PGP est une combinaison des fonctionnalités de la cryptographie de clé publique et de la cryptographie symétrique. PGP est appelé un système de cryptographie hybride. Lorsqu'un utilisateur chiffre du texte en clair avec PGP, ces données sont d'abord compressées. Cette compression des données permet de réduire le temps de transmission par modem, d'économiser l'espace disque et, surtout, de renforcer la sécurité cryptographique. La plupart des cryptanalystes exploitent les modèles trouvés dans le texte en clair pour casser le chiffrement. La compression réduit ces modèles dans le texte en clair, améliorant par conséquent considérablement la résistance à la cryptanalyse. Toutefois, la compression est impossible sur les fichiers de taille insuffisante ou supportant mal ce processus.
PGP crée ensuite une clé de session qui est une clé secrète à usage unique. Cette clé correspond à un nombre aléatoire, généré par les déplacements aléatoires de la souris et les séquences de frappes de touches. Pour chiffrer le texte en clair, cette clé de session utilise un algorithme de chiffrement symétrique rapide et sécurisé. Une fois les données chiffrées, la clé de session est chiffrée à l’aide de la clé publique du destinataire. Cette clé de session chiffrée par la clé publique est transmise avec le texte chiffré au destinataire.
Le fonctionnement du chiffrement PGP peut être résumé par le schéma suivant :
Figure 47 : Chiffrement PGP
Le processus de déchiffrement est inverse. La copie de PGP du destinataire utilise sa clé privée pour récupérer la clé de session temporaire qui permettra ensuite de déchiffrer le texte chiffré de manière symétrique.
Le fonctionnement du déchiffrement PGP peut être résumé par le schéma suivant :
Figure 48 : Déchiffrement PGP
Ces deux méthodes de chiffrement associent la facilité d'utilisation du chiffrement de clé publique à la vitesse du chiffrement symétrique. Le chiffrement conventionnel est environ 1 000 fois plus rapide que le chiffrement de clé publique. De plus, le chiffrement de clé publique résout non seulement le problème de la distribution des clés, mais également de la transmission des données. Utilisées conjointement, ces deux méthodes améliorent la performance et la distribution des clés, sans pour autant compromettre la sécurité.