Confidențialitate destul de bună

Confidențialitate destul de bună software
Tip	Criptare
Dezvoltator	Phil Zimmermann
Data primei versiuni	1991
Ultima versiune	1.0 2.0 2.3 2.5 (mai 1994) 2.6.2i (24 octombrie 1994) 2.7.1 2.6.3i (18 ianuarie 1996) 2.3a 2.4 5.0 (1999) 8.0.3 (2003) 6.5.8 (2000) 7.0.3 6.5 (5 aprilie 1999) 8.1 5.5 2.6 (26 mai 1994)
Sistem de operare	Multiplatform
Limba	C.
Site-ul web	openpgp.org
Editați datele pe Wikidata · Manual

Pretty Good Privacy ( PGP ) este o familie de software de criptare pentru autentificare și confidențialitate , din care derivă standardul OpenPGP . ^[1]

Este, fără îndoială, cel mai adoptat criptosistem din lume, descris de criptograful Bruce Schneier ca fiind „probabil cel mai apropiat de criptografia de nivel militar”. ^[2] ^[3]

PGP a fost dezvoltat inițial de Phil Zimmermann în 1991 . ^[4] ^[5] Numele i-a fost sugerat de un magazin alimentar din lacul Wobegon , orașul natal fictiv al gazdei de radio Garrison Keillor . Magazinul alimentar se numea „Ralph's Pretty Good Grocery” și sloganul său era „dacă nu îl găsești la Ralph's, probabil că te poți lipsi de el”, închis la câțiva ani de la deschidere.

OpenPGP ca standard de internet

Phil Zimmermann a distribuit inițial PGP ca software proprietar , dar datorită diseminării sale rapide în 1998, specificațiile sale au fost colectate de Internet Engineering Task Force (IETF) prin următoarele standarde RFC : RFC2440 în 1998 , RFC3156 în 2001 și RFC4880 în 2007 . Astfel s-a născut standardul OpenPGP . ^[1]

O implementare conformă cu standardul OpenPGP este, de exemplu, GNU Privacy Guard . ^[6]

Securitate PGP

Pentru teoria complexității de calcul, utilizarea adecvată a PGP face practic imposibil ca un intermediar între expeditor și destinatar să ajungă la mesajul original, de exemplu prin metoda forței brute . Acest tip de atac ar necesita un computer mare pentru o perioadă similară cu o mie de ori mai mare decât a universului cunoscut, fiind înțeles că atât mesajul original, cât și cheia privată ar trebui salvate pe un dispozitiv necompromis dacă robustețea a întregului sistem evident nu se prăbușește. ^[7]

Niciun criptosistem, inclusiv PGP, nu poate proteja informațiile obținute prin încălcarea fizică a dispozitivului pe care este stocată cheia privată a persoanei vizate și descoperirea expresiei sale de acces sau în alte moduri, cum ar fi prin phishing , inginerie socială sau așa-numita metodă de conducte. cauciuc . Prin urmare, este necesar ca utilizatorii criptosistemelor să nu devină ei înșiși modalitatea de a-și încălca datele.

De exemplu, într-o investigație din 2005 , FBI a obținut un mandat pentru instalarea keylogger-urilor sau a altor spyware pe computerul unui traficant de droguri. Ancheta sa încheiat cu 30 de ani de închisoare pentru suspect, întrucât prin compromiterea directă a computerului său a fost ușor să urmărească oricare dintre documentele sale. ^[8]

PGP și e-mail

Cu PGP este posibil să criptați orice tip de date sau fișiere și este obișnuit să le vedeți folosite pentru schimbul de e-mailuri , deoarece e-mailurile nu au un sistem de criptare nativ. PGP și S / MIME sunt de fapt două standarde RFC pentru schimbul de poștă electronică. ^[9] ^[1]

Un exemplu de software gratuit pentru schimbul de e-mail prin PGP este Enigmail pentru Mozilla Thunderbird .

Cum funcționează PGP

Utilizarea PGP pentru a proteja confidențialitatea mesajelor: criptare în stânga și decriptare în dreapta

PGP folosește atât criptografie asimetrică (denumită și cheie publică), cât și criptografie simetrică și, într-o oarecare măsură, o infrastructură cu cheie publică (PKI) care are o anumită asemănare cu standardul certificatului de identitate X.509 . PGP utilizează criptografie cu chei asimetrice , în care destinatarul mesajului a generat anterior o pereche de chei legate între ele; o cheie publică și una privată . Cheia publică a destinatarului este utilizată de expeditor pentru a cripta o cheie de sesiune pentru un algoritm de criptare simetric ; această cheie este apoi utilizată pentru a cripta textul complet al mesajului. Multe chei publice ale utilizatorilor PGP sunt disponibile tuturor de la numeroasele servere de chei PGP din întreaga lume, care acționează ca oglinzi reciproce.

