PGP, programvare som tilbyr kryptografisk funksjonalitet.  PGP ble gjort tilgjengelig for allmenheten i 1991 og var den første programvare fritt tilgjengelig av denne typen som holdt høy kvalitet og fikk derfor mye oppmerksomhet og stor utbredelse.  

PGP er fremdeles tilgjengelig og tilbyr meget sterk kryptering.  Navnet PGP kommer av av det uformelle Pretty Good Privacy.  Det finnes ikke noe norsk ord som dekker privacy, så på norsk kan man si Ganske God Sikkerhet.

Opprinnelig besto PGP av tre deler:

  1. Kryptering av filer med symmetrisk kryptogrfi; opprinnelig basert på kryptoalgoritmen IDEA.
  2. Generering og bruk av offentlige nøkler, opprinnelig basert på RSA-agoritmen, for kryptering samt generering og verifikasjon av digitale signaturer på filer.
  3. Støtte for vedlikehold av "nøkkelringer".  Det vil si, oppbevaring, kontroll og vedlikehold av andres offentlige nøkler.  En slags PKI uten elementet "public".

I sin alminnelighet kan man si at implementasjonen av PGP tok alle de riktige ingeniørmessige grepene.  Det vil si at sikkerheten (hemmeligholdet) som PGP tilbyr er uovertruffen.

Den opprinnelige versjonen av PGP har i dag betydelige sikkerhetsmessige problemer.  Problemene er særlig knyttet til bruken av algoritmen MD5 for digitale fingeravtrykk.  Det betyr tillit til digitale signaturer laget med tidlige versjoner av PGP må vurderes meget nøye.

Da PGP ble tilgjengelig i 1991 var den kalde krigen enda ikke slutt.  Kryptering av den kvaliteten som PGP gjorde mulig ble av NATO, og da særlig USA, betraktet som relevant for balansen mellom blokkene.  Forfatteren av PGP ble derfor i 1993 viklet inn i juridiske vanskeligheter som følge av at han hadde gjort PGP fritt tilgjengelig.  Til syvende og sist ble det likevel ikke reist tiltale mot ham.

PGP ble gjort tilgjengelig i form av kildetekst.  Enhver kunne derfor selv verifisere at programvaren ikke inneholdt skjulte feller, men faktisk gjorde det den skulle.  Videre var det mulig for enhver å bistå forfatteren med videreutvikling.

For økt sikkerhet tilbyr PGP at man kan bruke "passfrase" isteden for bare et passord.  Fordi et frase på flere ord har mer informasjon enn ett enkelt ord blir krypteringsnøklene som genereres fra dem gjennomgående av høyere kvalitet.

Tradisjonelt er offentlige nøkler knyttet til en PKI.  PGP var imidlertid beregnet på bruk i den private sfære.  PGP la til grunn at brukeren selv er autoritet på eierskapet til de nøkler som aksepteres.  PGP tilbyr deretter brukeren å legge digitale signaturer på andres offentlige nøkler og bekrefte bindingen mellom et navn (og epostadresse) og nøkkelen.  Slik kan man samle bekreftelser fra folk man kjenner på at nøkkelen faktisk tilhører en selv. 

Tanken er så at dersom du skal kommunisere med noen du ikke kjenner, men noen som du kjenner kjenner vedkommende, da kan du vurdere å anta at nøkkelen du henter faktisk kontrolleres av den du forventer.  Dette prinsippet ble kalt et tillitsnett (eng. web of trust).  På denne måten ble sertifiserte offentlige nøkler tilgjengelig uten at man må etablere en sentralisert PKI.

Foreslå endringer i tekst

Foreslå bilder til artikkelen

Kommentarer

Har du spørsmål om artikkelen? Skriv her, så får du svar fra fagansvarlig eller redaktør.

Du må være logget inn for å kommentere.