PGP significa Privacidade muito boa. É um software de criptografia projetado para fornecer privacidade, segurança e autenticação para sistemas de comunicação online. Phil Zimmerman é o nome do primeiro programa PGP e, segundo ele, foi disponibilizado gratuitamente devido à crescente demanda social por privacidade.

Desde a sua criação em 1991, muitas versões do software PGP foram criadas. Em 1997, Phil Zimmerman fez uma proposta à Internet Engineering Task Force (IETF) para a criação de um padrão PGP de código aberto. A proposta foi aceita e levou à criação do protocolo OpenPGP, que define formatos padrões para chaves e mensagens de criptografia.

Embora inicialmente usado apenas para proteger mensagens de e-mail e anexos, o PGP agora é aplicado a uma ampla variedade de casos de uso, incluindo assinaturas digitais, criptografia completa de disco e proteção de rede.

O PGP era inicialmente propriedade da empresa PGP Inc, que mais tarde foi adquirida pela Network Associates Inc. Em 2010, a Symantec Corp. adquiriu o PGP por US$ 300 milhões, e o termo agora é uma marca registrada usada para seus produtos compatíveis com OpenPGP.


Como funciona?

O PGP está entre os primeiros softwares amplamente disponíveis para implementar criptografia de chave pública. É um criptosistema híbrido que utiliza criptografia simétrica e assimétrica para atingir um alto nível de segurança.

Em um processo básico de criptografia de texto, um texto simples (dados que podem ser claramente compreendidos) é convertido em texto cifrado (dados ilegíveis). Mas antes que o processo de criptografia ocorra, a maioria dos sistemas PGP realiza a compactação de dados. Ao compactar arquivos de texto simples antes de transmiti-los, o PGP economiza espaço em disco e tempo de transmissão - ao mesmo tempo que melhora a segurança.

Após a compactação do arquivo, o processo real de criptografia começa. Nesta fase, o arquivo de texto simples compactado é criptografado com uma chave de uso único, conhecida como chave de sessão. Essa chave é gerada aleatoriamente através do uso de criptografia simétrica, e cada sessão de comunicação PGP possui uma chave de sessão exclusiva.

Em seguida, a própria chave de sessão (1) é criptografada usando criptografia assimétrica: o destinatário pretendido (Bob) fornece sua chave pública (2) ao remetente da mensagem (Alice) para que ela possa criptografar a chave de sessão. Esta etapa permite que Alice compartilhe com segurança a chave de sessão com Bob através da Internet, independentemente das condições de segurança.

What Is PGP?

A criptografia assimétrica da chave de sessão geralmente é feita através do uso do algoritmo RSA. Muitos outros sistemas de criptografia usam RSA, incluindo o protocolo Transport Layer Security (TLS), que protege grande parte da Internet.

Depois que o texto cifrado da mensagem e a chave de sessão criptografada são transmitidos, Bob pode usar sua chave privada (3) para descriptografar a chave de sessão, que é então usada para descriptografar o texto cifrado de volta ao texto simples original.

What Is PGP?

Além do processo básico de criptografia e descriptografia, o PGP também suporta assinaturas digitais – que servem pelo menos três funções:

  • Autenticação: Bob pode verificar se o remetente da mensagem foi Alice.

  • Integridade: Bob pode ter certeza de que a mensagem não foi alterada.

  • Não repúdio: após a mensagem ser assinada digitalmente, Alice não pode alegar que não a enviou.


Casos de uso

Um dos usos mais comuns do PGP é proteger e-mails. Um e-mail protegido com PGP é transformado em uma sequência de caracteres ilegíveis (texto cifrado) e só pode ser decifrada com a chave de descriptografia correspondente. Os mecanismos de funcionamento são praticamente os mesmos para proteger mensagens de texto, e também existem alguns aplicativos de software que permitem que o PGP seja implementado em cima de outros aplicativos, adicionando efetivamente um sistema de criptografia a serviços de mensagens não seguros.

Embora o PGP seja usado principalmente para proteger as comunicações na Internet, ele também pode ser aplicado para criptografar dispositivos individuais. Neste contexto, o PGP pode ser aplicado a partições de disco de um computador ou dispositivo móvel. Ao criptografar o disco rígido, o usuário será solicitado a fornecer uma senha sempre que o sistema for inicializado.


Vantagens e desvantagens

Graças ao uso combinado de criptografia simétrica e assimétrica, o PGP permite aos usuários compartilhar informações e chaves criptográficas com segurança através da Internet. Como sistema híbrido, o PGP se beneficia tanto da segurança da criptografia assimétrica quanto da velocidade da criptografia simétrica. Além de segurança e rapidez, as assinaturas digitais garantem a integridade dos dados e a autenticidade do remetente.

O protocolo OpenPGP permitiu o surgimento de um ambiente competitivo padronizado e as soluções PGP são agora fornecidas por múltiplas empresas e organizações. Ainda assim, todos os programas PGP que cumprem os padrões OpenPGP são compatíveis entre si. Isso significa que arquivos e chaves gerados em um programa podem ser utilizados em outro sem problemas.

Quanto às desvantagens, os sistemas PGP não são tão simples de usar e entender, principalmente para usuários com pouco conhecimento técnico. Além disso, o longo comprimento das chaves públicas é considerado por muitos bastante inconveniente.

Em 2018, uma grande vulnerabilidade chamada EFAIL foi publicada pela Electronic Frontier Foundation (EFF). O EFAIL possibilitou que invasores explorassem conteúdo HTML ativo em e-mails criptografados para obter acesso às versões em texto simples das mensagens.

No entanto, algumas das preocupações descritas pela EFAIL já eram conhecidas pela comunidade PGP desde o final da década de 1990 e, na verdade, as vulnerabilidades estão relacionadas com as diferentes implementações por parte dos clientes de email, e não com o PGP em si. Portanto, apesar das manchetes alarmantes e enganosas, o PGP não está quebrado e continua altamente seguro.


Pensamentos finais

Desde o seu desenvolvimento em 1991, o PGP tem sido uma ferramenta essencial para proteção de dados e hoje é utilizado em uma ampla gama de aplicações, fornecendo privacidade, segurança e autenticação para diversos sistemas de comunicação e provedores de serviços digitais.

Embora a descoberta da falha EFAIL em 2018 tenha levantado preocupações significativas sobre a viabilidade do protocolo, a tecnologia central ainda é considerada robusta e criptograficamente sólida. Vale a pena notar que diferentes implementações de PGP podem apresentar níveis variados de segurança.