Destinatarul unui mesaj protejat PGP decriptează mai întâi cheia de sesiune inclusă în mesaj folosind cheia lor privată. Apoi decriptează textul folosind tasta de sesiune cu algoritmul simetric. Utilizarea a două cifre este justificată de diferența considerabilă de viteză de execuție între o cheie asimetrică și o cifră de cheie simetrică (aceasta din urmă este în general mult mai rapidă). Există, de asemenea, vulnerabilități criptografice în algoritmul de cheie asimetrică utilizat de PGP atunci când este utilizat pentru a cripta direct un mesaj.

O strategie similară poate fi utilizată pentru a afla dacă un mesaj a fost modificat sau dacă a fost de fapt trimis de oricine pretinde că este expeditorul. Pentru a face ambele, expeditorul folosește PGP pentru a „semna” mesajul cu algoritmul de semnătură RSA sau algoritmul de semnătură digitală (DSA). Pentru a face acest lucru, PGP calculează un „hash” (numit și un rezumat al mesajului ) din textul simplu și apoi creează semnătura digitală din acest hash folosind cheia privată a expeditorului.

Destinatarul mesajului calculează rezumatul mesajului din textul clar decriptat și apoi folosește cheia publică a expeditorului și valoarea rezumatului mesajului semnat cu algoritmul de semnătură. Dacă semnătura se potrivește cu rezumatul mesajului text primit, se presupune (cu o marjă mare de siguranță) că mesajul primit nu a fost modificat accidental sau intenționat de când a fost semnat. Această prezumție se bazează pe mai multe considerații: este puțin probabil, având în vedere algoritmii și protocoalele utilizate în PGP, ca un adversar să poată crea o semnătură pentru orice mesaj și, prin urmare, un mesaj primit care trece acest test trebuie să fi fost trimis de cineva care susține că este expeditorul. Experții în securitate se referă adesea la această proprietate drept non-respingere - nu puteți respinge autoria mesajului.

În orice caz, oricine deține partea privată a cheilor poate crea cu ușurință o semnătură corectă pentru toate. Într-o lume a virușilor de e-mail , rootkit-urilor , troienilor și a altor programe malware și a agenților FBI ordonați de instanță, termenul „non-respingere” trebuie utilizat cu un fir de sare, deoarece cheile private pot fi compromise (și copiate) ilegal. . Dar aceasta este o afirmație validă pentru „toate” sistemele care utilizează algoritmi cheie asimetrici pentru semnătura digitală și, prin urmare, încorporează conceptul de non-repudiere. PGP nu este deosebit de vulnerabil, dar Zimmerman a fost înțelept și nu doar amuzant în a numi sistemul său „destul de bun”.

Atât la criptarea unui mesaj, cât și la verificarea semnăturii, este esențial ca cheia publică utilizată pentru a trimite mesajul unei persoane sau unei organizații să aparțină de fapt destinatarului. Descărcarea unei chei publice undeva nu este în niciun caz o garanție a acestei corespondențe; este posibilă falsificarea intenționată sau accidentală. PGP include măsuri de precauție pentru distribuirea cheilor publice în „certificate de identitate” care sunt construite criptografic, în așa fel încât orice manipulare sau perturbare accidentală să fie ușor de detectat. Efectuarea unui certificat imposibil de modificat fără a lăsa urme nu este suficientă. Acest lucru poate preveni falsificarea numai după crearea certificatului, nu înainte. Utilizatorii trebuie, de asemenea, să verifice într-un fel că cheia publică dintr-un certificat aparține de fapt persoanei sau entității care solicită autoritatea. Acesta este motivul pentru care PGP include un sistem de „votare” pentru certificate; se numește rețeaua de încredere (literalmente, „rețeaua de încredere”). PGP a inclus întotdeauna o modalitate de a șterge certificatele de identitate care ar fi putut deveni inutilizabile; acesta este, mai mult sau mai puțin, echivalentul listelor de revocare a certificatelor sistemelor PKI mai centralizate. Versiunile mai noi ale PGP acceptă, de asemenea, o dată de expirare pentru certificate.

