# Pretty Good Privacy
## Paweł Bogdan
## 26 marca 2018
### Bezpieczeństwo Systemów komputerowych

# Pretty Good Privacy

- Dzieło jednego człowieka - Phila Zimmermanna
- Narzędzie, które zapewnia usługę szyfrowania i uwierzytelniania
- Używa najlepszych i przetestowanych narzędzi kryptograficznych
- Istnieją darmowe implementacje dla wszystkich platform
- PGP powstało niezależnie od jakichkolwiek agencji rządowych
- Ostatecznie powstał dokument [rfc3156](https://www.rfc-editor.org/rfc/rfc3156.txt)

# Oznaczenia

(Zgodne z książką W. Stallingsa _Kryptografia i bezpieczeńśtwo sieci komputerowych. Tom II_)

- $K_S$ - klucz sesji
- $PR_a$ - klucz prywatny użytkownika $A$
- $PU_a$ - klucz publiczny użytkownika $A$
- $EP$ - szyfrowanie asymetryczne
- $DP$ - deszyfrowanie asymetryczne

# Oznaczenia

(Zgodne z książką W. Stallingsa _Kryptografia i bezpieczeńśtwo sieci komputerowych. Tom II_)

- $EC$ - szyfrowanie symetryczne
- $DC$ - deszyfrowanie symetryczne
- $H$ - kryptograficzna funkcja skrótu
- $||$ - katencja
- $Z$ - kompresja
- $R64$ - radix 64

# Operacje PGP

## Podpis cyfrowy

## Szyfrowanie komunikatu

## Kompresja

## Kompatybilność z systemami e-mail

## Podpis cyfrowy

1. Obliczamy skrót wiadomości przy użyciu funkcji `SHA1`
2. Składamy podpis przy użyciu algorytmu `RSA` albo `DSS`.

## Szyfrowanie komunikatu

1. Nadawca generuje klucz sesji
2. Szyfruje klucz sesji przy pomocy klucza publicznego adresata używając algorytmu `RSA` lub `ElGamal`
3. Komunikat jest szyfrowany przy użyciu klucza sesji używając algorytmu `CAST-128`, `IDEA` albo `3DES`
4. Wiadmość składa się z zaszyfrowanego komunikatu i zaszyfrowanego klucza

## Kompresja

1. Komunikat można skompresować przy użyciu algorytmu `ZIP`, aby był krótszy

## Kompatybilność z systemami e-mail

1. Aby wiadomość można było wysłać za pomocą dowolnej usługi poczty elektronicznej wiadomość kompresuje się do ciągu znaków ASCII przy pomocy schematu `radix-64`.

# Procedura tylko uwierzytelnienia

![uwierzytelnienie](uwierzytelnianie.png)

# Procedura tylko szyfrowania

![szufrowanie](szyfrowanie.png)

# Jak połączyć ze sobą te procedury?

## Najpierw podpisujemy a potem szyfrujemy wiadomość razem z podpisem

## Czy widać dlaczego?

## A w którym miejscu wstawić kompresję?

## Po podpisaniu a przed szyfrowaniem

# Radix-64

3 bajty (24 bity) są dzielone na cztery grupy po 6 bitów każda. Każdy ciąg 6 bitów w jasny sposób koduje jakiś znak ASCII

# Klucze kryptograficzne

## Jednorazowe klucze sesji

## Klucze publiczne i prywatne

## Klucze szyfrowania symetrycznego oparte na haśle

## Jednorazowe klucze sesji

Są generowane za pomocą algorytmu [CAST-128](https://tools.ietf.org/html/rfc2144).

Jako źródło losowości jest brany ciąg bitów uzyskany przez śledzenie naciśnięć klawiszy oraz charakterystyki czasowej ich naciskania.

# Klucze publiczne

### Identyfikator klucza

Najmniej znaczące 64 bity klucza publicznego

# Struktura komunikatu PGP

## Komponent treści

## Komponent podpisu

## Komponent klucza sesji

## Komponent treści

- **nazwa pliku**
- **znacznik czasu**
- **zawartość pliku**

## Komponent podpisu

- **znacznik czasu**
- **wyciąg komunikatu**
    - Obliczany jest skrót treści komunikatu skatenowanego z czasem złożenia podpisu
    - Skrót jest szyfrowany kluczem prywatnym nadawcy
- **dwa początkowe bajty** wyżej wspomnianego skrótu
- **identyfikator klucza publicznego nadawcy**

## Operacje

Powyższe dwa komponenty możemy:
1. skompresować
2. zaszyfrować kluczem sesji

Jeżeli zdecydujemy się je zaszyfrować, to dodajemy do wiadomości jeszcze jeden komponent

## Komponent klucza sesji

- **zaszyfrowany klucz sesji**
- **identyfikator klucza publicznego** którym zaszyfrowano klucz sesji

## Operacje

Na koniec, niezależnie od tego, czy zaszyfrowaliśmy wiadomość, możemy całość przepuścić przez algorytm `radix-64`.

