|
|
|
Hola a todos.
Esto viene a cuento para todos aquellos que usáis o pensáis usar PGP para obtener seguridad en el correo electrónico.
PGP proporciona dos utilidades básicas.
- - permite firmar digitalmente un mensaje
- - permite cifrar un mensaje
PGP es un sistema de cifrado de clave pública. Cada usuario tiene dos claves: una pública que debe difundir ampliamente (por eso es pública) y una privada que debe mantener en secreto pues en caso contrario se compromete la seguridad. La clave pública nos permitirá comprobar las firmas digitales del remitente y devolverle mensajes cifrados.
Las funciones de las claves son inversas y el conocer una de ellas no permite saber cual es la inversa. La seguridad de las claves está fundamentada en la dificultad que existe en la factorización de números primos enormes (la longitud de la clave).
Cuando un usuario crea un mensaje lo firma con su clave "Pública". Esto no significa nada más que utilizando su clave aplica un algoritmo "HASH" (el SHA 1, "Secure Hash Algoritm" 1 o el MD5, "Message Digest" 5) que aplicado repetidas veces sobre el mensaje lo revuelve de forma impredicible por lo que no es posible alterar el mismo, pues de cambiar un solo bit el resultado bubiera sido otro. Al llegar a su destino el destinatario aplica al mensaje el mismo algoritmo Hash, si obtiene el mismo resultado significa que el mensaje no ha sido alterado.
La otra función que permite PGP es el cifrado de los mensajes. Para cifrar un mensaje se utiliza la clave pública del destinatario. Una vez aplicada solamente la aplicación de la clave inversa (la privada) permitira obener el tecto en claro, ni siquiera el autor del mensaje puede verlo, es por eso que una de las opciones que PGP utiliza por defecto "es cifrar para la clave por defecto" para que el autor puedes descifrar los mensajes cifrados.
Y a todo esto, ¿como obtenemos la clave pública de una persona?
Pues de muchas formas:
Habitualmente un usuario publicita su clave pública, por ejemplo, Antonio Caravantes la tiene instalada en su web, otras personas te la enviarán si se la pides como texto plano, etc. Pero el mejor sitio para obtenerla es un servidor de claves, como:
www.rediris.es/keyserver
http://pgp.rediris.es:11371/
que son dos direcciones del mismo servidor.
Proporcionando en dicha página los datos que sepamos obtenemos una, varias o muchas claves que concuerdan con la petición.
La vigencia de una clave PGP puede ser ilimitada por lo que la vida de su creador puede haber dado muchas vueltas y habrá cambiado de dirección de correo varias veces (nunca de nombre) y es muy probable que la que obtengamos no parezca ser la que necesitamos.
La búsqueda en los servidores puede ser muy exacta, veremos algunos ejemplos
Si ponemos como cadena de búsqueda sebascuesta@yahoo.es que es mi dirección de correo electrónico no obtenemos nada, sin embargo yo siempre digo que uso PGP y que busques mi clave pública en los servidores. Creo que con la información aportada se me puede encontrar. Veamos como:
Ponemos como cadena de búsqueda "Antonio Caravantes" y el keyserver responde:
Una con dos identificadores de usuario (C9CBE06B) y la otra con uno solo. Si probáis a importar las claves a vuestro PGP veréis que la clave que usa Antonio está firmada por cinco personas (es una persona relativamente conocida). La otra, que es un poco más vieja no está firmada por nadie, debe ser una clave que no usa y que utilizaría en su momento para pruebas. Si verificáis cualquiera de sus mensajes os indicará que está firmada con la clave 0xC9CBE06B: ya tenemos la clave de Antonio.
Entonces, si tenemos el cúmero de clave que utiliza, ¿por qué no lo utilizamos para buscar dicha clave en los servidores? esa es una buena idea:
ponemos en la cadena de búsqueda del Keyserver el siguiente número: 0x8F2E53F8 que lo publicito en mis mensajes PGP o en la firma de los mensajes (en los mensajes que llevan firma):
Obtenemos una clave a nombre de Sebastián Cuesta con dos identificadores curiosos:
cuesta@madrid.com
cuesta@mail.com
que son dos direcciones que ya no utilizo.
Y diréis ¿por qué no están acutalizadas las direcciones? Pues porque PGP no permite eliminar los identificadores, puedes añadir todos los que quiera, pero no puedes eliminar ninguno de un servidor, de tal forma que los identificadores se verían muy liados y no sabrías cual es el bueno.
Pues eso:
para obtener mi clave pública en un servidor:
busca por "sebastian cuesta sanchez"
busca la clave "0x8F2E53F8"
Un saludo a todos.
