O PGP (Pretty Good Privacy), é um software de codificação projetado para fornecer privacidade, segurança e autenticação para sistemas de comunicação on-line. Phil Zimmerman é o nome por trás do primeiro programa PGP e, segundo ele, o programa foi disponibilizado gratuitamente devido a uma crescente demanda social por privacidade.
Desde que foi criado em 1991, muitas versões do software PGP (Pretty Good Privacy) foram criadas. Em 1997, Phil Zimmerman fez uma proposta à organização americana IETF (Internet Engineering Task Force) para a criação de um padrão aberto para a criptografia PGP. A proposta foi aceita e levou à criação do protocolo OpenPGP, que define formatos padrão para chaves e mensagens de criptografia usando o PGP.
Embora inicialmente usada para proteger mensagens de e-mail e anexos, a tecnologia PGP é agora aplicada em uma grande variedade de cenários, incluindo assinaturas digitais, criptografia de disco e proteção de rede.
Inicialmente, a PGP era propriedade da empresa PGP Inc., que mais tarde foi adquirida pela Network Associates Inc. Em 2010, a Symantec Corp. comprou os direitos da tecnologia PGP por US$ 300 milhões, e o termo é agora uma marca registrada da empresa (utilizada em todos os produtos compatíveis com o protocolo OpenPGP).
Como Funciona a PGP? (Pretty Good Privacy)
O PGP está entre os primeiros softwares amplamente disponíveis para implementar a criptografia de chave pública. A tecnologia PGP consiste em um sistema híbrido de criptografia que utiliza criptografia simétrica e assimétrica para alcançar altos níveis de segurança e privacidade.
Em um processo de codificação simples, um texto claro (texto claro que pode ser facilmente compreendido) é convertido em texto cifrado (texto cifrado, ilegível). Mas antes que o processo de criptografia começar, a maioria dos sistemas, PGP realiza uma compressão. Ao comprimir os dados antes de transmiti-los, o programa PGP economiza tanto espaço de armazenamento quanto tempo de transmissão — e também aumenta a segurança.
Após os arquivos terem sido comprimidos, o processo de codificação começa. Neste ponto, o texto comprimido é criptografado com uma chave de uso único, chamada chave de sessão. Esta chave é gerada aleatoriamente por um sistema de criptografia simétrica e cada sessão de comunicação PGP tem uma chave de sessão única.
Em seguida, a chave de sessão (1) é criptografada usando criptografia assimétrica: o receptor da mensagem (João) fornece sua chave pública (2) para o remetente (Maria) para ela poder criptografar a chave de sessão criada na etapa anterior. Isto garante que Maria possa compartilhar a chave de sessão com Bob através da Internet, independentemente das condições de segurança.
Geralmente a criptografia assimétrica da chave de sessão é feita usando o algoritmo RSA. Muitos outros sistemas de criptografia usam RSA, incluindo o protocolo TLS (Transport Layer Security) que protege uma grande parte da Internet.
Uma vez que o texto cifrado da mensagem e a chave de sessão criptografada são transmitidos, João pode usar sua chave privada (3) para decifrar a chave de sessão, que é então usada para decifrar o texto cifrado de volta à sua forma original.
Além do processo básico de codificação e decodificação, o PGP também suporta assinaturas digitais — que servem a pelo menos três funções:
Autenticação: João pode ter certeza de que o remetente da mensagem foi Maria.
Integridade: João pode verificar que a mensagem não tenha sido alterada.
Não-repúdio: depois que a mensagem é assinada digitalmente, Maria não pode negar que ela é a remetente.
Casos de uso
Uma das aplicações mais comuns do PGP está na proteção de e-mails. Um e-mail que é protegido com PGP é transformado em uma sequência de caracteres ilegíveis (texto cifrado) e só pode ser descriptografado com a chave de descriptografia correspondente.
Os mecanismos de operação são praticamente os mesmos que para proteger mensagens de texto, e existem algumas versões do PGP que permitem que a tecnologia seja implementada em cima de outros aplicativos (pré-existentes). Isto permite aos desenvolvedores e usuários adicionar um sistema de criptografia PGP aos serviços de mensagens que não são seguros por padrão.
Embora a tecnologia PGP seja amplamente utilizada para proteger a comunicação na Internet, ela também pode ser aplicada para criptografar dispositivos individuais. Neste contexto, um programa PGP pode ser usado para criptografar uma partição (disco rígido) de um computador ou mesmo de um telefone celular. Ao criptografar um disco rígido com PGP, o usuário terá que fornecer uma senha toda vez que o sistema for iniciado.
Vantagens e Desvantagens
Graças ao uso combinado de criptografia simétrica e assimétrica, o PGP permite que os usuários compartilhem informações e chaves criptográficas com segurança pela Internet. Como um sistema híbrido, o PGP se beneficia tanto da segurança da criptografia assimétrica quanto da velocidade da criptografia simétrica. Além da segurança e da velocidade, as assinaturas digitais garantem a integridade dos dados e a autenticidade do remetente.
O protocolo OpenPGP permitiu o surgimento de um ambiente competitivo e as soluções PGP são agora fornecidas por uma série de empresas e organizações. Todavia, todos os programas PGP que seguem os padrões OpenPGP tem compatibilidade entre si. Portanto, arquivos e chaves gerados em um programa podem ser usados em outros sem nenhum problema.
Quanto aos inconvenientes, o sistema PGP não é tão fácil de usar e entender, especialmente para usuários que não possuem conhecimentos técnicos. Além disso, as chaves públicas são muito longas, portanto, são consideradas por muitos como inconvenientes.
No ano de 2018, uma fragilidade chamada EFAIL foi publicada pela Electronic Frontier Foundation (EFF). Tal vulnerabilidade permitiu que hackers explorassem o conteúdo HTML ativo em e-mails criptografados, obtendo acesso a versões em texto puro das mensagens (antes de serem criptografadas).
Entretanto, alguns dos problemas relatados pela EFAIL já eram conhecidos da comunidade PGP desde os anos 90, e na realidade estas vulnerabilidades estão relacionadas a diferentes formas de implementação pelos provedores de e-mail, não ao próprio PGP. Portanto, apesar das manchetes alarmantes e enganosas, o sistema PGP não está quebrado e permanecem altamente seguros e confiáveis.
Conclusão
Desde sua criação em 1991, a tecnologia PGP é uma ferramenta essencial na proteção de dados e agora é usada em uma ampla gama de aplicações, proporcionando privacidade, segurança e autenticação para vários sistemas de comunicação digital.
Embora a descoberta de 2018 tenha levantado preocupações sobre a viabilidade do protocolo, a tecnologia PGP ainda é considerada robusta e criptograficamente funcional. Vale ressaltar que, dependendo de como a tecnologia PGP é implementada, diferentes níveis de segurança são alcançados.
Saiba Mais! 
