PGP

PGP er programvare som tilbyr kryptografisk funksjonalitet. PGP ble gjort tilgjengelig for allmennheten i 1991 og var den første programvare fritt tilgjengelig av denne typen som holdt høy kvalitet. Av den grunn fikk den derfor mye oppmerksomhet og stor utbredelse.

Faktaboks

Også kjent som
fork. for eng. Pretty Good Privacy

PGP er fremdeles tilgjengelig og tilbyr meget sterk kryptering. Navnet PGP er forkortelse for Pretty Good Privacy, som kan oversettes til ganske god sikkerhet på norsk.

Opprinnelig besto PGP av tre deler:

  1. Kryptering av filer med symmetrisk kryptografi; opprinnelig basert på kryptoalgoritmen IDEA.
  2. Generering og bruk av offentlige nøkler, opprinnelig basert på RSA-algoritmen, for kryptering samt generering og verifikasjon av digitale signaturer på filer.
  3. Støtte for vedlikehold av «nøkkelringer». Det vil si oppbevaring, kontroll og vedlikehold av andres offentlige nøkler—en slags PKI uten elementet «public».

I sin alminnelighet kan man si at implementasjonen av PGP tok alle de riktige sikkerhetsmessige grepene. Det vil si at sikkerheten (hemmeligholdet) som PGP tilbyr er uovertruffen.

Sikkerhetsmessige problemer

Den opprinnelige versjonen av PGP har i dag betydelige sikkerhetsmessige problemer. Problemene er særlig knyttet til bruken av algoritmen MD5 for digitale fingeravtrykk. Det betyr at tilliten til digitale signaturer laget med tidlige versjoner av PGP må vurderes meget nøye.

Historikk

Da PGP ble tilgjengelig i 1991 var den kalde krigen ennå ikke slutt. Kryptering av den kvaliteten som PGP gjorde mulig, ble av NATO — og da særlig USA — betraktet som relevant for balansen mellom blokkene. Forfatteren av PGP ble derfor i 1993 viklet inn i juridiske vanskeligheter som følge av at han hadde gjort PGP fritt tilgjengelig. Til syvende og sist ble det likevel ikke reist tiltale mot ham.

PGP ble gjort tilgjengelig i form av kildetekst. Enhver kunne derfor selv verifisere at programvaren ikke inneholdt skjulte feller, men faktisk gjorde det den skulle. Videre var det mulig for enhver å bistå forfatteren med videreutvikling.

For økt sikkerhet tilbyr PGP at man kan bruke «passfrase» istedenfor bare et passord. Fordi en frase på flere ord har mer informasjon enn ett enkelt ord, blir krypteringsnøklene som genereres fra dem gjennomgående av høyere kvalitet.

Tillitsnett

Tradisjonelt er offentlige nøkler knyttet til en PKI. PGP var imidlertid beregnet på bruk i den private sfære. PGP la til grunn at brukeren selv er autoritet på eierskapet til de nøkler som aksepteres. PGP tilbyr deretter brukeren å legge digitale signaturer på andres offentlige nøkler og bekrefte bindingen mellom et navn (og e-postadresse) og nøkkelen. Slik kan man samle bekreftelser fra folk man kjenner på at nøkkelen faktisk tilhører en selv.

Tanken er at dersom du skal kommunisere med noen du ikke kjenner, men noen som du kjenner, kjenner vedkommende, kan du vurdere å anta at nøkkelen du henter faktisk kontrolleres av den du forventer. Dette prinsippet ble kalt et tillitsnett (engelsk web of trust). På denne måten ble sertifiserte offentlige nøkler tilgjengelig uten at man måtte etablere en sentralisert PKI.

Les mer i Store norske leksikon

Kommentarer

Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.

Du må være logget inn for å kommentere.

eller registrer deg

Fagansvarlig for Kryptografi

Harald Øverby
Professor, Handelshøyskolen BI