Această prudență prudentă în acceptarea cheilor publice ale altor utilizatori nu este o prerogativă PGP. Toate sistemele de criptografie cu cheie publice și private au aceeași problemă, deși aspectul este ușor diferit și încă nu există o soluție pe deplin satisfăcătoare. Sistemul PGP, cel puțin, permite utilizatorului să decidă dacă folosește sau nu sistemul de vot, în timp ce multe alte sisteme PKI necesită ca fiecare certificat să fie confirmat de o CA centrală (Autoritatea de certificare).

Începuturile

PGP a fost afectat de restricțiile guvernului SUA la exportul criptografiei de la bun început. Acest dezavantaj demonstrează unele dintre problemele politice din jurul criptografiei moderne de calitate și constituie un contingent și dificil de urmărit. Ceea ce amenință perioade destul de lungi de închisoare și amenzi puternice.

Zimmermann a produs prima versiune a PGP în 1991. El a fost mult timp activist anti-nuclear și a creat PGP astfel încât tovarășii săi să poată utiliza sistemele BBS și să stocheze mesajele și fișierele în siguranță. Nu era necesară nicio licență dacă utilizarea nu era comercială, nu existau cheltuieli simbolice și se furniza cod sursă . PGP răspândit pe Usenet și de acolo la World Wide Web .

Restricții la export, investigații judiciare și consecințe politice

În scurt timp, PGP a început să se răspândească dincolo de granițele Statelor Unite , iar în februarie 1993 Zimmermann a fost pus sub acuzare de guvernul Statelor Unite pentru acuzația de „export de arme fără o licență specială”.

Mulți au găsit această acuzație dificil de înțeles și s-a observat satiric că un program software poate deveni cu ușurință o armă cu adăugarea unui detonator și un pic exploziv.

Cu toate acestea, conform Regulamentului de export al SUA, sistemele criptografice care foloseau o cheie mai mare de 40 de biți erau considerate muniții și, având în vedere că PGP a adoptat întotdeauna chei mai mari de 128 de biți, la momentul în care se potrivea perfect în serie. Mai mult, pedepsele, pentru cei găsiți vinovați, au fost și rămân relevante. Reglementările SUA de export sunt încă în vigoare, dar în a doua jumătate a anilor 1990 au suferit modificări majore: jurisdicția a fost atribuită Departamentului de Comerț în loc să fie dependentă de Departamentul de Stat ; sistemele criptografice au fost reclasificate ca dublă utilizare, în loc să fie considerate muniție ; procesul de aprobare a fost simplificat în 2000; în cele din urmă, lungimea cheii acceptate în mod normal a fost adusă (în mai multe pasaje confuze) dincolo de pragul de 40 de biți.

Mai mult, respectarea reglementărilor a devenit mai ușoară din 2000. De exemplu, la începutul anilor 1990, aprobarea unei cereri de export trebuia să primească aprobare explicită. Pe de altă parte, începând cu anul 2000, principiul consimțământului tacit a fost în vigoare, deci dacă aprobarea nu este refuzată în termen de 30 de zile, atunci este legitim să se considere cererea aprobată. De asemenea, au fost facilitate procedurile de aprobare a codului sursă, spre deosebire de programarea orientată pe obiecte, precum și alte facilități pentru dezvoltatorii open source sau pentru întreprinderile mici. Înainte de a începe un proiect criptografic major care ar putea fi afectat de astfel de reglementări, ar fi totuși înțelept să consultați un avocat care este bine versat în aspectele legale ale criptografiei.

Ca urmare a modificărilor de reglementare introduse, PGP nu mai poate fi definită în prezent ca „armă neexportabilă” și poate fi utilizată (și exportată) oriunde (cu condiția ca legislația locală să o permită). Mai mult, rechizitoriul împotriva lui Zimmerman a fost respins fără nicio conduită penală în capul aceluiași subiect sau al altor subiecți.

Întrucât reglementările de export din SUA nu sunt oricum aplicabile universal, PGP după lansare a dobândit un număr considerabil de persoane în întreaga lume. Printre utilizatori și admiratori au existat ambii disidenți în țările totalitare (unele dintre scrisorile plăcute ale acestuia către Zimmerman au fost publicate și utilizate în depunerile ținute în fața Congresului SUA), liberali în diferite părți ale lumii (vezi publicațiile despre depunerile lui Zimmerman în timpul diferitelor audieri), precum și activiști ai „comunicării libere; aceștia din urmă au devenit promotori atât ai publicității, cât și ai difuzării PGP (pentru detalii consultați câteva dintre postere).

