Szyfrowanie PGP

Szyfrowanie PGP

Szyfrowanie

W dzisiejszym świecie większość danych dostępna jest elektronicznie. Niektórych danych już nawet nie mamy w formie fizycznej – faktury, rachunki, nawet pieniądze są w formie “e” zapisów.

Dane są łakomym kąskiem dla innych. I to nie tylko dla przestępców. Każdy chciałby móc podejrzeć, co robi konkurencja, jakie są zamówienia, które strony są najczęściej przeglądane.

Dlatego tak ważne jest odpowiednie zabezpieczenie naszych cennych danych przed niepowołanym dostępem oraz, co równie ważne, zapewnienie, że otrzymaliśmy wiadomość od właściwego nadawcy.

Co to jest szyfrowanie?

Szyfrowanie to inaczej kodowanie informacji. Proces szyfrujący zamienia tekst czy plik wejściowy na serię pozornie przypadkowych znaków, których nie można tak po prostu odczytać. Poza znajomością algorytmu szyfrującego musimy mieć odpowiedni klucz (wygenerowany wcześniej odpowiedni ciąg znaków), który pozwoli na odszyfrowanie zakodowanej wiadomości.

Można używać różnego rodzaju kluczy symetrycznych lub asymetrycznych różnego typu. Najbardziej popularne są asymetryczne klucze RSA lub oparte na krzywych eliptycznych ECC, a wśród symetrycznych najczęściej spotkamy się z AES256.

Po co nam szyfrowanie danych?

Wydawałoby się, że wystarczy nam szyfrowane połączenie. Jednak HTTPS to nie wszystko. Dane są szyfrowane na czas transmisji, potem każdy proces ma do nich dostęp. Często szyfrowane połączenie kończy się na specjalnie do tego dedykowanych urządzeniach (tak zwana terminacja SSL) i są przesyłane w sieci wewnętrznej w postaci niezakodowanej.

Przy danych szczególnie wrażliwych – danych osobowych lub medycznych – jest to niedopuszczalne. Musimy zapewnić, że tylko uprawnione osoby będą mogły odczytać wrażliwe dane.

Szyfrowanie czy podpisywanie?

Szyfrowanie to co innego niż podpisywanie. Najważniejsze, że można mieć oba. Dzięki szyfrowaniu ukrywamy treść wiadomości przed niepowołanymi oczami. Podpisywanie ma inny cel. Ma zapewnić potwierdzenie nadawcy, że jest on tym, za kogo się podaje.

Historia PGP

Jednym z powszechnie używanych systemów szyfrowania jest PGP (Pretty Good Privacy, czyli Całkiem Niezła Prywatność). Swoją popularność zdobył w latach 90 jako pierwszy publicznie dostępny system szyfrowania danych
System powstał w 1991 r. i co ciekawe w związku z restrykcjami eksportowymi nie mógł być legalnie rozpowszechniany poza granicami USA. Restrykcje udało się obejść drukując kod programu w 14 tomach, a grupa ponad 70 osób zeskanowała kody, co zajęło w sumie ponad 1000 godzin, ale pozwoliło na dalszy rozwój algorytmu.

Obecnie istnieje kilka wersji PGP – OpenPGP, GPG, które są ze sobą kompatybilne. Wersja GPG jest używana do podpisywania pakietów oprogramowania Linux.

Szyfrowania PGP często używają instytucje finansowe, a szczególnie banki.

Złożoność

Klucze symetryczne składają się z dwóch zależnych od siebie części – klucza publicznego i prywatnego.

Musimy wymienić się kluczami publicznymi. Klucze prywatne, jak wskazuje ich nazwa musimy trzymać w ukryciu. Od nich zależy nasze bezpieczeństwo – ktoś mógłby odszyfrować i podejrzeć wiadomość przeznaczoną tylko dla nas, mógłby też udawać, że to my wysłaliśmy wiadomość.

Szyfrowanie i podpisywanie jest złożone. Należy przede wszystkim pamiętać, że szyfrujemy używając klucza publicznego odbiorcy, żeby tylko on mógł odczytać wiadomość używając swojego klucza prywatnego. Przy podpisywaniu jest odwrotnie – podpisujemy wiadomość używając naszego klucza prywatnego, żeby odbiorca używając naszego klucza publicznego mógł stwierdzić, że to my wysłaliśmy.

Konektor WSO2 PGP

Co jakbyśmy mieli narzędzie, które zajmie się wszystkimi szczegółami technicznymi? Może wystarczyłoby podać klucze, wywołać funkcję szyfrowania lub odszyfrowania i już? Jak zaszyfrować plik używając PGP?

Można. Żeby życie było prostsze utworzyliśmy konektor WSO2.

Konektor nie wymaga żadnej wstępnej konfiguracji. Jeśli chcemy zaszyfrować komunikat wywołujemy operację szyfrowania i podajemy klucz publiczny odbiorcy. Możemy dodatkowo podać swój klucz prywatny, jeśli chcemy podpisać wiadomość.

W drugą stronę jest podobnie. Aby odszyfrować przychodzący komunikat wywołujemy operację odszyfrowania podając nasz klucz prywatny.
Nic więcej nie potrzeba. Dzięki temu możemy zabezpieczyć przesyłane wrażliwe dane mając pewność, że nie dostaną się w niepowołane ręce.

Pomocy!

Potrzebuję wymieniać zaszyfrowane dane, ale o co chodzi z tymi kluczami? Co mam zrobić? Jak zacząć?

Nie martw się! Mamy kilkunastoletnie doświadczenie w budowaniu i wdrażaniu integracji. Daj znać, na pewno pomożemy!

Dodatkowe informacje:

  • http://www.gnupg.org/
  • http://www.rsa.com/

 

Szyfrowanie PGP
Przewiń na górę