PGP… Ce naiba e?

5
(1)

Când Snowden (sub numele de „Cincinnatus”) a contactat pentru prima dată jurnaliști ( a se vedea și articolul din The New York Times Magazine sub titlul „Cum l-a ajuat Laura Poitras pe Snowden să-și răspândească secretele”) pentru a le transmite informațiile secrete pe care le deținea, prima sa solicitare a fost legată de „cheia publică” PGP a acestora:

E-mailul începea așa: „Siguranța comunicațiilor persoanelor este foarte importantă pentru mine” și scopul său declarat era să mă determine să încep să folosesc programul de criptare PGP astfel încât „Cincinnatus” să poată comunica lucruri despre care, spunea el, este sigur că aș fi interesat. Inventat în 1991, PGP (abreviere de la „pretty good privacy”) a evoluat către un instrument sofisticat pentru a proteja e-mailurile și alte forme de comunicare online față de supraveghere și piratare.

Programul învelește fiecare e-mail într-un scut protector, care este un cod compus din sute sau chiar mii de numre și litere, făcând diferența între majuscule și minuscule. Cele mai avansate agenții de informații din lume – o clasă care în mod sigur include și Agenția de Securitate Națională – au programe de spargere a parolelor capabile de un miliard de combinații pe secundă. Dar codurile de criptare ale PGP sunt atât de lungi și aleatorii încât și cele mai sofisticate programe au nevoie de mai mulți ani pentru a le sparge. Cei care se tem cel mai mult că au comunicațiile monitorizate, precum agenții de informații, spionii, activiștii pentru drepturile omului și hackerii, au încredere în această formă de criptare pentru protejarea mesajelor lor.

Am întâlnit referiri la astfel de aplicații și în romanul „Operațiunea Ochiul lui Dumnezeu” al lui Barry Eisler, a cărui recenzie aș vrea s-o public în curând. În aceste condiții, mi-am pus problema aprofundării acestei noțiuni… Este departe de mine gândul de a da sfaturi privind opțiunile noastre pe acest subiect, scopul articolului fiind de a(-mi) clarifica problematica într-o oarecare măsură și, eventual, de a-mi alege spre folosință una din opțiuni…

Un tutorial

Hai să vedem și un Ghid de utilizare a PGP pentru semnarea și criptarea mesajelor e-mail, pe care ni-l oferă Serviciul de Telecomunicații Speciale:

Scop și apariție PGP

Pretty Good Privacy (PGP) este utilizat pentru a asigura confidențialitatea e-mailurilor. A fost dezvoltat la începutul anilor ’90 de Phill Zimmermann. PGP criptează conținutul mesajelor e-mail folosind o combinație de metode diferite. PGP utilizează hashing, compresie de date, criptare simetrică și criptare asimetrică. Pe lângă criptarea prin e-mail, PGP acceptă și utilizarea unei semnături digitale pentru a verifica expeditorul unui e-mail.

Transmiterea de informații sensibile prin internet impune totdeauna atenție. Ce se întâmplă dacă altcineva vede informațiile bancare pe care le-am transmite? Sau alt tip de informații ce țin de ceea ce se numește privacy? Pentru prevenirea acestei probleme, încă din 1991, Phil Zimmermann a creat PGP… Această inovare i-a adus ceva probleme autorului în relația cu guvernul SUA…

Astăzi, PGP este „deținut” de Symantec, dar OpenPGP, un standard de criptare al e-mail-ului, este implementat de mai multe aplicații software.

Cum lucrează PGP?

Principial, PGP este foarte ușor de înțeles. Imaginați-vă că doriți să transmiteți informațiile cardului dvs. de credit unui prieten și le scrieți pe o bucată de hârtie. Apoi puneți hârtia într-o cutie și o trimiteți prin poștă. Un hoț ar putea fura cu ușurință cutia, obținând astfel și hârtia și implicit informațiile cărții de credit. Cum se poate preveni asta?

Decideți să puneți un lacăt pe cutie, dar în acest caz, trebuie trimisă și cheia lui odată cu cu caseta. Nu e prea indicat, nu?

Dar dacă te-ai întâlni cu prietenul tău în persoană pentru a-i da dinainte o cheie? Asta ar putea funcționa, nu? S-ar putea, dar amândoi aveți o cheie care vă permite să deblocați caseta. Tu, în calitate de expeditor, nu vei mai avea nevoie să deschizi din nou caseta după închiderea acesteia. Păstrând o copie a unei chei care poate debloca caseta, practic introduci în ecuație o vulnerabilitate.

Iată că în sfârșit, ai găsit soluția potrivită: veți avea două chei. Prima cheie va putea bloca cutia. A doua va putea fi folosită doar pentru a deschide caseta. În acest fel, doar persoana care trebuie să obțină conținutul cutiei are cheia ce-i permite deschiderea.

Modul de funcționare a PGP

Un exemplu

Există multe instrumente software care implementează standardul OpenPGP. Fiecare dintre ele are moduri diferite de a configura criptarea PGP. Un instrument particular ce funcționează foarte bine este Apple Mail.