Probleme cu brevetele

Versiunile anterioare ale PGP au avut, de asemenea, probleme cu brevetele deja înregistrate. Prima versiune a folosit un cifru proiectat de însuși Zimmermann și numit Bass-O-Matic dintr-o schiță Saturday Night Live în care se foloseau râșnițe de pește și mâncare în bucătărie. Cu toate acestea, s-a realizat curând că acest cifru nu era sigur, așa că a fost înlocuit cu cifrul IDEA . Ambii algoritmi, atât pentru cheia simetrică IDEA, cât și pentru cheia asimetrică RSA, sunt brevetați și este necesară autorizarea utilizării acestora. La acea vreme, a existat o dezbatere aprinsă dacă Zimmermann a fost autorizat să utilizeze RSA în PGP. În această privință, Zimmermann a declarat că RSA Data Security (care funcționa acum ca RSA Security ), într-una din primele întâlniri, i-a acordat autorizația, atâta timp cât era în scopuri necomerciale, în timp ce RSA a negat totul. Ca urmare, a fost o plângere din partea RSADSI către Vama SUA care a creat așa-numitul caz Zimmermann privind utilizarea algoritmului RSA în PGP.

Pentru a complica și mai mult imaginea, algoritmul RSA a fost brevetat numai în SUA (acest lucru datorită dificultății de a răspunde diferitelor formulare de cerere de brevet din lume), având ca rezultat posibilitatea de a fi utilizat în mod liber (ținând întotdeauna cont de brevet probleme văzute anterior.) în toate celelalte țări. Cu toate acestea, inventatorii / proprietarii IDEA au fost mult mai liberali în SUA decât în Uniunea Europeană . Și dacă nu a existat deja suficientă confuzie, brevetul algoritmului RSA a fost parțial controlat de MIT prin intermediul proprietarului brevetului, RSADSI : inventatorii RSA lucrau toți la MIT în momentul creării sale.

Cu toate acestea, disputa Zimmermann / RSADSI a decurs, MIT a avut puține probleme cu IDEA; în schimb, s-a trezit într-o dificultate considerabilă din cauza poziției ostile a RSADSI, opusă utilizării necomerciale a RSA în PGP. Rezultatul conflictului de licențiere RSA a fost o forță a PGP în:

o versiune americană (conformă cu RSA) care utilizează o bibliotecă criptografică shareware a RSA
o versiune internațională care folosește codul RSA original creat de Zimmermann și colaboratorii săi.

Versiunea americană a fost distribuită direct de MIT însuși, împreună cu alții, prin intermediul internetului, al buletinelor publicitare și al utilizatorilor și grupurilor de sisteme de comunicații private precum AOL și CompuServe . În cele din urmă, pe site-ul web al MIT, a existat cerința ca adresa de e-mail către care să fie trimis PGP să fie în SUA sau Canada și ca destinatarul să fie rezident al oricărui stat.

În Norvegia , Ståle Schumacher Ytterborg a dezvoltat și a menținut versiunea internațională a PGP, care a fost numită PGP-i (unde i înseamnă internațional ). La momentul respectiv, era de dorit ca versiunea internațională să fie dezvoltată și menținută în afara SUA pentru a evita dificultăți suplimentare cu reglementările SUA de export și cu brevetul RSA.

Dezvoltări ulterioare

De-a lungul acestei tulburări, echipa lui Zimmermann lucra la o nouă versiune a PGP numită PGP 3. Această nouă versiune urma să aibă îmbunătățiri considerabile de securitate, inclusiv o nouă structură de certificat care nu avea problemele minore de securitate ale certificatului utilizate de PGP 2. .x ca permițând unui certificat să aibă chei separate pentru semnare și criptare. Mai mult, experiențele negative din trecut cu brevete și problemele de export i-au determinat să evite complet brevetele. PGP 3 a introdus utilizarea algoritmului simetric CAST-128 (numit și CAST5 ) și a algoritmilor asimetrici DSA și ElGamal , niciunul dintre care nu este brevetat.

