PGP adalah singkatan dari Pretty Good Privacy. Ini adalah perangkat lunak enkripsi yang dirancang untuk memberikan privasi, keamanan, dan otentikasi untuk sistem komunikasi online. Phil Zimmerman adalah nama di balik program PGP pertama, dan menurutnya, program ini tersedia secara gratis karena meningkatnya permintaan sosial akan privasi.
Sejak didirikan pada tahun 1991, banyak versi perangkat lunak PGP yang dibuat. Pada tahun 1997, Phil Zimmerman mengajukan proposal kepada Internet Engineering Task Force (IETF) untuk pembuatan standar PGP sumber terbuka. Proposal tersebut diterima dan mengarah pada pembuatan protokol OpenPGP, yang mendefinisikan format standar untuk kunci enkripsi dan pesan.
Meskipun awalnya hanya digunakan untuk mengamankan pesan email dan lampiran, PGP kini diterapkan pada berbagai kasus penggunaan, termasuk tanda tangan digital, enkripsi disk penuh, dan perlindungan jaringan.
PGP awalnya dimiliki oleh perusahaan PGP Inc, yang kemudian diakuisisi oleh Network Associates Inc. Pada tahun 2010, Symantec Corp. mengakuisisi PGP seharga $300 juta, dan istilah tersebut sekarang menjadi merek dagang yang digunakan untuk produk mereka yang mendukung OpenPGP.
Bagaimana cara kerjanya?
PGP adalah salah satu perangkat lunak pertama yang tersedia secara luas untuk mengimplementasikan kriptografi kunci publik. Ini adalah sistem kriptografi hibrid yang menggunakan enkripsi simetris dan asimetris untuk mencapai tingkat keamanan yang tinggi.
Dalam proses dasar enkripsi teks, sebuah plaintext (data yang dapat dipahami dengan jelas) diubah menjadi ciphertext (data yang tidak dapat dibaca). Namun sebelum proses enkripsi berlangsung, sebagian besar sistem PGP melakukan kompresi data. Dengan mengompresi file teks biasa sebelum mengirimkannya, PGP menghemat ruang disk dan waktu transmisi - sekaligus meningkatkan keamanan.
Setelah kompresi file, proses enkripsi sebenarnya dimulai. Pada tahap ini, file teks biasa terkompresi dienkripsi dengan kunci sekali pakai, yang dikenal sebagai kunci sesi. Kunci ini dihasilkan secara acak melalui penggunaan kriptografi simetris, dan setiap sesi komunikasi PGP memiliki kunci sesi unik.
Selanjutnya, kunci sesi (1) itu sendiri dienkripsi menggunakan enkripsi asimetris: penerima yang dituju (Bob) memberikan kunci publiknya (2) kepada pengirim pesan (Alice) sehingga pengirim pesan dapat mengenkripsi kunci sesi tersebut. Langkah ini memungkinkan Alice untuk berbagi kunci sesi dengan Bob dengan aman melalui Internet, apa pun kondisi keamanannya.
Enkripsi asimetris kunci sesi biasanya dilakukan melalui penggunaan algoritma RSA. Banyak sistem enkripsi lain yang menggunakan RSA, termasuk protokol Transport Layer Security (TLS) yang mengamankan sebagian besar Internet.
Setelah teks sandi pesan dan kunci sesi terenkripsi dikirimkan, Bob dapat menggunakan kunci pribadinya (3) untuk mendekripsi kunci sesi, yang kemudian digunakan untuk mendekripsi teks sandi kembali menjadi teks biasa asli.
Selain proses dasar enkripsi dan dekripsi, PGP juga mendukung tanda tangan digital - yang setidaknya memiliki tiga fungsi:
Otentikasi: Bob dapat memverifikasi bahwa pengirim pesan adalah Alice.
Integritas: Bob yakin bahwa pesannya tidak diubah.
Non-penyangkalan: setelah pesan ditandatangani secara digital, Alice tidak dapat mengklaim bahwa dia tidak mengirimkannya.
Kasus penggunaan
Salah satu kegunaan PGP yang paling umum adalah untuk mengamankan email. Email yang dilindungi dengan PGP diubah menjadi serangkaian karakter yang tidak dapat dibaca (teks sandi) dan hanya dapat diuraikan dengan kunci dekripsi yang sesuai. Mekanisme kerjanya hampir sama untuk mengamankan pesan teks, dan ada juga beberapa aplikasi perangkat lunak yang memungkinkan PGP diterapkan di atas Aplikasi lain, yang secara efektif menambahkan sistem enkripsi ke layanan pesan tidak aman.
Meskipun PGP sebagian besar digunakan untuk mengamankan komunikasi internet, PGP juga dapat diterapkan untuk mengenkripsi perangkat individual. Dalam konteks ini, PGP dapat diterapkan pada partisi disk komputer atau perangkat seluler. Dengan mengenkripsi hard disk, pengguna akan diminta untuk memberikan kata sandi setiap kali sistem melakukan booting.
Keuntungan dan kerugian
Berkat gabungan penggunaan enkripsi simetris dan asimetris, PGP memungkinkan pengguna berbagi informasi dan kunci kriptografi dengan aman melalui Internet. Sebagai sistem hybrid, PGP mendapatkan keuntungan dari keamanan kriptografi asimetris dan kecepatan enkripsi simetris. Selain keamanan dan kecepatan, tanda tangan digital menjamin integritas data dan keaslian pengirim.
Protokol OpenPGP memungkinkan munculnya lingkungan kompetitif terstandar dan solusi PGP kini disediakan oleh banyak perusahaan dan organisasi. Namun, semua program PGP yang mematuhi standar OpenPGP tetap kompatibel satu sama lain. Ini berarti bahwa file dan kunci yang dihasilkan dalam satu program dapat digunakan di program lain tanpa masalah.
Mengenai kelemahannya, sistem PGP tidak mudah digunakan dan dipahami, terutama bagi pengguna dengan sedikit pengetahuan teknis. Selain itu, kunci publik yang panjangnya dianggap oleh banyak orang cukup merepotkan.
Pada tahun 2018, kerentanan besar yang disebut EFAIL diterbitkan oleh Electronic Frontier Foundation (EFF). EFAIL memungkinkan penyerang mengeksploitasi konten HTML aktif dalam email terenkripsi untuk mendapatkan akses ke versi pesan teks biasa.
Namun, beberapa kekhawatiran yang dijelaskan oleh EFAIL telah diketahui oleh komunitas PGP sejak akhir tahun 1990an dan, faktanya, kerentanan tersebut terkait dengan implementasi berbeda yang dilakukan oleh klien email, dan bukan dengan PGP itu sendiri. Jadi meskipun berita utama mengkhawatirkan dan menyesatkan, PGP tidak rusak dan tetap sangat aman.
Menutup pikiran
Sejak dikembangkan pada tahun 1991, PGP telah menjadi alat penting untuk perlindungan data dan kini digunakan dalam berbagai aplikasi, memberikan privasi, keamanan, dan otentikasi untuk beberapa sistem komunikasi dan penyedia layanan digital.
Meskipun penemuan kelemahan EFAIL pada tahun 2018 menimbulkan kekhawatiran yang signifikan tentang kelangsungan protokol, teknologi inti masih dianggap kuat dan baik secara kriptografis. Perlu dicatat bahwa penerapan PGP yang berbeda mungkin menghadirkan tingkat keamanan yang berbeda-beda.
