PGP, İyi Gizlilik anlamına gelir. İnternet iletişim sistemlerinde gizlilik, güvenlik ve kimlik doğrulama sağlamak için tasarlanmış bir şifreleme yazılımıdır. PGP programının kurucusu Phil Zimmerman’a göre, halkın artan mahremiyet ihtiyacı nedeniyle herkesin kullanması için ücretsiz hale getirildi.
PGP Nedir?
1991 yılında ortaya çıkışından bu yana, PGP‘nin birçok yazılım versiyonu geliştirilmiştir. 1997’de Phil Zimmerman, İnternet Mühendisliği Görev Gücü’ne (IETF) açık bir PGP standardı oluşturmayı önerdi. Teklif kabul edildi, böylece şifreleme anahtarlarını ve mesajlar için standart bir format tanımlayan OpenPGP protokolü oluşturuldu. Başlangıçta e-posta güvenliği ve şifreleme için kullanılmasına rağmen, PGP‘nin artık dijital imzalar, tam disk şifreleme ve ağ güvenliği dahil olmak üzere birçok kullanımı vardır.
PGP daha önce PGP Inc’e aitken, 2010 yılında Network Associates Inc. olarak el değiştirdi. Satın al. 2010 yılında, Symantec Corporation, PGP’yi 300 milyon dolara satın aldı ve PGP konsepti, OpenPGP ürünü için bir ticari marka haline geldi.
PGP Nasıl Çalışır?
PGP, genel şifrelemeyi uygulamak için yaygın olarak bulunan ilk yazılımlardan biriydi ve yüksek düzeyde güvenlik elde etmek için şifreleme ve asimetrik şifreleme kullanan bir melezdir.
Düz metin şifreleme sürecinde, düz metin (okunabilir veriler) şifreli metne (okunamayan veriler) dönüştürülür. Ancak, şifreleme yapılmadan önce çoğu PGP sistemi verileri şifreler. PGP, göndermeden önce düz metni sıkıştırarak güvenliği artırırken hem disk alanından hem de aktarım süresinden tasarruf sağlar.
Dosyayı sıkıştırdıktan sonra asıl şifreleme işlemi başlar. Burada, şifrelenmiş tek seferlik anahtar, normal oturum anahtarı olarak kullanılır. Anahtar, simetrik şifreleme kullanılarak otomatik olarak oluşturulur ve her PGP iletişim oturumunun benzersiz bir oturum anahtarı vardır.
Daha sonra, oturum anahtarının kendisi (1) asimetrik şifreleme kullanılarak şifrelenir: alıcı (Bob) ortak anahtarını (2) göndericiyle (Alice) paylaşır, böylece gönderici oturum anahtarını gizleyebilir. Bu yöntemle Alice, oturum anahtarını güvenlik koşullarından bağımsız olarak internette Bob ile paylaşabilir.
Oturum anahtarlarının asimetrik şifrelemesi genellikle RSA algoritması kullanılarak sağlanır. Birçok şifreleme sistemi, İnternet’in çoğunu koruyan Aktarım Katmanı Güvenliği (TLS) dahil RSA kullanır. Bir mesajın şifreli metni şifreli bir oturum anahtarıyla gönderildiğinde, Bob gizli anahtarını (3) kullanarak oturum anahtarının şifresini çözebilir ve metnin şifresini sıfırdan çözmek için oturum anahtarını kullanabilir.
Şifreleme ve şifre çözme temel süreçlerinin yanı sıra, PGP dijital imzaları da destekler. Bu imzaların en az üç işlevi bulunur:
- Doğrulama: Bob, mesajı gönderen kişinin Alice olduğunu doğrulayabilir
- Değiştirilmezlik: Bob, mesajın değiştirilmediğinden emin olabilir
- Red-olmaması: Mesaj dijital olarak imzalandıktan sonra, Alice bu mesajı göndermediğini iddia edemez
PGP’nin Kullanım Alanları Nelerdir?
PGP’nin en yaygın kullanımlarından biri e-posta güvenliği içindir. PGP korumalı bir e-posta, okunamayan bir karakter dizisine (şifreli metin) dönüştürülür ve yalnızca ilgili şifre çözme anahtarı kullanılarak şifrelenebilir. İşletim sistemi, metin mesajlarını saklamak için aynıdır. PGP’yi diğer uygulamalarla üst üste koyarak güvenli olmayan e-posta hizmetlerine şifreleme ekleyen yazılım uygulamaları da vardır.
PGP en yaygın olarak e-postaların güvenliğini sağlamak için kullanılsa da, herhangi bir cihazı şifrelemek için de kullanılabilir. Bu durumda, PGP bir bilgisayara veya mobil cihaza kurulabilir. Sabit disk şifrelendiğinde, sistem her yeniden başlatıldığında kullanıcı şifreyi girmelidir.
Mesajın şifreli metni şifreli bir oturum anahtarıyla gönderildiğinde, Bob gizli anahtarını (3) kullanarak oturum anahtarının şifresini çözebilir ve metni sıfırdan düz metne dönüştürmek için oturum anahtarını kullanabilir.
PGB’nin Avantajları ve Dezavantajları
Hem simetrik hem de asimetrik PGP şifrelemesini kullanarak, kullanıcıların bilgi ve şifreleme anahtarlarını İnternet üzerinden özel olarak paylaşmasına olanak tanır. Hibrit bir sistem olan PGP, hem asimetrik kriptografinin güvenliğinden hem de şifreleme hızından yararlanır. Güvenlik ve hızın yanı sıra dijital imzalar, verilerin değiştirilememesini ve gönderenin söylediği kişi olmasını da sağlar.
OpenPGP protokolü organize bir rekabet ortamının ortaya çıkmasına neden olmuştur ve birçok şirket ve kuruluş artık PGP çözümleri sunmaktadır. Ancak, tüm PGP programları OpenPGP standartlarına uygundur. Bu, bir program tarafından oluşturulan dosya ve anahtarların başka bir program tarafından sorunsuz bir şekilde kullanılabileceği anlamına gelir.
Öte yandan, PGP sistemi, özellikle daha az teknik beceriye sahip kullanıcılar için anlaşılması ve kullanılması kolay değildir. Ayrıca, uzun ortak anahtarlar birçok kişi tarafından kötü bir fikir olarak kabul edilir.
2018’de Electronic Frontier Foundation (EFF), EFAIL adlı büyük bir güvenlik açığı yayınladı. EFAIL kullanarak, saldırganlar şifreli e-postaların HTML içeriğini kullanarak düz metin mesajlarına erişebilir. Ancak, EFAIL’in PGP topluluğuna açıkladığı bazı güvenlik sorunları 1990’lardan beri biliniyor ve aslında bu güvenlik açıkları PGP’nin kendisinden değil, farklı bir posta sunucusu uygulamasından kaynaklanıyor. Bu nedenle, yanıltıcı korku hikayelerine rağmen, PGP çok verimli ve güvenlidir.
Bu post hakkında tartışma