Pretty Good Privacy (PGP): kriptográfiai program és e-mail titkosítás

PGP: erős kriptográfia és e‑mail titkosítás a magánüzenetek védelmére — hogyan működik, OpenPGP szabvány, aláírás és visszafejtés lépésről lépésre.

A Pretty Good Privacy (PGP) egy olyan számítógépes program, amely kriptográfiai adatvédelmet és hitelesítést biztosít. A PGP-t gyakran használják elektronikus levelek (e-mailek) aláírására, titkosítására és visszafejtésére, hogy növeljék az e-mail kommunikáció biztonságát. Eredetileg Phil Zimmermann hozta létre 1991-ben.

A PGP és más hasonló termékek az OpenPGP szabványt (RFC 4880) követik az adatok titkosítására és visszafejtésére.

Hogyan működik röviden

A PGP hibrid kriptográfiát használ, ami a gyakorlatban azt jelenti, hogy a következő lépések kombinációjára épít:

Nyilvános és privát kulcspár: minden felhasználó létrehoz egy kulcspárt — egy nyilvános kulcsot (amelyet megoszt) és egy privát kulcsot (amelyet titokban tart).
Szimmetrikus titkosítás az adatvédelemhez: a tényleges üzenetet általában gyors szimmetrikus algoritmussal titkosítják egy egyszeri szimmetrikus kulccsal (session key).
Aszimmetrikus titkosítás a kulcscserehez: az egyszeri kulcsot a címzett nyilvános kulcsával titkosítják, így csak a címzett tudja visszafejteni a hozzá tartozó privát kulccsal.
Digitális aláírás: az üzenethez láncolt aláírás biztosítja a feladó hitelességét és az üzenet sértetlenségét.
ASCII-armored formátum: a titkosított és aláírt adatok gyakran szöveges, ASCII-kódolt (armored) formában kerülnek továbbításra, hogy e-mailben és egyéb rendszerekben is jól kezelhetők legyenek.

Főbb elemek és fogalmak

Kulcstartó (keyring): a felhasználó által ismert nyilvános kulcsok és saját privát kulcs tárolására szolgál.
Kulcsszerverek: nyilvános kulcsok megosztására szolgáló szolgáltatások, ahol a felhasználók közzétehetik kulcsaikat és kereshetnek mások után.
Web of Trust (Bizalmi háló): a PGP hagyományos modellje, amelynél a felhasználók egymás kulcsait kézzel ellenőrzik és aláírják, így épül a kölcsönös bizalom hálózata.
Visszavonási tanúsítvány (revocation certificate): dokumentum, amely lehetővé teszi egy kulcs visszavonását, ha a privát kulcs kompromittálódik vagy elveszik.

Gyakori implementációk és kompatibilitás

A legismertebb szabad implementáció a GnuPG (GPG), amely az OpenPGP szabványnak megfelelően működik, és széles körben használt mind asztali, mind szerver oldali környezetekben. Emellett léteznek kereskedelmi PGP-termékek és különböző e-mail kliensbe illesztő bővítmények, amelyek megkönnyítik a titkosítást és az aláírást.

Miért érdemes használni

Bizalmas információk védelme — csak a címzett tudja elolvasni az üzenetet.
Hitelesség és integritás — a digitális aláírások igazolják a feladót és az üzenet sértetlenségét.
Szabványosított interoperabilitás — az OpenPGP miatt különböző szoftverek és kliensek képesek egymással kommunikálni.

Megfontolandó korlátok és kockázatok

Metaadatok: a PGP nem rejti el az e-mail fejlécinformációit (például feladó, címzett, dátum vagy tárgy), így a kommunikációs mintázat látható marad.
Végpontbiztonság: ha a felhasználó eszköze kompromittálódik (pl. keylogger, rosszindulatú szoftver), a titkosítás kevésbé véd.
Előzetes kulcscsere szükséges: a nyilvános kulcsot meg kell osztani, és ajánlott a kulcs ujjlenyomatának (fingerprint) ellenőrzése biztonságos csatornán keresztül.
Nincs tökéletes forward secrecy: ha valaki megszerzi a privát kulcsot és a régebbi titkosított üzeneteket, azok visszafejthetők lehetnek.
Használhatóság: a kulcskezelés és a bizalmi modell (web of trust) bonyolult lehet kevésbé technikai felhasználók számára.

Legjobb gyakorlatok

Védje erős jelszóval a privát kulcsot, és használjon titkosított tárolót az eszközön.
Készítsen biztonsági másolatot a privát kulcsról és a visszavonási tanúsítványról.
Ellenőrizze a kulcsok ujjlenyomatát megbízható, csatornán kívüli módon (személyes találkozó, telefonhívás, SMS nem mindig elég biztonságos).
Állítson be lejáratot a kulcsokra vagy használjon al-kulcsokat (subkeys) a gyakoribb műveletekhez (titkosítás, aláírás), így a főkulcs ritkábban kerül használatra.
Használjon naprakész szoftvert és figyelje a frissítéseket a biztonsági problémák elkerülése érdekében.

Alkalmazási területek

A PGP-t elsősorban e-mailek titkosítására és aláírására használják, de alkalmas fájlok titkosítására, biztonságos üzenetküldésre, illetve bizonyos esetekben szoftvercsomagok és dokumentumok aláírására is. Sok szervezet és magánszemély használja érzékeny információk védelmére, különösen ott, ahol fontos a harmadik fél általi beavatkozás és az üzenetek hitelességének bizonyítása.

Összefoglalás

A PGP és az OpenPGP ökoszisztéma erős, bevált eszközöket kínál a titkosításra és az üzenetek hitelesítésére. Hatékony védelmet nyújt a lehallgatás ellen, de nem helyettesíti az általános jó biztonsági gyakorlatokat és a végpontok védelmét. Kulcsfontosságú a helyes kulcskezelés, a kezdők számára pedig érdemes megismerni a legjobb gyakorlatokat, vagy olyan kliensprogramot választani, amely egyszerűsíti a használatot.