleteket és az üzenet törzsét együtt titkosítja. Ez megakadályozza a metaadatok szivárgását, amely akkor fordul elő, ha az egyes szegmenseket külön titkosítja.

PGP titkosítás működésben

Tegyük mindezt egy példába, hogy megmutatjuk, hogyan működnek ezek az elemek egymáshoz viszonyítva. A dolgok érdekesebbé tétele érdekében mondjuk, hogy egy totalitárius ország bejelentője vagy, aki egy korrupció szélsőséges esetét fedezte fel.

Szeretné továbbadni az üzenetet az újságíróknak, de retteg a saját biztonsága miatt. Mi lenne, ha a kormány rájössz, hogy te voltál az, aki kiszivárogtatta az információt, és az embereket küld ön utánad?

Végül úgy dönt, hogy az információ nyilvánosságra hozatala a helyes lépés, de azt akarja tenni, hogy a lehető legnagyobb mértékben megvédje Önt. Online keres, és olyan újságírót talál, aki híres az ilyen munkáról és mindig megvédi forrásait.

Nem akarja csak hívni, vagy rendesen e-mailen küldeni, ez túl kockázatos. Korábban már hallottál a PGP-ről, és úgy döntött, hogy megpróbálja használni üzenetének védelme érdekében. Letölt egy olyan programot, mint a Gpg4win, és konfigurálja azt egy OpenPGP-kompatibilis e-maillel.

Ha minden rendben van, akkor megkeresi az újságírót nyilvános kulcs. Megtalálja őket a saját webhelyükön vagy egy kulcsszerveren. Nyilvános kulcsuk számtalan teljes megbízhatóságú aláírások a digitális tanúsítványon, tehát tudod, hogy jogszerű.

Importálja az újságíró nyilvános kulcsát, majd az OpenPGP-kompatibilis e-mail használatával kezdje el. Ön beírja az üzenetet:

Kedves Susan Peterson,

 Van néhány információm egy hatalmas korrupciós botrányról az Egyesült Államokban, Mozambábban. Tudassa velem, ha érdekli, és további részleteket küldök.

A digitális aláírás hozzáadása

Ha aggódik az e-mail megsértése miatt, akkor hozzá is adhatja a digitális aláírás. A hash funkció a sima szöveget a üzenet feldolgozása, amely titkosítva van a magánkulccsal. A digitális aláírást az üzenettel együtt megküldik az újságírónak.

Az üzenet titkosítása

Amikor ez befejeződött, a PGP tömöríti a sima szöveget. Ez nem csak a folyamat hatékonyabbá tételét, hanem a kriptoanalízis ellenállóbbá tételét is segíti.

A fájl tömörítése után a PGP létrehozza az egyszeri felhasználást munkamenet kulcs. Ezt a munkakulcsot a sima szöveg hatékony titkosításához használják szimmetrikus kulcsú kriptográfia, az üzenet törzsét rejtjeles szöveggé alakítva. Ezután a munkamenet kulcs titkosítva van az újságíró nyilvános kulcsával. Ez nyilvános kulcsú titkosítás erőforrás-éhesebb, de lehetővé teszi, hogy biztonságosan elküldje a munkamenet kulcsot az újságírónak.

A rejtjelet, a titkosított munkakulcsot és a digitális aláírást ezután elküldik az újságírónak. Amikor az újságíró megkapja az üzenetet, az így néz ki:

