PGP significa Privacidad bastante buena. Es un software de cifrado diseñado para brindar privacidad, seguridad y autenticación a los sistemas de comunicación en línea. Phil Zimmerman es el nombre detrás del primer programa PGP y, según él, se puso a disposición de forma gratuita debido a la creciente demanda social de privacidad.

Desde su creación en 1991, se crearon muchas versiones del software PGP. En 1997, Phil Zimmerman hizo una propuesta al Internet Engineering Task Force (IETF) para la creación de un estándar PGP de código abierto. La propuesta fue aceptada y condujo a la creación del protocolo OpenPGP, que define formatos estándar para claves y mensajes de cifrado.

Aunque inicialmente se utilizaba sólo para proteger mensajes de correo electrónico y archivos adjuntos, ahora PGP se aplica a una amplia gama de casos de uso, incluidas firmas digitales, cifrado completo de discos y protección de redes.

PGP fue inicialmente propiedad de la empresa PGP Inc, que luego fue adquirida por Network Associates Inc. En 2010, Symantec Corp. adquirió PGP por 300 millones de dólares y el término ahora es una marca registrada utilizada para sus productos compatibles con OpenPGP.


¿Como funciona?

PGP se encuentra entre el primer software ampliamente disponible que implementa criptografía de clave pública. Es un criptosistema híbrido que utiliza cifrado simétrico y asimétrico para lograr un alto nivel de seguridad.

En un proceso básico de cifrado de texto, un texto sin formato (datos que pueden entenderse claramente) se convierte en texto cifrado (datos ilegibles). Pero antes de que se lleve a cabo el proceso de cifrado, la mayoría de los sistemas PGP realizan la compresión de datos. Al comprimir archivos de texto sin formato antes de transmitirlos, PGP ahorra espacio en disco y tiempo de transmisión, al tiempo que mejora la seguridad.

Después de la compresión del archivo, comienza el proceso real de cifrado. En esta etapa, el archivo de texto sin formato comprimido se cifra con una clave de un solo uso, que se conoce como clave de sesión. Esta clave se genera aleatoriamente mediante el uso de criptografía simétrica y cada sesión de comunicación PGP tiene una clave de sesión única.

A continuación, la clave de sesión (1) se cifra mediante cifrado asimétrico: el receptor previsto (Bob) proporciona su clave pública (2) al remitente del mensaje (Alice) para que pueda cifrar la clave de sesión. Este paso permite a Alice compartir de forma segura la clave de sesión con Bob a través de Internet, independientemente de las condiciones de seguridad.

What Is PGP?

El cifrado asimétrico de la clave de sesión generalmente se realiza mediante el uso del algoritmo RSA. Muchos otros sistemas de cifrado utilizan RSA, incluido el protocolo Transport Layer Security (TLS) que protege una gran parte de Internet.

Una vez que se transmiten el texto cifrado del mensaje y la clave de sesión cifrada, Bob puede usar su clave privada (3) para descifrar la clave de sesión, que luego se usa para descifrar el texto cifrado nuevamente al texto sin formato original.

What Is PGP?

Aparte del proceso básico de cifrado y descifrado, PGP también admite firmas digitales, que cumplen al menos tres funciones:

  • Autenticación: Bob puede verificar que el remitente del mensaje era Alice.

  • Integridad: Bob puede estar seguro de que el mensaje no fue alterado.

  • No repudio: después de que el mensaje esté firmado digitalmente, Alice no puede afirmar que no lo envió.


Casos de uso

Uno de los usos más comunes de PGP es proteger el correo electrónico. Un correo electrónico que está protegido con PGP se convierte en una cadena de caracteres ilegibles (texto cifrado) y sólo puede descifrarse con la clave de descifrado correspondiente. Los mecanismos de funcionamiento son prácticamente los mismos para proteger los mensajes de texto, y también existen algunas aplicaciones de software que permiten implementar PGP sobre otras aplicaciones, agregando efectivamente un sistema de cifrado a los servicios de mensajería no seguros.

Aunque PGP se utiliza principalmente para proteger las comunicaciones por Internet, también se puede aplicar para cifrar dispositivos individuales. En este contexto, PGP se puede aplicar a particiones de disco de una computadora o dispositivo móvil. Al cifrar el disco duro, se le pedirá al usuario que proporcione una contraseña cada vez que se inicie el sistema.


Ventajas y desventajas

Gracias a su uso combinado de cifrado simétrico y asimétrico, PGP permite a los usuarios compartir información y claves criptográficas de forma segura a través de Internet. Como sistema híbrido, PGP se beneficia tanto de la seguridad de la criptografía asimétrica como de la velocidad del cifrado simétrico. Además de la seguridad y la rapidez, las firmas digitales garantizan la integridad de los datos y la autenticidad del remitente.

El protocolo OpenPGP permitió el surgimiento de un entorno competitivo estandarizado y ahora múltiples empresas y organizaciones proporcionan soluciones PGP. Aún así, todos los programas PGP que cumplen con los estándares OpenPGP son compatibles entre sí. Esto significa que los archivos y claves generados en un programa se pueden utilizar en otro sin problemas.

En cuanto a las desventajas, los sistemas PGP no son tan sencillos de usar y comprender, especialmente para usuarios con pocos conocimientos técnicos. Además, muchos consideran que la gran longitud de las claves públicas es bastante inconveniente.

En 2018, la Electronic Frontier Foundation (EFF) publicó una vulnerabilidad importante llamada EFAIL. EFAIL hizo posible que los atacantes explotaran el contenido HTML activo en correos electrónicos cifrados para obtener acceso a las versiones de texto sin formato de los mensajes.

Sin embargo, algunas de las preocupaciones descritas por EFAIL ya eran conocidas por la comunidad PGP desde finales de los años 1990 y, de hecho, las vulnerabilidades están relacionadas con las diferentes implementaciones por parte de los clientes de correo electrónico, y no con PGP en sí. Entonces, a pesar de los titulares alarmantes y engañosos, PGP no está roto y sigue siendo altamente seguro.


Pensamientos finales

Desde su desarrollo en 1991, PGP ha sido una herramienta esencial para la protección de datos y ahora se utiliza en una amplia gama de aplicaciones, proporcionando privacidad, seguridad y autenticación para varios sistemas de comunicación y proveedores de servicios digitales.

Si bien el descubrimiento de la falla EFAIL en 2018 generó importantes preocupaciones sobre la viabilidad del protocolo, la tecnología central todavía se considera robusta y criptográficamente sólida. Vale la pena señalar que diferentes implementaciones de PGP pueden presentar distintos niveles de seguridad.