Показать статистику
+1 голос
от (440 баллов)
Хотелось бы получить отзывы или хорошее чтиво об использовании PGP, его истории и в целом объяснение как его применяют. Есть множество статей на различных сайтах, однако хотелось бы получить "все и сразу". И что бы читать поменьше :) Простите, я ленивый :)
337 просмотров 1 ответов

1 Ответ

+2 голосов
от (4.5тыс. баллов)

Pretty Good Privacy – впервые появившееся на свет в 1991 г. американским программистом Ф. Циммерманном компьютерное ПО. Его главной задачей является защита данных путем шифрования. В основе лежит методология шифрования с использованием так называемого открытого ключа. 

Программа обеспечивает не просто «Довольно хорошую секретность», как переводится название с английского, а очень хорошую. Активно используется:

  • госструктурами;
  • экспертами в области криптографии;
  • частными пользователями и корпорациями.

За счет PGP осуществляются криптографические операции широкого профиля. Это реализуется для:

  • цифровой подписи;
  • сообщений;
  • файлов и иных данных, передаваемых в Сети. 

Сегодня существуют версии программного обеспечения под все наиболее распространенные ОС. Реализации выпускаются в свободно распространяемой и коммерческой форме с расширенным количеством новых возможностей. 

Еще в 1996 г. программу охарактеризовал американский криптограф Б. Шнайдером, как приближенную по криптоуровню к системам военного типа. И это объясняется тем, что на данный момент времени нет ни одного реального способа взломать данные, зашифрованные таким методом (полный перебор, уязвимость криптоалгоритма) с использованием PGP. Хотя ранние версии имели некоторые уязвимости на уровне теоретических исследований, которые уже успешно устранены в современных. 

Разница между понятиями PGP и GPG (GnuPG) 

GnuPG (Privacy Guard – в переводе с англ. «Страж приватности GNU») –а представляет собой бесплатное программное обеспечение. Разработка ведется под эгидой Федерального мин. Германии по экономике и технике. Использование полностью бесплатное как в частных, так и в коммерческих целях, однако надежность выходит существенно ниже, чем в коммерческих серьезных версиях. 

Реализуется через стандарт OpenPGP. За годы существования было много реализаций, совместимость между которыми обеспечивается как раз за счет этого IETF-стандарта OpenPGP.

Механизм работы и особенности PGP 

Среди недостатков PGP можно назвать один – это не самый простой для осваивания метод шифрования. Однако с таким способом исключены истории, когда правительство или злоумышленники получает доступ к данным путем конфискации компьютера или с применением онлайн мошенничества. 

Причем для успешного внедрения технологии нет нужды знать все нюансы ее работы – хватит понимания ключевых концепций. В базисе работы лежит некий механизм так называемого делегирования доверия. Данное понятие широко известно под аббревиатурой WOT (Web of Trust – с англ. «Сеть доверия»). Это некоторая попытка заместить использование сертификации, как в HTTPS/TLS протоколах. С помощью такого подхода пользователь самостоятельно может решать, кому делегировать свое доверие. 

Стойкое шифрование обеспечивается в программе за счет ряда технологичных решений. Это может быть реализовано за счет:

  • хеширования последовательным способом;
  • сжатия данных;
  • шифрования с симметричным, а также открытым ключом. 

При этом каждый из перечисленных моментов может быть осуществлен различными алгоритмами. К примеру, симметричное шифрование обеспечивается за счет одного из алгоритмических решений:

  • Camellia;
  • Twofish;
  • IDEA;
  • CAST5 и др. 

Для такого шифрования пользователю необходимо создать 2 ключа. Один из них будет закрытый, другой – открытого типа. Во время формирования кея указывается их владелец с внесением в информацию имени и адреса e-mail, тип ключа, его длина и срок активности. 

В качестве инструмента зашифровки сообщения PGP берет открытый кей адресата. После формируется сообщение, расшифровать которое удастся лишь при наличии соответствующего закрытого кея, принадлежащего адресату. Сам процесс зашифровки осуществляется в несколько этапов:

  1. Создается адресантом выборочный сеансовый кей шифрования.
  2. Отправитель зашифровывает данные с полученным кеем и с помощью симметричного шифра.
  3. Далее за счет открытого PGP ключа получателя шифруется сеансовый ключ.
  4. Зашифрованное сообщение отправляется вместе с сеансовым ключом адресанту.

После чего адресат также должен выполнить несколько действий, чтобы получить доступ к зашифрованным данным. Ему необходимо:

  1. Расшифровать сеансовый ключ с использованием своего закрытого PGP кея.
  2. Взять сеансовый ключ, чтобы расшифровать содержимое послания.

Криптографический метод с открытым кеем является отличным решением проблемы приватности. Все участники переписки могут создавать 2 кея. Закрытого типа всегда держится в тайне, под сложным паролем и не передается третьим лицам. Открытый может находиться в свободном доступе у всех, кто желает вступить в переписку. 

Защита кода в репозиториях с общим доступом 

PGP успешно используется для того, чтобы обеспечивать целостность и неизменность кода. Это идеально подходит для разработчиков свободно распространяемого программного обеспечения, удобно использоват для команд распределенных разработчиков, занимающихся разработкой ПО. 

Сообщество Open Source проектов уже давно использует PGP, чтобы обеспечивать аутентичность и целостность разрабатываемых продуктов. С этим каждый уже мог столкнуться в ОС Linux. В дистрибутивах используется PGP, чтобы обеспечить неизменность бинарных пакетов и других данных с момента их создания до этапа установки ОС конечным пользователем. 

Подводя итоги, стоит отметить, что в технологии PGP не предусмотрен инструмент, который скрывал бы данные непосредственно об адресате или самом факте использования PGP. Поэтому, загружая открытый кей в широкий доступ на серверы ключей, подписывая ключи других людей, каждый автоматически показывает, какой ключ принадлежит кому и с кем знаком человек.

...