PDF de programación - Taller de Criptografía

Taller de Criptografía

http://www.death-master.tk/

Taller de
Criptografía

Autor:

Death Master

Death Master, 2005 (GFDL)

Página 1

Taller de Criptografía

http://www.death-master.tk/

Introducción

“El que confía sus secretos a otro hombre se hace esclavo de él.”

Baltasar Gracián

Bienvenidos una vez más al Taller de Criptografía, que por fin es libre.

Este texto es una recopilación de los cinco capítulos que componen el “Taller de Criptografía”, de los cuales
los cuatro primeros fueron publicados en la revista “PC Paso a Paso: Los Cuadernos de Hack X Crack” en
los números 27, 28, 29 y 30 respectivamente. El quinto capítulo tenía prevista su publicación en el número
31, pero debido a problemas económicos, la revista dejó de editarse y dicho capítulo nunca llegó a ver la
luz... hasta ahora.

En el tiempo transcurrido desde su publicación, muchos de los datos (sobre todo en lo que a versiones de
software se refiere) del presente documento han quedado desfasados. Aún así, he querido publicarlo
exactamente igual a como fue editado en la revista, para que quede constancia exacta de lo que fue este
Taller de Criptografía. Espero que sepáis comprender y perdonar esos pequeños fallos.

Quisiera dedicar este texto a todos los compañeros y compañeras que, gracias a los foros de Hack X Crack,
kurin,
pude conocer:
LorD_Darkness, moebius, Moleman, neofito, NeTTinG, oderty, okahei, Pintxo, Popolous, Storm666,
TaU (gracias por la imagen de la portada :-D), TuXeD, Vic_Thor, Yorkshire, zurg... y a todos los usuarios
del foro. Muchas gracias a todos vosotros por todo lo que me habéis enseñado.

el_chaman,

Grullanetx,

FIFINA,

AnFe,

CrashCool,

DiSTuRB,

Kado,

También quiero dedicárselo a una persona muy especial para mí: mi novia Laura. Gracias... por todo.

Death Master

Índice de contenidos

Introducción........................................................................................................................................2
Índice de contenidos..................................................................................................................2
El sistema PGP.................................................................................................................................3
GnuPG.....................................................................................................................................................27
Criptografía y correo electrónico................................................................................43
OpenPGP de andar por casa...........................................................................................63
Blindando el disco duro.......................................................................................................85
Distribución de este documento...............................................................................112
Licencia................................................................................................................................................113

Death Master, 2005 (GFDL)

Página 2

Taller de Criptografía

http://www.death-master.tk/

(Publicado en “PC Paso a Paso: Los cuadernos de Hack X Crack” número 27, 14 de Febrero de 2005)

1.- El sistema PGP

Bienvenidos al Taller de Criptografía. Si habéis seguido la revista de forma regular, recordaréis sin duda
artículos como el de envenenamiento de caché ARP de moebius, el de sniffers del número anterior y
muchos otros que, de una u otra forma, nos han recordado lo precaria que es la seguridad de nuestros
datos, especialmente en el ámbito de redes locales: cualquiera con unos mínimos conocimientos técnicos y
un poco de paciencia puede leer nuestros correos como si tal cosa, robar contraseñas... Por supuesto, todo
esto puede evitarse con un diseño de red (tanto de política como de componentes físicos y su diseño lógico)
adecuado... pero siempre depende de “otros” (a no ser que seamos el administrador de esa red, claro) y hoy
en día accedemos a muchos datos sensibles a través de Internet y esas conexiones se realizan desde
muchos sitios, no solamente desde nuestra casa. ¿Qué podemos hacer como simples usuarios desde
nuestro terminal? Por supuesto, echar mano de la criptografía.

¿Qué es lo que hace de la criptografía un método de protección de nuestra información tan bueno? Aunque
la respuesta a esta pregunta tan sencilla es muy compleja... pero podemos extraer una primera idea muy
importante: la criptografía se sirve de la infraestructura lógica y física que los ordenadores nos brindan para
proteger la información en sí. Otros métodos (IDS, Firewalls, diseños de red...) se basan en modificar de
una u otra forma esa misma infraestructura, pero dejando la información inalterada. El principal problema de
esta segunda opción es que resulta técnicamente más costosa, y que una vez encontremos una debilidad
en estos sistemas de protección, la información estará igual de expuesta que si no existieran. Al cifrar
nuestros datos, estamos usando un método de protección de la información en sí, que es matemáticamente
muy complejo y poderoso, pero que de cara al usuario es transparente y sencillo de usar.

