Comprendo la differenza tra le chiavi pubbliche e private, ma in che modo esattamente i dati vengono crittografati utilizzando le chiavi? E lo schema di crittografia di PGP ad esempio è noto? È open source o almeno sa cosa fa passo dopo passo?
If I take a letter, lock it in a safe, hide the safe somewhere in New York, then tell you to read the letter, that’s not security. That’s obscurity. On the other hand, if I take a letter and lock it in a safe, and then give you the safe along with the design specifications of the safe and a hundred identical safes with their combinations so that you and the world’s best safecrackers can study the locking mechanism—and you still can’t open the safe and read the letter—that’s security.
In genere PGP utilizza RSA per crittografare i tasti sebbene altri possano essere utilizzati.
RSA è comicamente semplice:
encrypt: c = m ^ e mod (n).
decripta: m = c ^ d mod (n).
dove c = ciphertext, m = message, nd = chiave privata, ne = chiave pubblica
Quindi il messaggio viene ulteriormente crittografato con un codice simmetrico. Mentre questo è generalmente AES , OpenPGP usa CAST
La maggior parte degli algoritmi crittografici di uso comune, tra cui RSA, AES, SHA-256, DES, ecc., e i protocolli comuni che li usano, compresi TLS / SSL, PGP, ecc., sono tutti documentati pubblicamente, e ben studiato.
Questo segue Principio di Kerckhoffs che afferma che "Un cryptosystem deve essere sicuro anche se tutto sul sistema, tranne la chiave, è di dominio pubblico. "
In altre parole, se le persone non capiscono come PGP ha funzionato ai livelli più profondi, non avrebbero alcun motivo per fidarsi (e molte ragioni per sospettare che possa contenere un difetto diabolico.) Ma perché è stato pubblicato in l'open, dove chiunque volesse era in grado di analizzare il design, i protocolli e il codice stesso, che dava alle persone la possibilità di leggere il codice per se stessi e decidere autonomamente se fosse o meno affidabile.
In effetti, PGP è stato sviluppato durante un'era in cui gli USA stavano limitando il commercio internazionale di armi. Gli Stati Uniti classificano la crittografia come una tecnologia a duplice uso, il che significa che potrebbe essere utile ai civili, ma potrebbe anche essere usata per scopi militari. Queste leggi sono state utilizzate per limitare l'esportazione di PGP. Tuttavia, la libertà di stampa è un diritto; quindi Phillip Zimmerman, l'autore di PGP ha pubblicato un libro contenente il codice sorgente stampato, poiché un libro è legale da esportare ovunque Le persone al di fuori degli Stati Uniti erano liberi di inserirli nei loro computer e hanno una crittografia strong.
L'algoritmo di crittografia asimmetrico più comune è RSA. L' articolo di Wikipedia a riguardo fa un ottimo lavoro per spiegare come funziona. Però è necessaria una certa competenza in matematica.
And is the encryption schema of for example PGP known? Is it open source or at least known what it does step by step?
Sì, su tutti i fronti. Ci sono state versioni multiple delle specifiche nel corso degli anni; il più recente è RFC 4880 , ma ci sono anche altri documenti correlati . GnuPG è un'implementazione open source molto popolare.
Leggi altre domande sui tag pgp asymmetric