PGP’nin açılımı Pretty Good Privacy yani Oldukça İyi Gizlilik’tir. Peki tam olarak PGP Nedir ? PGP Nasıl Çalışır ?
PGP Nedir ?
1991’de ortaya çıkışından beri PGP’nin birçok yazılım versiyonu yaratılmıştır. 1997’de Phil Zimmerman, açık kaynaklı bir PGP standardı oluşturulması için İnternet Mühendisliği Görev Grubu’na (IETF) bir teklifte bulunmuştur. Teklif kabul edilmiş ve böylece şifreleme anahtarı ve mesajların standart formatlarını belirleyen OpenPGP protokolünün yaratılmıştır.
İlk başlarda yalnızca e-posta mesajlarının ve eklerinin güvenliği için kullanılsa da, PGP’nin şu anda dijital imzalar, tam disk şifrelemesi ve ağ korumasının da dahil olduğu çok geniş bir kullanım alanı vardır.
PGP’nin ilk sahibi PGP Inc şirketiyken, 2010’da el değiştirerek Network Associates Inc. tarafından satın alınmıştır. 2010’da Symantec Şirketi PGP’yi 300 milyon dolara satın almıştır ve PGP kavramı artık bu şirketin OpenPGP uyumlu ürünleri için kullanılan bir ticari marka haline gelmiştir.
PGP Nasıl Çalışır ?
Dosya sıkıştırmasını takiben asıl şifreleme süreci başlar. Bu aşamada, sıkıştırılmış açık metin oturum anahtarı olarak bilinen tek kullanımlık bir anahtarla şifrelenir. Anahtar simetrik kriptografi kullanılarak rastgele oluşturulur ve her bir PGP iletişim oturumunun kendine has bir oturum anahtarı vardır. PGP Nasıl çalışır ?
Daha sonra, asimetrik şifreleme kullanılarak oturum anahtarının kendisi (1) şifrelenir: Alıcı (Bob) kendi açık anahtarını (2) mesajı gönderen kişiyle (Alice) paylaşarak gönderenin oturum anahtarını şifreleyebilmesini sağlar. Bu adım sayesinde Alice oturum anahtarını Bob’la internet üzerinden güvenlik koşullarından bağımsız olarak paylaşabilir.
Oturum anahtarının asimetik şifrelemesi genellikle RSA algoritmasının kullanımıyla gerçekleştirilmektedir. RSA, aralarında İnternet’in büyük bölümünün güvenliğini sağlayan Taşıma Katmanı Güvenliği’nin (TLS) de olduğu birçok şifreleme sistemi tarafından kullanılır.
Mesajın şifreli metni ve şifrelenmiş oturum anahtarı gönderildiğinde, Bob kendi özel anahtarını (3) kullanarak oturum anahtarının şifresini çözebilir ve daha sonra bu oturum anahtarını kullanarak şifrelenmiş metni tekrardan orjinal açık metne döndürebilir.
Şifreleme ve şifre çözme temel süreçlerinin yanı sıra, PGP dijital imzaları da destekler. Bu imzaların en az üç işlevi bulunur ve şu şekildedir ;
-
Doğrulama: Bob, mesajı gönderen kişinin Alice olduğunu doğrulayabilir
-
Değiştirilmezlik: Bob, mesajın değiştirilmediğinden emin olabilir
-
Red-olmaması: Mesaj dijital olarak imzalandıktan sonra, Alice bu mesajı göndermediğini iddia edemez
Avantajları ve Dezavantajları Nelerdir ?
OpenPGP protokolü standart hale getirilmiş rekabetçi bir ortamın ortaya çıkmasını sağlamıştır ve günümüzde birçok şirket ve organizasyon tarafından PGP çözümleri sunulmaktadır. Buna rağmen, OpenPGP standartlarına uygun tüm PGP programları birbiriyle uyumludur. Bu da, bir programın oluşturduğu dosya ve anahtarların başka bir programda sorunsuz kullanılabileceği anlamına gelir.
Dezavantaj olarak, PGP sistemlerini anlamak ve kullanmak özellikle de teknik bilgisi az olan kullanıcılar için çok kolay değildir. Ayrıca, açık anahtarların çok uzun olması çoğu kişi tarafından elverişsiz bulunmaktadır.
2018’de, Electronic Frontier Foundation (EFF) tarafından EFAIL adındaki büyük bir güvenlik açığı yayınlanmıştır. EFAIL sayesinde saldırganlar şifreli e-postalardaki aktif HTML içeriğinden faydalanarak mesajların açık metin versiyonlarına erişim sağlayabilmektedir.
Fakat, EFAIL tarafından açıklanan bazı güvenlik sorunları 1990’ların sonlarından beri PGP topluluğu tarafından zaten bilinmektedir ve aslında bu güvenlik açıkları PGP’nin kendisinden değil e-posta kullanıcılarının farklı uygulamalarından kaynaklanmaktadır. Yani, korkutucu ve yanlış yönlendirici haber başlıklarına rağmen, PGP arızalı değildir ve yüksek seviyede güvenli olmaya devam etmektedir.
[table id=45 /]
[table id=46 /]
