PGP (Pretty Good Privacy) — e-pasta šifrēšana un autentifikācija

Uzziniet par PGP — e-pasta šifrēšanu un autentifikāciju: kā darbojas OpenPGP, parakstīšana, privātums un drošība, lai aizsargātu jūsu komunikāciju.

Autors: Leandro Alegsa

Pretty Good Privacy (PGP) ir datorprogramma, kas nodrošina kriptogrāfisku konfidencialitāti un autentifikāciju. PGP bieži izmanto elektronisko vēstuļu (e-pasta vēstuļu) parakstīšanai, šifrēšanai un atšifrēšanai, lai palielinātu e-pasta saziņas drošību. Sākotnēji to 1991. gadā izveidoja Fils Cimmermans (Phil Zimmermann).

PGP un citi līdzīgi produkti datu šifrēšanai un atšifrēšanai izmanto OpenPGP standartu (RFC 4880).

Kā PGP darbojas — galvenie principi

PGP izmanto hibrīdu kriptogrāfiju, apvienojot asimetrisko (publiskās/privātās atslēgas) un simetrisko šifrēšanu:

  • Katram lietotājam ir publiskā atslēga (public key), ko viņš var brīvi izplatīt, un privātā atslēga (private key), kas jāglabā konfidenciāli.
  • Kad sūtītājs šifrē e-pastu, vispirms tiek izveidota īslaicīga simetriskā sesijas atslēga, ar kuru šifrē pašu ziņojumu (tas ir ātrāk). Pēc tam sesijas atslēga tiek šifrēta ar saņēmēja publisko atslēgu — tikai saņēmēja privātā atslēga to var atšifrēt.
  • Elektroniskam parakstam izmanto sūtītāja privāto atslēgu, kas ļauj saņēmējam ar publiskās atslēgas palīdzību pārbaudīt, vai ziņa nav mainīta un tiešām nāk no deklarētā sūtītāja.

Web of Trust un atslēgu apmaiņa

Atšķirībā no sertifikācijas iestāžu (CA) modeļa, PGP popularizēja web of trust pieeju: lietotāji var viens otram parakstīt publiskās atslēgas, apliecinot to identitāti. Tā izveidojas uzticības tīkls, kas palīdz atšķirt īstas atslēgas no viltotām. Publiskās atslēgas var glabāt arī atslēgu serveros (keyservers), no kuriem tās var tikt lejupielādētas.

Praktiskā lietošana — soli pa solim

  • Izveido atslēgu pāri (publiskā + privātā atslēga) un nosauc atslēgu ar savu vārdu un e-pasta adresi.
  • Publicē savu publisko atslēgu atslēgu serverī vai nosūti to saviem kontaktiem.
  • Saņemot publisko atslēgu no cita lietotāja, pārbaudi tās parakstus un atslēgas pirkstu nospiedumu (fingerprint) — ideāli personīgi vai caur uzticamu kanālu.
  • Šifrē e-pastu ar saņēmēja publisko atslēgu un paraksti to ar savu privāto atslēgu; saņēmējs varēs atšifrēt un pārbaudīt parakstu.

Populāras īstenojumprogrammas un rīki

Visplašāk izmantotā brīvā īstenojuma versija ir GnuPG (GPG), kas pilnībā atbilst OpenPGP standartam. Ir arī citas programmas un spraudņi, kas integrē PGP funkcionalitāti e-pasta klientos un pārlūkprogrammās, piemēram, spraudņi Thunderbird, Mailvelope u.c.

Labs prakses un drošības ieteikumi

  • Izmanto spēcīgu paroli savas privātās atslēgas aizsardzībai.
  • Saglabā privāto atslēgu drošā vietā (piemēram, šifrētā rezerves kopijā) un izveido revokācijas sertifikātu gadījumam, ja atslēga tiek zaudēta vai kompromitēta.
  • Pārbaudi atslēgas pirkstu nospiedumus ar uzticamu metodi (telefoniski, personīgi vai izmantojot citus drošus kanālus).
  • Atjaunini kriptogrāfijas programmatūru regulāri, lai saņemtu drošības labojumus.

Ierobežojumi un riski

  • PGP nepasargā no metadatiem (piemēram, e-pasta laika, sūtītāja un saņēmēja adresēm) — šie dati var parādīties pasta galvenēs vai citos servera žurnālos.
  • Nav iebūvētas pilnīgas forward secrecy garantijas, kas nozīmē: ja kādreiz tiek kompromitēta privātā atslēga, pagātnes ziņas, kas tika uzglabātas, var tikt atšifrētas.
  • Uzbrukumi cilvēka vidē (social engineering) un atslēgu apmaiņas neuzmanība var novest pie man-in-the-middle uzbrukumiem, ja atslēgas netiek verificētas.
  • Izmantošanas ērtums dažiem lietotājiem var būt problēma — nepareiza konfigurācija vai slinki darba procesi grauj drošību.

Vēsturisks konteksts

PGP izstrādāja Fils Cimmermans 1991. gadā ar mērķi padarīt spēcīgu kriptogrāfiju pieejamu plašākai sabiedrībai. Programmas izplatība izraisīja diskusijas par kriptogrāfijas eksportu un valstu regulējumu, taču PGP ideja un OpenPGP standarts ir ievērojami ietekmējuši mūsdienu drošības praksi.

Alternatīvas

Galvenā alternatīva e-pasta šifrēšanai ir S/MIME, kas balstās uz sertifikācijas iestāžu (CA) modeli. Izvēle starp PGP un S/MIME parasti atkarīga no organizācijas prasībām un esošās infrastruktūras.

Nobeigums

PGP/OpenPGP ir spēcīgs rīks datu konfidencialitātei un autentifikācijai, īpaši e-pasta drošības jomā. Tomēr tā efektivitāte lielā mērā ir atkarīga no pareizas atslēgu pārvaldības, parakstu pārbaudes un lietotāja prakses. Lai PGP lietošana būtu droša, ir svarīgi saprast pamatus, regulāri atjaunināt rīkus un pārbaudīt atslēgas pirkstu nospiedumus ar uzticamiem avotiem.

OpenPGP

OpenPGP ir iekļauts interneta standartu sarakstā; pašreizējā specifikācija ir RFC 4880 (2007. gada novembris). OpenPGP joprojām tiek izstrādāts, un RFC 2440 pēctecis, kas ir RFC 4880, ir kļuvis par ierosināto standartu. Daudzi e-pasta klienti nodrošina OpenPGP atbilstošu e-pasta drošību, kā aprakstīts RFC 3156.

Brīvās programmatūras fonds ir izstrādājis savu OpenPGP atbilstošu programmu GNU Privacy Guard (saīsināti GnuPG vai GPG). GnuPG ir brīvi pieejama kopā ar visu pirmkodu saskaņā ar GNU vispārējo publisko licenci (GPL) un tiek uzturēta atsevišķi no vairākām grafiskajām lietotāja saskarnēm (GUI), kas mijiedarbojas ar GnuPG bibliotēku šifrēšanas, atšifrēšanas un parakstīšanas funkciju veikšanai (sk. KGPG, Seahorse, MacGPG). Arī vairāki citi ražotāji ir izstrādājuši OpenPGP atbilstošu programmatūru.

Saistītās lapas

  • FreeOTFE - Disku šifrēšana
  • PuTTY - SSH šifrēšana


Meklēt
AlegsaOnline.com - 2020 / 2025 - License CC3