Dacă folosiți un computer Mac, puteți descărca GPGTools, o aplicație ce vă va genera și gestiona cheile publice și private. De asemenea, se integrează automat cu Apple Mail.

Odată generate cheile, veți vedea o pictogramă de blocare în linia de subiect, atunci când scrieți un mesaj nou în Apple Mail. Aceasta înseamnă că mesajul va fi criptat cu cheia publică pe care ați generat-o.

Scrierea unui e-mail criptat folosind Apple Mail

După trimiterea e-mailului, acesta va arăta similar imaginii următoare. Nimeni nu va putea vedea conținutul e-mailului, până când nu îl decriptează folosind cheia privată.

Primirea unui email criptat cu PGP

Dacă utilizați un software care decriptează automat mesajul cu cheia privată, cum ar fi Apple Mail, acesta va arăta așa:

E-mail decriptat PGP

Sinteză

  • Pretty Good Privacy (PGP) permite transmiterea de fișiere și mesaje în siguranță pe Internet
  • PGP generează o cheie publică (pentru criptarea mesajelor) și o cheie privată (pentru decriptarea mesajelor)
  • OpenPGP este un standard de criptare prin e-mail
  • GPG este o implementare open-source a OpenPGP
  • o scurtă listă de software cu capabilități PGP se poate găsi aici

Și totuși…

Din cele expuse până acum, ar părea că folosirea PGP ne oferă un suficient grad de securitate pentru transmiterea de informații sensibile pe internet. Și totuși, iată că în spațiul public apar întrebări de tipul: NSA poate sparge criptarea PGP și/sau Zfone?

În ajutorul agențiilor de supraveghere au sărit și „proprietarii” unor programe comerciale de criptare PGP, așa cum au făcut unii sau alții prin plantarea unui cod de tip backdoor, slăbind sau chiar compromițând securitatea declarată de astfel de aplicații. Lucrurile pot fi chiar mai grave, dacă luăm în considerare asta:

Multă lume crede că o criptare PGP nu poate fi spartă și că NSA/FBI/CIA/MJ12 nu le poate citi e-mail-urile. Acest lucru este greșit și poate fi o greșeală mortală. În Idaho, un activist de stânga cu numele de Craig Steingold a fost arestat cu o zi înainte ca el și alții să pună un protest la clădirile guvernamentale; poliția avea o copie a unui mesaj trimis de Steingold către un alt activist, un mesaj care fusese criptat cu PGP și trimis prin e-mail.

Începând cu versiunea 2.1, PGP („Pretty Good Privacy”) a fost echipat pentru a permite NSA să spargă cu ușurință mesajele codificate. La începutul anului 1992, autorul, Paul Zimmermann, a fost arestat de agenții guvernamentali. I s-a spus că va fi acuzat pentru trafic de stupefiante dacă nu se conformează. Cerințele agenției guvernamentale erau simple: trebuia să pună o trapă practic nedetectabilă, proiectată de NSA, în toate versiunile viitoare ale PGP și să nu spună nimănui.

După ce ați citit acest lucru, este posibil să vă gândiți la utilizarea unei versiuni anterioare de PGP. Cu toate acestea, orice versiune găsită pe un site FTP sau un forum de anunțuri a fost măsluită. Folosiți numai copii obținute înainte de 1992 și NU utilizați un compilator recent pentru a le compila. Practic TOATE compilatoarele populare au fost modificate pentru a introduce capcana (constând din câteva modificări banale) în orice versiune de PGP înainte de 2.1. Membrii comisiilor din Novell, Microsoft, Borland, AT&T și alte companii au fost convinși să dea ordinul modificării (fiecare dintre aceste comisii ale companiilor conține cel puțin un membru al Comisiei Trilaterale sau un companion al Clubului Bilderberg).

Agenției i-a luat mai mult pentru a modifica GNU C, dar în cele din urmă a făcut-o. Fundația pentru Software Liber a fost amenințată cu „o anchetă IRS”, cu alte cuvinte, a fost obligată să iasă din afacere, cu excepția cazului în care s-ar conforma. Rezultatul este că toate versiunile GCC de pe site-urile FTP și toate versiunile mai mari de 2.2.3, conțin cod pentru a modifica PGP și pentru a introduce trapa. Recompilarea GCC însuși nu va ajuta; codul este inserat de compilator în sine însuși. Recompilarea cu un alt compilator poate ajuta, atât timp cât compilatorul este mai vechi decât din 1992.

Distribuie și reproduce aceste informații în mod liber. Nu-l modifica.

În acest context, eu am rămas nedumerit. Mai merită să folosesc PGP, sau e doar o amăgire? Problema merită aprofundată, iar dezbaterea e necesară. Vă băgați?

Cum apreciați acest articol?

Eu îl consider de 5 ⭐️ (altfel nu-l scriam). Tu?

Total voturi: 1 :: Media evaluării: 5

Dacă ați găsit acest articol util...

Urmăriți-mă pe social media!

Regret dacă acest articol nu v-a fost util!

Permiteți-mi să-l îmbunătățesc!




Lasă un răspuns

Denumire
Email
Pagină web

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.