Crittografia

Pretty Good Privacy (PGP)

Il Pretty Good Privacy (PGP) è un pacchetto software che fornisce routine crittografiche per e-mail e applicazioni di immagazzinamento dati. L'articolo è tratto dalla tesi di laurea in "Applicazione delle tecniche di crittografia nella trasmissione ed elaborazione dati" redatta dall'ingegnere Federico Gennari nell'anno accademico 2000/2001.

8.12 – PGP

Il Pretty Good Privacy (PGP), letteralmente “una privacy abbastanza buona”, è un pacchetto software originalmente sviluppato da Philip R. Zimmermann (P.R.Z. secondo la mania americana per gli acronimi) nel 1991 integrativo di programmi già esistenti che fornisce routine crittografiche per e-mail e applicazioni di immagazzinamento dati. Zimmermann prese vari codici già operativi e protocolli crittografici e sviluppò un programma che poteva girare su piattaforme multiple, come Windows, Unix, MS-DOS, OS/2, Macintosh, Amiga ed Atari.

La sua prima versione PGP 1.0 (ora siamo alla 6.5.1i, con la i finale per Internazionale, visti i problemi legali) usava il MD4 e il RSA per le firme e lo scambio delle chiavi segrete usate dal cifratore a blocco Bass-O-Matic, di ideazione dello Zimmermann stesso, insieme al LZHuf ( Lempel-Ziv Huffman, algoritmo di compressione adattivo) per la compressione dati ed il uuencoding ASCII armour per il trasporto a 7 bit. PRZ passò il PGP 1.0 ad alcuni amici che riuscirono a trasportalo fuori dagli U.S.A. prima che fosse promulgata una legge che avrebbe praticamente messo fuori legge tutti i sistemi di cifratura che non avessero un accesso dedicato ai servizi segreti. In qualche modo il programma si fece strada tra gli utenti e incominciò ad esserci un interesse crescente intorno al programma. Interesse che spinse l’autore a sviluppare una versione 2.0 del programma: il Bass-O-Matic era debole e fu rimpiazzato dall’allora recente IDEA, MD5 rimpiazzò la versione MD4, e fu introdotto il radix-64 ASCII armour insieme al codice di compressione ZIP. Le versioni seguenti furono sviluppate da PRZ insieme alla MIT, ViaCrypt, PGP inc. (la società fondata da PRZ nel 1996) ed ora dalla NAI, Network Associates Inc., che ha comprato la PGP inc. nel 1997.

Purtroppo, dopo che il PGP ha incominciato a diffondersi, il trio R.S.A. lamentò la violazione del  brevetto di chiave pubblica; PRZ si difese affermando che la richiesta di autorizzazione spettava all’utente e non al programmatore. La disputa si concluse con l’accordo di non distribuzione del PGP da parte dell’autore. Il clima di illegalità aiuta lo spandersi di dicerie finché il governo U.S.A. non aprì un’inchiesta su PRZ ed il suo programma, ufficialmente per problemi di licenze e violazione di alcune leggi (come l’ITAR, Internatiol Traffic in Arms Regulations, che controlla l’esportazione di armi e materiale militare, tra cui i software di crittografia) in realtà perché impediva alla NSA di esercitare il controllo desiderato. L’inchiesta durò fino al 1999 ed alla fine PRZ venne scagionato. Il software ora è pubblico sia all’esterno (versione 2.6.2i almeno) che all’interno degli U.S (con qualche modifica, almeno versione 2.6.2).

Nel frattempo Zimmermann e la MIT sviluppano la versione 2.5 e 2.6 sostituendo alcune librerie (essenzialmente la RSAREF) per rendere il programma perfettamente legale dal punto di vista dei brevetti e licenze, sebbene non esportabile (almeno non legalmente). Questo fu aggirato dato che la MIT pubblicava libri con il codice sorgente completo (la versione internazionale fu ideata appositamente per l’occasione) ed un carattere di stampa adatto all’uso di OCR (programmi di conversione da immagine di testi in testi veri e propri), permettendo non solo la ricostruzione dell’intero pacchetto software, ma anche l’analisi del sistema e l’eventuale presenza di errori o backdoor (speciali accessi nascosti all’utente per un’intrusione clandestina successiva).

• » Invia tramite EMAIL
• » Versione per la STAMPA
• » Le vostre opinioni

I link correlati all'argomento

• L'indice della tesi
• La tesi in formtao pdf
• Protezione dell'email
• RSA