PGP devine comercial

După încheierea anchetei în 1996, Zimmermann și grupul său au fondat o companie pentru a produce noi versiuni de PGP. Au fuzionat cu Viacrypt (căruia Zimmermann îi vânduse drepturile comerciale către PGP și care cumpărase licența RSA direct de la RSADSI), care și-a schimbat numele în PGP Incorporated. Noua echipă Viacrypt / PGP a început să lucreze la noi versiuni de PGP bazate pe PGP 3. Spre deosebire de PGP 2, care avea doar o interfață de linie de comandă , PGP 3 a fost conceput de la început pentru a fi o bibliotecă software , permițând utilizatorilor să lucreze atât pe linie de comandă și datorită unei interfețe grafice . Acordul inițial dintre Viacrypt și grupul lui Zimmermann preciza că Viacrypt va distribui versiuni cu număr par, în timp ce Zimmermann ar distribui versiuni cu număr impar. Prin urmare, Viacrypt a creat o nouă versiune (bazată pe PGP 2) pe care a numit-o PGP 4. Pentru a elimina îndoiala că PGP 4 a fost succesorul PGP 3 (PGP 4 derivat din PGP 2), PGP 3 a fost redenumit și distribuit ca PGP 5 în mai 1997 .

În cadrul PGP Inc., existau încă îndoieli cu privire la brevete. RSADSI a criticat vânzarea licenței RSA a Viacrypt către noua companie creată prin fuziunea celor două grupuri. PGP Inc. a adoptat un standard intern informal numit Unencumbered PGP (literal, PGP fără obstacole ): „nu utilizați niciun algoritm cu probleme de licențiere”.

OpenPGP și implementări

Având în vedere importanța mondială a PGP, mulți au simțit nevoia să își scrie propria implementare interoperabilă cu PGP5. Echipa PGP Unencumbered din cadrul PGP Inc. i-a convins pe Phil Zimmermann și pe restul directorilor PGP Inc. că un standard deschis pentru PGP a fost esențial pentru ei și pentru întreaga comunitate criptografică. Încă din 1997 , exista software compatibil PGP, inclusiv software de la compania belgiană Veridis (numită la acea vreme Highware) care cumpărase o licență de utilizare a codului PGP 2 direct de la Zimmermann.

În iunie 1997, PGP Inc. a propus IETF crearea unui standard numit OpenPGP . Au dat permisiunea ca IETF să folosească numele OpenPGP pentru a descrie acest nou standard și orice programe care îl susțin (PGP, Pretty Good Privacy și Pretty Good sunt toate mărci comerciale înregistrate ale PGP Corporation, începând cu 2002). IETF a acceptat propunerea și a creat grupul de lucru OpenPGP.

GNU Privacy Guard este un software gratuit conform acestor standarde, sponsorizat de Free Software Foundation și parte a proiectului GNU .^[10] Dezvoltarea sa a fost susținută de fonduri de la guvernul german și rămâne sponsorizată de Free Software Foundation .

Achiziția de către Network Associates

În decembrie 1997, PGP Inc. a fost achiziționată de Network Associates, Inc., din care Zimmermann și grupul PGP au devenit angajați. NAI a continuat să experimenteze exportul prin publicarea de software, devenind prima companie care a avut o strategie legală de export, datorită publicării codului sursă . Sub această protecție, echipa PGP a adăugat noi caracteristici programului original, cum ar fi criptarea discului, firewall-ul desktopului , detectarea intruziunilor și VPN-urile IPsec . După legalizarea exportului din 2000, nu mai era necesară publicarea codului sursă, iar NAI a încetat să facă acest lucru, în ciuda obiecțiilor grupului PGP. Utilizatorii PGP din întreaga lume au fost de-a dreptul dezamăgiți și, inevitabil, s-au născut unele teorii ale conspirației împotriva NAI.

La începutul anului 2001, Zimmermann a părăsit NAI. A lucrat ca criptograf șef pentru Hush Communications , care oferă un program de e-mail bazat pe OpenPGP, Hushmail . De asemenea, a lucrat cu Veridis și alte companii.

În octombrie 2001, NAI a anunțat că drepturile sale PGP erau de vânzare și că va suspenda dezvoltarea PGP. În februarie 2002, NAI a anulat toate proiectele care implică PGP.

Corporația PGP

În vara anului 2002, unii foști membri ai grupului PGP au cumpărat drepturile asupra PGP de la NAI (cu excepția versiunii de linie de comandă) și, în august al aceluiași an, au format o nouă companie, PGP Corporation. Aceasta a preluat noile contracte de asistență pentru utilizatori ale PGP și le-a onorat pe cele încheiate înainte de înființare, iar Zimmermann a lucrat acolo ca consultant special.

