Introducci\xF3n a OpenPGP

Hace 25 a\xF1os toda encriptaci\xF3n estaba basada en alguna forma de clave secreta compartida - como todas las partes que utilizaban esta encriptaci\xF3n deb\xEDan tener la misma clave para desencriptar el c\xF3digo pod\xEDa romperse haci\xE9ndose con una de estas claves.

Entonces apareci\xF3 el concepto de clave p\xFAblica-clave secreta/privada. Resumiendo, una clave p\xFAblica es algo que puedes enviar literalmente a todo el mundo porque s\xF3lo permite encriptar un contenido que luego puede ser desencriptado por la clave secreta. Las claves p\xFAblicas encriptan, las secretas desencriptan.

Tambi\xE9n puedes "firmar" documentos con tu clave secreta, creando un checksum encriptado del contenido del documento que otros pueden verificar con la clave p\xFAblica para asegurarse que realmente el documento ha sido creado por t\xED y que no ha sido modificado.

Cuestiones de Seguridad

El modo m\xE1s sencillo (y m\xE1s utilizado) para "romper" esta encriptaci\xF3n se denomina "Hombre En El Medio", esto es, si una persona A intenta enviar un mensaje a la persona B, una tercera persona, C, puede colocarse entre ambos y hacer creer a la persona A que es B y viceversa. Es un truco sencillo, pero funciona si no se presta atenci\xF3n.

Hay algunas maneras de combatir estos ataques de suplantaci\xF3n. Primero, y el m\xE1s directo, es dar tu clave p\xFAblica de huella digital (fingerprint). Para claves DSA (algoritmo de firma digital) obtenidas mediante GnuPG se trata de un n\xFAmero hexadecimal (base 16) de 40 d\xEDgitos, siendo los 8 \xFAltimos el identificador de la clave (keyid). Aunque podr\xEDa haber varias claves compartiendo la misma huella dactilar, el n\xFAmero de claves que uno tendr\xEDa que generar para encontrar una que coincida es simplemente astron\xF3mico.

La segunda manera, que es utilizada a menudo cuando est\xE1s contactando con esa persona por primera vez, es verificar las firmas de su clave p\xFAblica. Como la firma de archivos, alg\xFAn amigo puede utilizar sus claves secretas para firmar tu clave p\xFAblica. A diferencia de la firma de documentos, sin embargo, las claves de firma no indican propiedad - indican un conocimiento de primera mano de que la clave es de hecho propiedad de la persona que afirma ser el propietario. Si recibes una clave por primera vez y est\xE1 firmada por un amigo, es de esperar que se pueda confiar lo suficiente en el jucio de tu amigo como para confiar en la clave de la nueva persona tambi\xE9n. Si no reconoces ninguna firma en la clave puedes pasar al siguiente paso y comprobar todas las firmas de los firmantes de claves nuevas. Esto se llama una red de confianza. Dado el hecho de que la mayor\xEDa de IMCistas se conocen unos a otros a trav\xE9s de una o dos personas, deber\xEDamos ser capaces de verificar a alguien nuevo a trav\xE9s de contactos con su IMC local o algun otro relacionado con otro IMC que los conozca.

Cada bit que se a\xF1ade a la clave dobla el n\xFAmero de combinaciones posibles. Considerando que la velocidad de los ordenadores se dobla cada 18 meses, har\xE1n falta varias veces tu vida para descifrar una clave de 1024 bits. Ser\xEDa mucho m\xE1s f\xE1cil entrar en tu casa cuando no est\xE9s y copiarse tu clave secreta del disco duro. Es por esto que utilizamos "frases de paso"(passphrases) para encriptar/desencriptar nuestras claves secretas cuando las necesitamos. Si tienes la necesidad de ser realmente precavido, utiliza una "frase de paso" larga, que no sean palabras, alfanum\xE9rica con may\xFAsculas y min\xFAsculas, aleatorias y mant\xE9n tus keyrings en un disco de 3\xBD cuidadosamente escondido en lugar de guardarlo en el disco duro.

Empezando

Si todav\xEDa no lo has hecho, ves a http://www.gnupg.org/ y descarga el software. Desde el shell (Usuarios de Windows: shell = MS-DOS/L\xEDnea de Comandos) y ejecutad el siguiente comando dos veces:

gpg --gen-key

La primera vez deber\xEDa decirte que est\xE1 creando tus keyrings, la segunda vez entrar\xE1 en el men\xFA de generaci\xF3n de claves. Deja las opciones por defecto excepto las de nombre real, email y frase de paso (Passphrase). Puedes poner un tiempo de expiraci\xF3n de un a\xF1o ya que esta es tu primera clave, no hace falta introducir ning\xFAn comentario a no ser que vayas a necesitar m\xE1s de una clave (ie, claves personales/profesionales separadas). Mueve el rat\xF3n aleatoriamente, pulsa tambi\xE9n algunas teclas, etc. se trata de generar un poco de entrop\xEDa - ves haciendo hasta que el programa tenga suficientes datos.