wcBMA97wCTWE / j6yAQf9EIv17btMUCL8BwIn4bAf / gE3GVdPmpfIQLSpOa1yN9d8

KI9K8xs9MAEF7fgl94 / nXg0h9e1KcTjgi81ULMRMkDjIoYd33TQTMqXnRQu4b5mU

hOKn + BGJ2LNeWI / tLLCXHfN27x3RkDHZR7q8UupnukVlArCt + 1ck + Fph0xE9G3UG

JF5KmQWm9n + 1fWMzynj9vy4CBERtOgc5ktVNJOek4Mr + 14vz9NykbBwgJthpDaFK

HtRgVimokTCxVckIc3aLK9dXPUBCh9D3GpUw6ruEn17 / PWvveAnLDmbsfpGxizlF

uC8OWRgaKSdgZhZBqyFS0Wb6B39gWgoK9xh4 / Ma90dLADAEbDAN6eRqvhYhADWW +

fLkFU3q8If0CYZY1tIeXLa46IxqiQaBPQfOQ7MfG5gAWAV5AHdd6ehWMKfy1Yoye

K3ikc18BZMRCLMmEilI + pDrIpcii5LJSTxpzjkX4eGaq1 / gyJIEbpkXRLr5OSKmN

m / pS1ylm5XvapQCpDo7DAAFZ13QpLmGf54gMZOTFYGZzg7EMcShL5nZ4y16GJ2DK

qlpLCcVluNzJDEBnlYaVEGzrHJNgpNldNDjYn2NN780iJuronSwzyMP7NPTm0A ==

= iO3p

Az üzenet visszafejtése

Az újságíró a magánkulcsukkal dekódolja a munkamenetkulcsot. A munkamenet kulcs ezután dekódolja az üzenet törzsét, visszatérve az eredeti formájához:

 Kedves Susan Peterson,   

 Van néhány információm egy hatalmas korrupciós botrányról az Egyesült Államokban, Mozambábban. Tudassa velem, ha érdekli, és további részleteket küldök.

A digitális aláírás ellenőrzése

Ha az újságíró szkeptikusan fogadja az üzenet integritását, vagy úgy gondolja, hogy valószínűleg nem Ön küldte el, ellenőrizheti a digitális aláírást. Az általuk kapott üzenetet futtatják a hash funkció, ami megadja nekik a üzenet feldolgozása a kapott e-mailekből.

Az újságíró ezután használja az ön adatait nyilvános kulcs és a te digitális aláírás hogy nekik üzenet feldolgozása mint az üzenet elküldésekor volt. Ha a két üzenet szövege azonos, akkor tudják, hogy az üzenet hiteles. Ettől a ponttól kezdve Ön és az újságíró kommunikálhat előre-vissza a PGP-vel, hogy megvitassák a korrupciós botrány részleteit..

Mennyire biztonságos a PGP titkosítás?

Ameddig a biztonsága megy, A PGP jelenlegi verziói alapvetően légmentesen működnek, feltéve, hogy helyesen használják őket. Van néhány elméleti sebezhetőség a régebbi verziókkal szemben, de a jelenlegi verziókról nem ismert, hogy a kortárs technológiával és a legújabb kriptoanalízis-technikákkal bármilyen módon megsérülhetnek. Az is valószínűtlen, hogy valaki titkos módon megszegi a PGP-t, így elhanyagolható, tehát elég biztonságos a PGP biztonságos használata, mindaddig, amíg helyesen használja..

A PGP fejlesztésével több titkosítási algoritmust adtak hozzá a biztonság fokozása érdekében. Amikor enyhe sebezhetőséget fedeztek fel, a fejlesztők gyorsan javították meg. A legnagyobb aggodalom nem az, hogy a PGP titkosítása megsérüljön, mivel ezt gyakorlatilag nehéz lenne megtenni bármely bűncselekmény vagy nemzet állam számára..

Helyette, sokkal valószínűbb, ha a támadó más eszközöket is felhasznál a kommunikáció feltárására. Ez magában foglalhatja a keylogger használatát a magánkulcs kitalálására, vagy a ház felszámolását annak ellenőrzésére, hogy a privát kulcsot valahol leírták-e..

Ennek ellenére vannak bizonyos sebezhetőségek az OpenPGP különféle megvalósításaiban. [year] elején gyengeséget találtak, amely felhasználható a titkosított e-mailek egyszerű szövegének megmutatására. EFAIL-re szinkronizálva, a támadók először elfogják a cél titkosított e-mailjét, és megváltoztatják azt, hogy a végső címzett e-mail kliense elküldje az üzenetet a támadónak, miután visszafejtette azt..

A támadó valójában nem dekódolja az e-mailt, és ez a technika nem jelenti a PGP titkosítás megszakítását. Ennek ellenére a PGP-felhasználóknak tisztában kell lenniük és megfelelő intézkedéseket kell hozniuk a kockázatok csökkentésére.

A PGP-t használó személyeknek meg kell változtatniuk az e-mail kliens beállításait, hogy megakadályozzák a külső képek és egyéb tartalmak automatikus betöltését. Ők is kapcsolja ki a JavaScriptet és a HTML-t titkosított e-mailek megtekintésekor. Ezen intézkedések végrehajtása mellett a PGP-titkosítás továbbra is biztonságosan használható.

Milyen korlátozások vannak a PGP titkosításra??