NAI a păstrat drepturile la versiunea de linie de comandă a PGP după ce marca companiei s-a schimbat în McAfee , care la rândul său a devenit securitatea Intel după achiziția de către Intel, de fapt, în august 2010 ^[11] , a continuat să o vândă ca „McAfee E -Server de afaceri ". Până în ianuarie 2004, datorită acordurilor sale anterioare cu NAI PGP Corp. nu i sa permis comercializarea produselor în concurență directă.

În cooperare cu Zimmermann, Verdis a dezvoltat și distribuit o versiune compatibilă cu linia de comandă a OpenPGP, Filecrypt. Codurile sursă ale Filecrypt și GnuPG sunt disponibile, la fel ca și versiunile anterioare pentru diferite platforme.

De la achiziționarea drepturilor NAI în 2002, PGP Corp a oferit asistență tehnică în întreaga lume. În 2002 a lansat PGP 7.2 pentru Mac OS 9, urmat rapid de PGP 8.0 și PGP 8.0 Personal pentru Mac și Windows și un freeware și o versiune open source . În 2003, el a lansat PGP 8.0.1DE pentru utilizatorii germani, PGP Universal (bazat pe un nou concept de PGP pentru servere, care implementează o arhitectură de securitate de auto-gestionare). În 2004, a lansat PGP Desktop 8.1 pentru Mac și Windows, PGP Linia de comandă 8.5 pentru Windows, Solaris și Linux (acordul de linie de comandă dintre PGP Corp. și NAI a expirat în ianuarie 2004) și PGP Universal 1.2. În 2005, au lansat PGP Desktop 9.0, PGP Universal 2.0 și PGP Command Line 9.0.

La 29 aprilie 2010, Symantec Corporation a semnat cumpărarea PGP Corporation ^[12] , fuziunea celor două companii având efect în iunie același an.

Compatibilitate între versiunile PGP

Dificultățile simultane cu utilizarea produselor brevetate și legile de export au cauzat unele probleme de compatibilitate, dar din fericire situația s-a îmbunătățit substanțial după adoptarea standardului OpenPGP și formarea PGP Corp în 2002 .

Standardul OpenPGP specifică mecanismele prin care cele două copii ale PGP prezente la cele două capete ale unei comunicații pot negocia algoritmul de criptare care trebuie utilizat în mesaje precum și alți parametri adăugați treptat după versiunea PGP 2.x. Toate implementările trebuie să respecte această parte a specificației pentru a fi conforme cu OpenPGP, deci nu există probleme substanțiale de interoperabilitate între diferite implementări, inclusiv cele de la PGP Corp, Gnu / FSF (aka GPG), Hushmail, Veridis, Articsoft, Forum și altele . Dezvoltatorii acestor programe lucrează împreună destul de strâns și rezolvă problemele de interoperabilitate, care sunt considerate bug-uri .

Probleme de compatibilitate cu PGP 2.x

Situația este diferită atunci când versiunile recente ale PGP funcționează cu versiunile 2.x ale aceluiași. PGP 2 a folosit algoritmi proprietari care au fost licențiați în termeni diferiți (și confuzi). Brevetul pentru unul dintre acești algoritmi, RSA, a expirat în toamna anului 2000, dar brevetul privind IDEA este încă valabil. În timp ce unele versiuni ale PGP sunt compatibile cu PGP 2.x (de exemplu, cea a PGP Corp. și Hushmail), altele nu. Cel mai cunoscut, GnuPG, implicit nu acceptă algoritmul IDEA utilizat în toate versiunile 2.x ale PGP. Această asistență poate fi adăugată ca un plugin , dar utilizatorii trebuie să o compileze singuri și - bineînțeles - să rezolve orice probleme de licențiere pe care le pot întâmpina cu utilizarea acestuia. Utilizarea comercială a IDEA necesită o licență, în timp ce utilizarea necomercială nu.

În prezent, cel mai bun mod de a rezolva problemele de interoperabilitate cu PGP 2.x este pur și simplu să le evitați utilizând un sistem compatibil OpenPGP. În deceniul în care a fost dezvoltat și distribuit în PGP 2.x, au fost descoperite multe probleme minore de securitate. Toate cele rezolvabile au fost corecționate în versiunile curente și actualizate ale PGP 2.x, dar se știe că unele protocoale de bază sunt vulnerabile la anumite tipuri de atacuri și nu au fost modificate. Niciuna dintre vulnerabilitățile cunoscute nu a făcut nici standardul OpenPGP, nici una dintre implementările sale. În timp ce niciuna dintre aceste probleme cu versiunile „patch-uri” ale PGP 2.x nu este considerată grav nesigură, echipa IETF OpenPGP este pe cale să renunțe la compatibilitatea cu PGP 2.x. Dacă nu aveți nevoie de compatibilitate PGP 2.x, aceasta nu va fi o mare problemă. În ciuda acestui fapt, Ståle Schumacher Ytteborg își păstrează în continuare site-ul web pgpi.org ca depozit pentru PGP, inclusiv actualizări ale versiunilor mai vechi precum 2.x. Ultima actualizare datează din 03.12.2002.

