Klassieke encryptie methoden gebruiken slechts een (1) sleutel voor de encryptie. De verzender versleutelt de boodschap met deze ene sleutel. Om de boodschap weer te ontsleutelen heeft de ontvanger de zelfde sleutel nodig. De sleutel moet dan op een dusdanige wijze aan de ontvanger zijn gegeven dat anderen niet de gelegenheid hebben gehad om de sleutel te pakken te krijgen. Als een derde partij ook de sleutel heeft, is deze methode van encryptie onbruikbaar.
Dit probleem wordt opgelost door het gebruik van Publieke Sleutels. In het Publieke Sleutel concept worden twee sleutels gebruikt. Een sleutel is de Publieke Sleutel die op allerlei manieren verspreid wordt en die iedereen in zijn bezit mag hebben. De andere sleutel is de Prive Sleutel. Deze sleutel is geheim en mag niet verspreid worden. Alleen de eigenaar is in het bezit van de Prive Sleutel. In een goed ontworpen encryptie systeem kan de geheime sleutel niet van de publieke sleutel afgeleid worden. De verzender versleutelt nu de boodschap met de publieke sleutel van de ontvanger. Het ontsleutelen is dan alleen mogelijk met de gehieme sleutel van de ontvanger.
Cruciaal in dit concept is dat de geheime sleutel ook werkelijk geheim blijft
en niet in het bezit komt van iemand anders dan de eigenaar van deze sleutel.
JE MAG DEZE SLEUTEL NOOIT OVER HET INTERNET VERSTUREN.
Het is dan ook niet aan te bevelen om GnuPG met een telnet verbinding
te gebruiken.
Om te bewijzen dat een boodschap daadwerkelijk is verzonden door degene die beweert de boodschap verzonden te hebben is het concept van de Digital Handtekening uitgevonden. Zoals de naam suggereert, is een boodschap door de verzender ondertekend met een digitale handtekening. Met deze handtekening kun je de autenticiteit van de boodschap controleren. Hiermee is het risico voor Trojaanse paarden (een boodschap die beweert een oplossing voor een bepaald probleem te beiden maar in werkelijkheid een virus bevat of anderszins schade aanricht) te reduceren. Ook kan geverifieerd worden of informatie van een legitieme bron vandaan komt en als waarheid aangenomen kan worden.
Een digitale handtekening wordt gemaakt door een combinatie van de geheime sleutel en de tekst. De boodschap kan geverifieerd worden met de publieke sleutel van de verzender. Niet alleen wordt gecontroleerd of de verzender correct is, ook de inhoud van de boodschap wordt gecontroleerd. Je bent dan niet alleen zeker van de verzender, maar je ziet ook of de informatie onderweg niet veranderd is.
Een zwak punt in de Publieke Sleutel methoden is de verspreiding van de publieke sleutels. Iemand zou een publieke sleutel met een valse gebruiker identificatie in omloop kunnen brengen. Als een boodschap met deze sleutel gemaakt wordt, dan kan de indringer die boodschap decoderen en lezen. Als de indringer vervolgens de boodschap doorgeeft, versleuteld met de echte publieke sleutel van de bedoelde ontvanger, is deze aanval redelijk onopvallend.
De oplossing in PGP (en daarmee automatisch in GnuPG), bestaat uit het signeren van sleutels. Een publieke sleutel kan gesigneerd worden door andere personen. Een dergelijke handtekening bevestigt dat de sleutel, gebruikt door de UID (Gebruiker Identifikatie) inderdaad toebehoort aan de persoon waar deze beweert aan toe te behoren. Het is dan aan de gebruiker van GnuPG om aan te geven hoever het vertrouwen in die handtekening gaat. Je kunt een sleutel als vertrouwenswaardig beschouwen wanneer je de verzender van de sleutel vertrouwt en zeker weet dat de sleutel inderdaad bij die persoon hoort. Alleen wanneer je de sleutel van de persoon die de sleutel gesigneerd heeft vertrouwt, kun je de handtekening vertrouwen. Om absolute zekerheid te hebben dat een sleutel correct is, moet je de 'fingerprint' via een betrouwbare weg controleren voordat je een sleutel als vertrouwenswaardig beschouwt.
Wanneer je informatie vertrouwelijk wilt houden is er meer nodig dan alleen een versleutel algoritme te kiezen. Je moet dan ook nadenken over de systeem beveiliging in het algemeen. Over het algemeen is PGP als veilig te beschouwen en op dit moment zijn er geen incidenten bekend van het kraken van PGP. Dat betekent echter niet dat alle versleuteling absoluut veilig is ( de NSA, bij voorbeeld, zal het niet aan de grote klok hangen als ze op een of andere manier PGP gekraakt hebben). Maar ook al zou PGP volledig onkraakbaar zijn, dan zijn er nog andere methoden denkbaar om de beveiliging te doorbreken. In februari 1999 is er een Trojaans paard gevonden wat zocht naar geheime PGP sleutels op de harddisk en ze met FTP weg stuurde. Als de wachtwoorden onhandig gekozen zijn, kan een geheime sleutel vrij eenvoudig achterhaald worden.
Een andere technische mogelijkheid is een Trojaans paard dat toetsaanslagen doorstuurt. Ook is het mogelijk, alhoewel zeer moeilijk, om de inhoud van het beeldscherm door te geven aan iemand die afluistert. Het is dan niet eens nodig om gecodeerde boodschappen te kraken. Tegen al deze risico's is het nodig om een goed beveiligingsplan te hebben en ook uit te voeren.
Het is niet de bedoeling om onrust te zaaien, maar wel om duidelijk te maken dat er veel moet gebeuren om een goede beveiliging van gegevens te realizeren. Het is belangrijk om op te merken dat encryptie slechts een enkele stap is om de beveiliging te verhogen maar niet de totale oplossing kan vormen. Trojaanse paarden zoals die verschenen met het Melissa virus in maart 1999 bewezen dat veel bedrijven daar niet op voorbereid zijn.