¿Qué es PGP?

Philip R. Zimmermann es el creador de Pretty Good Privacy (algo así como Muy Buena Privacidad), un paquete de software para el cifrado que originalmente fue diseñado como una herramienta para los derechos humanos, PGP se publicó gratis en Internet en 1991. Esto convirtió a Zimmermann en el objetivo de una investigación criminal que duró tres años, porque el gobierno advirtió que las restricciones estadounidenses para software de cifrado fueron violadas cuando PGP se extendió por todo el mundo. A pesar de la carencia de fondos, la carencia de empleados, la carencia de una compañía que estuviera detrás, a pesar de la persecución gubernamental, PGP se convirtió en el software de cifrado de correo electrónico más extensamente utilizado en el mundo. Después de que el gobierno dejara el caso en 1996, Zimmermann fundó PGP Inc.

PGP es un criptosistema híbrido que combina técnicas de criptografía simétrica y criptografía asimétrica. Esta combinación permite aprovechar lo mejor de cada uno: El cifrado simétrico es más rápido que el asimétrico o de clave pública, mientras que éste, a su vez, proporciona una solución al problema de la distribución de claves en forma segura y garantiza el no repudio de los datos y la no suplantación.

Cuando se emplea PGP para cifrar un texto, este es comprimido, esto permite ahorra espacio en disco, disminuir los tiempos de transmisión y fortalece la seguridad criptográfica ya que la mayoría de las técnicas de criptoanálisis buscan patrones presentes en el texto claro para romper el cifrado. La compresión reduce esos patrones, aumentando enormemente la resistencia al criptoanálisis.

Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará una vez, esta clave es un número aleatorio generado a partir de los movimientos del ratón y las teclas que se pulsen durante unos segundos con el propósito específico de generar esta clave, también se puede realizar con una clave anteriormente generada. Esta clave de sesión se usa con un algoritmo simétrico (IDEA, Triple DES) para cifrar el texto claro.

Una vez que los datos se encuentran cifrados, la clave de sesión se cifra con la clave pública del receptor (criptografía asimétrica) y se adjunta al texto cifrado, y el conjunto es enviado al receptor.

El descifrado sigue el proceso inverso. El receptor usa su clave privada para recuperar la clave de sesión, simétrica, que PGP luego usa para descifrar los datos.

Las claves empleadas en el cifrado asimétrica se guardan cifradas protegidas por contraseña en el disco duro. PGP guarda dichas claves en dos archivos separados llamados llaveros; uno para las claves públicas y otro para las claves privadas.

PGP que fue inicialmente propiedad de la compañía PGP Inc, más tarde fue adquirida por Network Associates Inc. En 2010, Symantec Corp. adquirió PGP por $300 millones y ahora es una marca comercial utilizada para sus productos compatibles con OpenPGP.

¿Qué es Open PGP?

Open PGP es un estándar de código abierto que permite que PGP se use en soluciones de software que generalmente son gratuitas. El término “Open PGP” a menudo se aplica a herramientas, funcionalidades o soluciones que admiten la tecnología de cifrado PGP de código abierto.

Los proveedores que quieran incluir Open PGP en sus soluciones deben seguir los estándares del IETF e integrarse bien con otros proveedores de software compatibles con Open PGP. Si se encuentra en la búsqueda de una herramienta Open PGP, los proveedores que son miembros de Open PGP Alliance le asegurarán que sus archivos podrán ser decifrado y verificado por otras soluciones Open PGP que cumplan el estándar IETF. Fue definido como estándar en el RFC 4880.

¿Qué es GnuPG o GPG?

The Free Software Foundation ha desarrollado su propio programa de compatibilidad con OpenPGP llamado GNU Privacy Guard (abbreviated GnuPG or GPG). GnuPG es gratuito y está disponible con todo el código bajo la licencia de GNU General Public License (GPL) y es mantenido por varias Interfaces de Usuario (GUIs) que interactúan con la librería GnuPG para opciones de cifrado, decifrado y firma (ver KGPG, Seahorse, MacGPG). Mucho otros han desarrollado también su propio sistema de compatibilidad.

GnuPG es otro estándar de cifrado gratuito que las empresas pueden utilizar y que se basa en OpenPGP, sirve como reemplazo del PGP de Symantec. La principal diferencia son los algoritmos compatibles. Sin embargo, GnuPG juega bien con PGP por diseño. Debido a que GnuPG es abierto, algunas empresas preferirían el soporte técnico y la interfaz de usuario que viene con PGP de Symantec. Es importante tener en cuenta que existen algunos matices entre la compatibilidad de GnuPG y PGP, como la compatibilidad entre ciertos algoritmos, pero en la mayoría de aplicaciones como el correo electrónico, existen soluciones. Uno de esos algoritmos es el Módulo IDEA que no está incluido en GnuPG de fábrica debido a problemas de patentes.

Hay varias aplicaciones compatibles con OpenPGP tanto para iOS como para Android, como puede ser iPGMail para el caso de iOS; y OpenKeychain para Android, que habilitan la generación de claves y el cifrado/decifrado de emails, ficheros en Apple’s iOS y Android.

Diferencia entre PGP y GPG

PGP es una solución de cifrado, actualmente, patentada por Symantec y GPG es un estándar de código abierto. En lo que respecta a lo funcional, cada formato es prácticamente idéntico.