En este punto deber\xEDa haber finalizado la generaci\xF3n de la clave, prueba esto:

gpg --fingerprint

Deber\xEDa mostrarte tu clave junto con su huella y posiblemente alguna informaci\xF3n m\xE1s como subclaves, etc. Ahora, esto es importante, antes de hacer nada m\xE1s coge un DISCO NUEVO y copia todos los archivos con extensi\xF3n gpg (*.gpg) en el disco para tener una copia de seguridad. Con la clave secreta siempre podr\xE1s firmar una nueva clave y generar un certificado de revocaci\xF3n de la vieja, o a\xF1adir una nueva direcci\xF3n de correo (y borrar viejas), pero sin la clave secreta pierdes el control sobre ella hasta que expire.

Ahora toca enviar tu clave a un servidor de claves de IMC. No importa realmente a cual, ya que todos est\xE1n conectados entre ellos, escoge uno de los que est\xE9n pr\xF3ximos a ti y usa ese. Si deja de funcionar utiliza otro. Escribe esto para enviar tu clave al servidor keys.indymedia.org, por ejemplo:

gpg --keyserver keys.indymedia.org --send-key

Al introducir tu huella obtuviste el identificador de clave (keyid), aparece detr\xE1s de 1024D/ y se corresponde tambi\xE9n con los \xFAltimos 8 d\xEDgitos de la huella. Una vez que hayas completado este paso, tu clave estar\xE1 ya disponible para que la utilicen otros usuarios. Puedes recibir claves de amigos o recibir una copia actualizada de tu propia clave que un amigo tuyo haya firmado con el siguiente comando:

gpg --keyserver keys.indymedia.org --recv-key

Para asignar un nivel de confianza a la clave de un amigo (amigo se refiere a alguien que has conocido en persona y has verificado que su clave es leg\xEDtima):

gpg --edit-key

Utiliza entonces el men\xFA para "trust"(confiar) y "sign"(firmar), entonces "save"(guardar). Un \xFAltimo consejo antes de empezar a utilizarla, para evitar tener que escribir --keyserver todo el rato puedes editar el archivo de opciones de GnuPG e indicar all\xED el servidor.

Utilizando la clave

El lugar m\xE1s habitual donde utilizar GnuPG es en tu cliente/programa de correo electr\xF3nico. Mira en la secci\xF3n Frontends de http://www.gnupg.org/ para ver c\xF3mo hacer que funcione con tu aplicaci\xF3n de correo. Por supuesto si utilizas correo est\xE1ndar de web tendr\xE1s que hacerlo de la forma dif\xEDcil, pero siempre puedes pasarte a un servicio de correo de verdad.

Para encriptar algo "manualmente" s\xE1lvalo como archivo de texto y ejecuta en la l\xEDnea de comandos:

gpg --armor --encrypt -r

Una forma alternativa, abreviada, de hacer esto:

gpg -ea -r

[donde -e = --encrypt, -a = --armor y -r = -recipient]

Esto crear\xE1 un fichero nuevo encriptado con extensi\xF3n .asc. Para desencriptar algo encriptado con tu clave (encripta algo con tu propia clave para probar) escribe esto:

gpg --decrypt

o tambi\xE9n,

gpg -d

[aqu\xED -d es la abreviaci\xF3n de --decrypt]

Puedes utilizar la redirecci\xF3n (>, \xF3 --output) para guardar el resultado desencriptado en un archivo en lugar de que salga por la pantalla del shell.

Hay miles de usos m\xE1s, pero dejar\xE9 que te leas el manual que contiene GnuPG para averiguarlos. Que lo pases bien, y no dejes que mi jerga t\xE9cnica te desanime. Realmente es bastante simple de utilizar y los beneficios de su utilizaci\xF3n bien valen el tiempo empleado en aprender a utilizarlo.

Miscel\xE1nea

Para m\xE1s informaci\xF3n, ver la p\xE1gina del grupo de trabajo del KeyServer

Fuente: http://lists.indymedia.org/mailman/public/keyservers/2002-March/000001.html

Translated from GnuPG by elgrillado

-- BertAgaz - 19 Apr 2005