PGP, programvare som tilbyr kryptografisk funksjonalitet. PGP ble gjort tilgjengelig for allmennheten i 1991 og var den første programvare fritt tilgjengelig av denne typen som holdt høy kvalitet og fikk derfor mye oppmerksomhet og stor utbredelse.

PGP er fremdeles tilgjengelig og tilbyr meget sterk kryptering. Navnet PGP er forkortelse for Pretty Good Privacy, som kan oversettes til ganske god sikkerhet på norsk.

Opprinnelig besto PGP av tre deler:

  1. Kryptering av filer med symmetrisk kryptografi; opprinnelig basert på kryptoalgoritmen IDEA.
  2. Generering og bruk av offentlige nøkler, opprinnelig basert på RSA-algoritmen, for kryptering samt generering og verifikasjon av digitale signaturer på filer.
  3. Støtte for vedlikehold av «nøkkelringer». Det vil si oppbevaring, kontroll og vedlikehold av andres offentlige nøkler. En slags PKI uten elementet «public».

I sin alminnelighet kan man si at implementasjonen av PGP tok alle de riktige ingeniørmessige grepene. Det vil si at sikkerheten (hemmeligholdet) som PGP tilbyr er uovertruffen.

Den opprinnelige versjonen av PGP har i dag betydelige sikkerhetsmessige problemer. Problemene er særlig knyttet til bruken av algoritmen MD5 for digitale fingeravtrykk. Det betyr at tilliten til digitale signaturer laget med tidlige versjoner av PGP må vurderes meget nøye.

Da PGP ble tilgjengelig i 1991 var den kalde krigen ennå ikke slutt. Kryptering av den kvaliteten som PGP gjorde mulig, ble av NATO – og da særlig USA – betraktet som relevant for balansen mellom blokkene. Forfatteren av PGP ble derfor i 1993 viklet inn i juridiske vanskeligheter som følge av at han hadde gjort PGP fritt tilgjengelig. Til syvende og sist ble det likevel ikke reist tiltale mot ham.

PGP ble gjort tilgjengelig i form av kildetekst. Enhver kunne derfor selv verifisere at programvaren ikke inneholdt skjulte feller, men faktisk gjorde det den skulle. Videre var det mulig for enhver å bistå forfatteren med videreutvikling.

For økt sikkerhet tilbyr PGP at man kan bruke «passfrase» istedenfor bare et passord. Fordi en frase på flere ord har mer informasjon enn ett enkelt ord, blir krypteringsnøklene som genereres fra dem gjennomgående av høyere kvalitet.

Tradisjonelt er offentlige nøkler knyttet til en PKI. PGP var imidlertid beregnet på bruk i den private sfære. PGP la til grunn at brukeren selv er autoritet på eierskapet til de nøkler som aksepteres. PGP tilbyr deretter brukeren å legge digitale signaturer på andres offentlige nøkler og bekrefte bindingen mellom et navn (og e-postadresse) og nøkkelen. Slik kan man samle bekreftelser fra folk man kjenner på at nøkkelen faktisk tilhører en selv. 

Tanken er at dersom du skal kommunisere med noen du ikke kjenner, men noen som du kjenner, kjenner vedkommende, kan du vurdere å anta at nøkkelen du henter faktisk kontrolleres av den du forventer. Dette prinsippet ble kalt et tillitsnett (engelsk web of trust). På denne måten ble sertifiserte offentlige nøkler tilgjengelig uten at man måtte etablere en sentralisert PKI.

Foreslå endringer i tekst

Foreslå bilder til artikkelen

Kommentarer

Har du spørsmål om eller kommentarer til artikkelen?

Kommentaren din vil bli publisert under artikkelen, og fagansvarlig eller redaktør vil svare når de har mulighet.

Du må være logget inn for å kommentere.