Din punct de vedere istoric, a existat o incompatibilitate suplimentară și deliberată între versiunile 2.x în sine, din cauza disputei privind licența RSA. Pentru a rezolva disputa, PGP 2.6 a fost făcut incompatibil cu versiunile 2.x anterioare, prin creșterea numărului de versiuni ale unor structuri de date interne și utilizând implementarea RSAREF a algoritmului. Codul PGP original pentru algoritmul RSA ar putea fi utilizat în afara SUA, în variantele „i”, cum ar fi PGP 2.6.3i. A existat mai mult de un motiv tehnic bun, nu doar legal, pentru a face acest lucru: implementarea algoritmului grupului PGP a fost mai rapidă decât de două ori cea a RSAREF.

Între timp, în SUA echipa PGP a creat PGP 3 (publicat de fapt ca PGP 5, vezi mai sus ) și a fost adoptat standardul IETF OpenPGP. Continuarea problemelor de licențiere cu algoritmul RSA i-a forțat, împreună cu grupul GnuPG, să o excludă. Dar când brevetul a expirat în 2000, suportul pentru RSA a fost readus la PGP și la standardul OpenPGP și, prin urmare, nu a fost nevoie să se creeze o versiune „SUA” și „internațională” a fiecărei versiuni de PGP.

Pe scurt, acum este mai bine să folosiți o versiune recentă a unui sistem OpenPGP. Cooperarea dintre dezvoltatorii OpenPGP a eliminat în esență problemele de incompatibilitate între diferite implementări.

Notă

^ ^a ^b ^c ( EN ) OpenPGP Message Format ( TXT ), su ietf.org , novembre 2007. URL consultato il 20 febbraio 2016 .
«PGP - Pretty Good Privacy. PGP is a family of software systems developed by Philip R. Zimmermann from which OpenPGP is based.» .
^ Bruce Schneier, Applied Cryptography , 2ª ed., p. 587, ISBN 0-471-11709-9 .
^ Riccardo Focardi, Datagate, solo la tecnologia può proteggerci dagli spioni , su huffingtonpost.it , 7 novembre 2013.
«per salvaguardare la nostra privacy è sufficiente usare programmi che cifrano i nostri dati sensibili con cifrari moderni, come ad esempio il sistema PGP (Pretty Good Privacy)» .
^ ( EN ) Welcome to The OpenPGP Alliance , su OpenPGP Alliance . URL consultato il 20 febbraio 2016 .
«The OpenPGP standard was originally derived from PGP (Pretty Good Privacy), first created by Phil Zimmermann in 1991.» .
^ Philip Zimmermann , su philzimmermann.com . URL consultato il 20 febbraio 2016 .
«Creator of PGP and Co-founder of Silent Circle» .
^ ( EN ) The GNU Privacy Guard , su GnuPG . URL consultato il 22 febbraio 2016 .
«GnuPG is a complete and free implementation of the OpenPGP standard as defined by RFC4880 (also known as PGP).» .
^ ( EN ) Chapter 3. Security Questions , su pgp.net . URL consultato il 20 febbraio 2016 .
«That is something like a thousand times the age of the known universe!» .
^ ( EN ) OFFICE OF THE UNITED STATES ATTORNEY SOUTHERN DISTRICT OF CALIFORNIA ( PDF ), su usdoj.gov , 26 maggio 2005. URL consultato il 20 febbraio 2016 (archiviato dall' url originale il 14 ottobre 2006) .
^ ( EN ) Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 ( TXT ), su ietf.org . URL consultato il 20 febbraio 2016 .
^ ( EN ) Downloads , su OpenPGP Alliance . URL consultato il 20 febbraio 2016 (archiviato dall' url originale il 30 gennaio 2016) .
«OpenPGP-compliant product» .
^ ( EN ) Intel to Acquire McAfee , su newsroom.intel.com , Intel Corporation , 19 agosto 2010. URL consultato il 19 agosto 2010 .
^ ( EN ) Symantec to Offer Broadest Data Protection Capabilities with Acquisition of PGP Corporation and GuardianEdge , su www.symantec.com . URL consultato il 24 febbraio 2015 (archiviato dall' url originale il 24 febbraio 2015) .