Noha a PGP titkosítás fontos eszköz a biztonsági arzenálban, mint minden más védelemhez, ez messze nem tökéletes.

használhatóság

Az egyik legfontosabb hátránya, hogy van nem pontosan felhasználóbarát, különösen a legtöbb alkalmazáshoz képest, amelyeken napi életünket töltjük.

Ez kihívásokat jelent azok számára, akik meg akarják védeni e-maileiket, de nem rendelkeznek magas szintű műszaki ismeretekkel. Ez lehet egyike azoknak a dolgoknak, amelyeket csak meg kell tanulniuk a kommunikáció biztonságának megőrzése érdekében. Ellenkező esetben a titkosított üzenetküldő alkalmazások, például a Signal, jobban megfelelhetnek igényeiknek.

Az évek során számos különféle PGP-verzió is létezett, mindegyik új algoritmusokkal és szolgáltatásokkal rendelkezik. Emiatt, a PGP régebbi verziói nem tudnak olyan üzeneteket megnyitni, amelyeket újabb rendszerek titkosítottak. Még a helyes kulccsal sem működik, mert különböző algoritmusokat használnak.

Ez azt jelenti, hogy fontos ellenőrizni, hogy mind a feladó, mind a címzett tisztában vannak-e a használt verzióval és a beállításokkal, hogy el tudják rendezni egy olyan rendszert, amely kölcsönösen működik nekik.

A PGP alapértelmezés szerint nem névtelen

A PGP-felhasználóknak tisztában kell lenniük ezzel nem titkosítja e-maileik minden aspektusát. Titkosítja a törzsszöveget, de bárki, aki elfogja a PGP e-maileket, továbbra is láthatja a tárgy sorát és az üzenet részleteit, valamint a feladóra és a fogadóra vonatkozó információkat..

Bár maga az üzenet lehet magánkéz, az interakció nem névtelen. A felhasználóknak ezt figyelembe kell venniük annak felmérésekor, hogy ez a megfelelő eszköz-e a feladathoz. Először el kell kerülni, hogy bármi túlságosan specifikus legyen a tárgysorba.

Figyelembe véve a fenti példát, a bejelentőnek továbbra is figyelembe kell vennie a PGP-vel kapcsolatos kockázatokat. Ha a korrupciós botrány hatalmas kormányzati felháborodást váltott ki, nem hihetetlen elképzelni, hogy a kormányzati ügynökök becsapódnak az újságíró e-mailbe.

Ha csak egy interakciót találnának egy mozambéki Egyesült Államok állampolgárával, akkor nem lenne szükség Sherlock-stílusú készségekre, hogy levonják azt a következtetést, hogy valószínűleg ez a személy a bejelentő. Az ügynököknek nem kell, hogy hozzáférjenek az üzenet tartalmához, hogy nagyfokú bizalmat élvezhessenek, vagy legalábbis ahhoz, hogy az adott személyt kihallgatásba hozzák.

A PGP titkosítás a magas biztonságú kommunikáció szerves része

A PGP-titkosítás mögött lévő anyák és csavarok egy kicsit bonyolultak, de ez a biztonságos e-mail fontos szempontja. Azoknak, akik használják, meg kell érteniük, hogyan működik, legalább tágabb értelemben. Egyébként ők téves feltételezéseket tehet vagy helytelenül használhatja fel, veszélyeztetve üzenet tartalmát és esetleg életét is.

Gyors áttekintésként a PGP titkosítás számos technikát használ ki a biztonságos és magán e-mail kommunikáció biztosításához. Ezek tartalmazzák tömörítés, nyilvános kulcsú titkosítás, szimmetrikus titkosítás, digitális aláírások és a bizalomhálózat.

Ezek együttesen lehetővé teszik a felhasználók számára, hogy titkosított üzeneteket küldjenek hatékony módon. Emellett ellenőrizhetjük, hogy az üzenet hiteles-e, és nem lett-e megváltoztatva. Az OpenPGP szabványt úgy alakították ki, hogy mindenki ingyenesen felhasználhassa azt, ezzel segítve az e-mail titkosítás legszélesebb körben elterjedt formáját. Míg A PGP titkosítás nem tökéletes, mindaddig, amíg tisztában van annak korlátaival, ez az egyik legbiztonságosabb módja az online kommunikációnak.

Most kíváncsi lehet a PGP használatára? Az e-mailek titkosításáról szóló útmutatónkban megismerkedtünk velünk.

Háttérvilágítású billentyűzet a Colin engedélyével CC0