# Pierścienie kluczy

## Pierścień kluczy prywatnych

## Pierścień kluczy publicznych

## Pierścień kluczy prywatnych

- **znacznik czasowy**
- **identyfikator**
- **klucz publiczny**
- **klucz prywatny** (zaszyfrowany)
- **identyfikator użytkownika**

## Pierścień kluczy publicznych

- **znacznik czasowy**
- **identyfikator klucza**
- **klucz publiczny**
- **identyfikator właściciela klucza**

# Skąd pewność, kto jest właścicielem klucza?

Użytkownik $A$ chce przesłać komunikat użytkownikowi $B$. Korzysta więc z klucza publicznego $PU_b$. Ale może użytkonik $C$ posiada klucz prywatny $PR_b$?

## Uzyskanie wiarygodnego klucza

- $B$ dostarcza klucz publiczny $PU_b$ na fizycznym nośniku
- $A$ uzyskuje klucz $PU_b$ w czasie rozmowy telefonicznej
- Wykorzystanie zaufanej osoby trzeciej
- Wykorzystanie centrum autoryzacji

# Koncepcja zaufania

Dodatkowe pola w pierścieniu kluczy publicznych:

- **OWNERTRUST** - zaufanie do użytkownika
- **KEYLEGIT** - wiarygodność klucza
- **SIGTRUST** - wiarygodność podpisu

## OWNERTRUST

Jest definiowany przez użytkownika:

- `undefined` - nieokreślony
- `unknown` - użytkownik jest nieznany
- `usually not trusted` - zykle pozbawiony zaufania
- `usually trusted` - zwykle darzony zaufaniem
- `always trusted` - obdarzony bezwzględnym zaufaniem
- `ultimate trust` - użytkownik jest właścicielem pierścienia

## KEYLEGIT

Obliczany przez PGP:

- `unknown trust` - wiarygodność klucza nieokreślona lub niemożliwa do ustalenia
- `not trusted` - klucz niewiarygodny
- `marginal trust` - klucz posiada szczątkową wiarygodność
- `complete trust` - klczu posiada całkowitą wiarygodność

## SIGTRUST

Obliczany przez PGP. Wartości takie same jak w **OWNERTRUST**

## Procedura dodawania klucza

1. Właściciel pierścienia $A$ dodaje nowy klucz
2. PGP żąda określenia wartości **OWNERTRUST**
    - Jeżeli $A$ wprowadza swój klucz, to on automatycznie **OWNERTRUST** dostaje wartość `ultimate trust`
3. Ten klucz będzie miał jakieś podpisy złożone przez innych użytkowników. Informacja o tym jest w pierścieniu kluczy publicznych użytkownika $A$. 
     - Jeżeli użytkownik $A$ ma tego użytkowika w swoim pierścieniu kluczy, to wartość **OWNERTRUST** jest przepisywana do pola **SIGTRUST**, jeżeli użytkownika nie ma, to do pola **SIGTRUST** wpisujemy wartość `unknown user`.
4. Mamy więc wypełnione pola **SIGTRUST** dla wszystkich podpisów złożonych na dodawanym kluczu
5. Na podstawie tych wartości PGP oblicza wartość pola **KEYLEGIT**:
      - Jeżeli przynajmniej jedno pole **SIGTRUST** ma wartość `ultimate` to **KEYLEGIT** przyjmuje wartość `complete trust`
      - W przeciwnym przypadku obliczana jest średnia ważona (Wartoścu $X$ i $Y$ są konfigurowalne)
           - każda wartość `always trusted` ma wagę $\frac{1}{X}$
           - każda wartość `usually trusted` ma wagę $\frac{1}{Y}$
      - Jeżeli w trakcie obliczania średniej wyjdziemy powyżej 1, to **KEYLEGIT** dostaje wartość `complete trust` 