Voci correlate

Collegamenti esterni

PGP Corporation , su pgp.com . URL consultato il 1º maggio 2019 (archiviato dall' url originale il 30 dicembre 2004) .
Una versione PGP compatibile con OpenPGP , su veridis.com . URL consultato il 12 dicembre 2004 (archiviato dall' url originale il 17 dicembre 2004) .
The GNU Privacy Guard Un'implementazione della Free Software Foundation dello standard OpenPGP
Gruppo standard per la versione "IETF - RFC 2440" di PGP , su openpgp.org .
PGPI.org Informazioni sulle versioni open source attualmente disponibili di PGP, incluse le versioni 2.x, e informazioni generali su GPG e PGP.
Home Page del creatore di PGP, con numerose informazioni sul programma , su philzimmermann.com .
Practical Attacks on PGP , informazioni sulla sicurezza di PGP , su privacy.com.au . URL consultato il 12 dicembre 2004 (archiviato dall' url originale il 7 dicembre 2004) .
PGP Corporation's Support Forum Archiviato l'8 febbraio 2005 in Internet Archive . community di supporto e contributi dallo staff di supporto di PGP
Guida pratica a PGP Documenti ed istruzioni per l'uso di PGP
PGP, come funziona? , su dia.unisa.it . URL consultato il 13 marzo 2009 (archiviato dall' url originale il 17 luglio 2009) .

Controllo di autorità	VIAF ( EN ) 180726619 · LCCN ( EN ) n94101989 · GND ( DE ) 4370042-1

Portale Crittografia

Portale Sicurezza informatica

[rfc4880-1] ( EN ) OpenPGP Message Format ( TXT ), su ietf.org , novembre 2007. URL consultato il 20 febbraio 2016 .
«PGP - Pretty Good Privacy. PGP is a family of software systems developed by Philip R. Zimmermann from which OpenPGP is based.» .

[2] Bruce Schneier, Applied Cryptography , 2ª ed., p. 587, ISBN 0-471-11709-9 .

[3] Riccardo Focardi, Datagate, solo la tecnologia può proteggerci dagli spioni , su huffingtonpost.it , 7 novembre 2013.
«per salvaguardare la nostra privacy è sufficiente usare programmi che cifrano i nostri dati sensibili con cifrari moderni, come ad esempio il sistema PGP (Pretty Good Privacy)» .

[openpgp.org-4] ( EN ) Welcome to The OpenPGP Alliance , su OpenPGP Alliance . URL consultato il 20 febbraio 2016 .
«The OpenPGP standard was originally derived from PGP (Pretty Good Privacy), first created by Phil Zimmermann in 1991.» .

[phil-5] Philip Zimmermann , su philzimmermann.com . URL consultato il 20 febbraio 2016 .
«Creator of PGP and Co-founder of Silent Circle» .

[gnupg-6] ( EN ) The GNU Privacy Guard , su GnuPG . URL consultato il 22 febbraio 2016 .
«GnuPG is a complete and free implementation of the OpenPGP standard as defined by RFC4880 (also known as PGP).» .

[7] ( EN ) Chapter 3. Security Questions , su pgp.net . URL consultato il 20 febbraio 2016 .
«That is something like a thousand times the age of the known universe!» .

[8] ( EN ) OFFICE OF THE UNITED STATES ATTORNEY SOUTHERN DISTRICT OF CALIFORNIA ( PDF ), su usdoj.gov , 26 maggio 2005. URL consultato il 20 febbraio 2016 (archiviato dall' url originale il 14 ottobre 2006) .

[rfc5751-9] ( EN ) Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 ( TXT ), su ietf.org . URL consultato il 20 febbraio 2016 .

[gnupg-on-openpgp-10] ( EN ) Downloads , su OpenPGP Alliance . URL consultato il 20 febbraio 2016 (archiviato dall' url originale il 30 gennaio 2016) .
«OpenPGP-compliant product» .

[11] ( EN ) Intel to Acquire McAfee , su newsroom.intel.com , Intel Corporation , 19 agosto 2010. URL consultato il 19 agosto 2010 .

[12] ( EN ) Symantec to Offer Broadest Data Protection Capabilities with Acquisition of PGP Corporation and GuardianEdge , su www.symantec.com . URL consultato il 24 febbraio 2015 (archiviato dall' url originale il 24 febbraio 2015) .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]