Per poder entendre millor el sistema de xifratge emprat pels sistemes de claus asim�triques (de claus p�bliques i privades), �s necessari entendre la difer�ncia amb els sistemes de claus sim�triques (claus secretes).
Els sistemes de xifratge de clau sim�trica s�n aquells en els que la clau que s'empra per xifrar les dades �s la mateixa que s'utilitza per desxifrar-los. En el cas del correu electr�nic, el remitent xifra el missatge amb una clau secreta, perqu� el destinatari el pugui desxifrar, necessita obtenir pr�viament aquesta mateixa clau de manera «segura», o sigui, de manera que terceres persones no tinguin l'oportunitat d'obtenir aquesta clau. Si no es t� certesa que l'intercanvi de claus ha estat segur, la validesa del sistema �s nul�la.
Els sistemes de xifratge amb claus asim�triques, en canvi, empren dues claus diferents per al xifratge i el desxifratge de les dades. El el cas anterior del correu electr�nic, el remitent empraria la clau p�blica del destinatari per xifrar el missatge, i el destinatari desxifraria el missatge amb la seva pr�pia clau privada. Aix� doncs, la clau privada no ha de ser accessible per a ning� que no en sigui el propietari, mentre que la clau p�blica, pot ser entregada a qualsevol persona. En un sistema de xifratge ben implementat, la clau privada no es pot obtenir a partir de la clau p�blica.
El punt crucial de tot aquest sistema �s que la clau privada
ha de mantenir-se en secret i nom�s el seu propietari hi ha de tenir
acc�s. NO ENVIEU AQUESTA CLAU A TRAV�S D'INTERNET. De la mateixa
manera �s molt perill�s utilitzar GnuPG a trav�s de telnet
(considereu la possibilitat de no emprar mai telnet degut als riscos
de seguretat importants que presenta).
El concepte de signatura digital es basa en la verificaci� de l'autoria d'un missatge. Aix� vol dir que el destinatari d'un missatge pot comprovar que el �suposat� remitent �s qui diu que �s. Per fer-ho, el remitent, una vegada ha escrit el missatge, el signa emprant la seva pr�pia clau privada. El destinatari, una vegada ha rebut el missatge, comprovar� l'autenticitat d'aquest, �s a dir, el verificar� emprant la clau p�blica del remitent.
Aquest m�tode �s d'especial utilitat per a reduir els riscos de seguretat en els nostres sistemes (ens podrien enviar un suposat pegat per a un programa, i ser en realitat un virus o un troi�); tamb� podrien enviar-nos informaci� o dades, com provinents d'una font l�cita o fiable. En ambd�s casos, no seria gaire dif�cil falsificar la direcci� i el nom del remitent, per� s� impossible falsificar-ne la signatura digital.
Com ja hem comentat, la verificaci� d'un missatge signat digitalment es duu a terme mitjan�ant l'�s de la clau p�blica del remitent sobre el text del propi missatge. D'aquesta manera no nom�s podem verificat la identitat de l'autor, sin� que tamb� podem comprovar la integritat del missatge, ja que la signatura digital ha estat generada amb el text i la clau privada. Aix� doncs, una alteraci� o modificaci� del text �a posteriori�, o qualsevol manipulaci� del missatge (especialment si fem �s de les especificacions MIME/PGP), donaria com a resultat un error en la verificaci�.
Un punt feble dels algoritmes de clau asim�trica �s la transmissi� de les claus p�bliques. Un intr�s podria posar en circulaci� una clau p�blica amb un identificador d'usuari fals. Si es xifren missatges amb aquesta clau, l'intr�s podria desxifrar i llegir els missatges. Si llavors l'intr�s el xifr�s amb la clau p�blica aut�ntica de l'usuari i li pass�s, aquest atac no seria perceptible.
La soluci� de PGP (i per tant la soluci� de GnuPG) �s la
signatura de les claus. La clau p�blica d'un usuari pot estar
signada per altres usuaris. L'objectiu d'aquestes signatures �s
que l'usuari que signa reconeix que l'UID (identificador d'usuari) de
la clau signada pertany a l'usuari a qui diu que pertany. A partir
d'aqu� �s responsabilitat de l'usuari de GnuPG decidir fins a
quin punt es refia de la signatura. Una clau es pot consiferar fiable
que es confia en el remitent i se sap amb seguretat que la clau
signant pertany a aquella persona. Nom�s quan es pot confiar plenament
en la clau del signant, es pot confiar en la clau a la que signa (i en
les signatures generades amb aquesta clau). Per tenir la seguretat que
la clau �s correcta, s'ha de comparar amb la seva empremta
digital mitjan�ant un mitj� de canal fiable. Per exemple, podr�em
buscar el seu tel�fon a la guia i trucar-lo, demanant-li que ens
digues l'empremta digital a viva veu per tal de poder-li donar
confian�a absoluta.
Si el que es vol �s mantenir la confidencialitat de les dades
que es posseixen, no n'hi ha prou amb determinar quin algoritme de
xifratge cal emprar; �s necessari tamb� pensar amb la seguretat general
del sistema. En principi, PGP est� considerat com suficientment
segur, i fins aquest moment, no se sap de cap cas en el que una clau
PGP hagi estat trencada. Aix� no vol dir que tot el que s'ha xifrat
sigui segur. Per exemple, si la NSA (l'Ag�ncia de Seguretat Nacional
dels EUA) hagu�s aconseguit trencar una clau PGP d'alguna manera,
probablement no ho farien p�blic. Per�, encara que les claus de PGP
fossin absolutament impossibles de trencar, hi ha d'altres tipus
d'atacs que poden ser utilitzats per trencar-ne la seguretat. A
principis de febrer de 1999, es va descobrir un troi� que cercava
claus privades de PGP en el disc dur i els transferia mitjan�ant FTP.
Si s'hagu�s escollit una contrasenya feble, un atacant podria haver
obtingut f�cilment les claus privades.
Una altra possibilitat t�cnica (encara que m�s dif�cil) �s la d'un troi� que recoll�s tot el que s'escriu pel teclat i ho transmet�s a l'atacant. Tamb� �s possible, encara que dif�cil, passar el contingut d'una pantalla a una altra. En aquest cas, no caldria fer cap an�lisi de les dades xifrades, ja que es tindria acc�s a les dades abans de xifrar.
Per tot aix�, �s necessari una planificaci� de la seguretat que estigui ben prevista i que en minimitzi els perills.
La idea no �s crear una atmosfera de paranoia entre la gent, sin� deixar clar que per tenir un sistema segur no n'hi ha prou amb instal�lar un programa criptogr�fic, ja que, si b� �s un pas cap a un sistema m�s segur, no �s la soluci� completa. Troians com els que aparegueren el mar� del 1999 amb el virus Melissa van demostrar que moltes empreses no estan preparades pel que fa a la seguretat.