En este Taller de Criptografía iremos viendo poco a poco cómo manejar este poderoso recurso que es la
criptografía, y aprenderemos a incorporar sus funcionalidades a nuestras tareas cotidianas con el
ordenador. La forma en que aprenderemos todo esto será eminentemente práctica, donde no faltarán las
explicaciones técnicas, por supuesto, pero intentaremos que éstas aparezcan cuando sea necesario para la
comprensión de nuestras prácticas... y por supuesto, paso a paso. ;-)

Codificar o cifrar, esa es la cuestión

Un concepto muy importante que genera confusión y que conviene aclarar desde el principio es la diferencia
entre codificación y encriptación o cifrado. El hecho de codificar una información supone transformar esa
información a una representación equivalente, de forma que el significado de la información en su
representación original y en su representación transformada sea el mismo. El proceso inverso de la
codificación es la decodificación y puede realizarse de forma directa y transparente. Ambos procesos
pueden ser descritos mediante algoritmos (que generalmente suelen ser públicos o conocidos) de forma que
cualquier persona pueda transformar una información en sus distintas representaciones.

Entendemos por algoritmo una descripción precisa de una sucesión de instrucciones que permiten
llevar a cabo un trabajo en un número finito de pasos.

Cuando hablamos de cifrado, nos referimos igualmente a una transformación que tiene por fin generar una
representación equivalente de la información, pero con una gran diferencia: en el proceso o algoritmo de
cifrado interviene un elemento llamado clave (del que más adelante hablaremos) y que resulta
imprescindible para poder realizar el proceso de cifrado, descifrado o ambos. De esta forma, una
información cifrada no puede ser reconstruida si no se conoce, además del algoritmo, la clave (o claves)
criptográficas que protegen la información.

Imaginemos que tenemos un texto escrito en castellano con todos sus caracteres en minúscula. Si nosotros
decidimos, en un alarde de creatividad (:-P), escribir de nuevo ese texto pero con todos sus caracteres en
letras mayúsculas, habríamos realizado una codificación del mismo en mayúsculas. Cualquier persona que
conozca el alfabeto, aunque fuera incapaz de entender lo que dice, sería capaz de decodificarla de nuevo a
minúsculas.

Death Master, 2005 (GFDL)

Página 3

Taller de Criptografía

http://www.death-master.tk/

Ahora imaginemos que ese mismo texto lo traducimos a algún otro idioma, por ejemplo a francés. En este
caso la transformación de la información la realizamos a través de un diccionario castellano-francés, que
actuaría como clave, y obtenemos un texto cifrado en francés. Si alguien quisiera recuperar la información
original en castellano, necesitaría un diccionario francés-castellano para descifrar la información.

Ya, ya sé que si hablas francés y castellano no necesitas diccionario, se trata únicamente de un ejemplo
para que entendamos de forma intuitiva la diferencia entre codificar y cifrar.

Cuando hablamos de criptosistemas informáticos, nos referimos al texto original (el texto “legible”)
como texto en claro. El texto una vez cifrado se denomina criptograma.
El proceso para convertir texto en claro a criptograma es lo que conocemos como cifrado o
encriptación, y el proceso que convierte criptogramas en textos en claro lo llamamos descifrado o
desencriptación.

Pretty Good Privacy

Echemos la vista atrás, concretamente al año 1991 en Estados Unidos. El “boom” informático estaba en
pleno apogeo, los nuevos y potentes (por aquel entonces, claro) 80486DX de 32 bits y con caché de nivel 1
incorporada llevaron a los ordenadores personales una potencia hasta entonces desconocida, y posibilitaron
que cierto tipo de aplicaciones que hasta entonces no habían llegado al mercado doméstico lo hicieran. Uno
de ellos la criptografía.

Cuando los rumores sobre posibles leyes para prohibir la criptografía comenzaban circular, un programador
llamado Philip Zimmermann programó un software gratuito que mezclaba los mejores algoritmos de cada
tipo (más adelante hablaremos sobre esto) y permitía a cualquiera con un ordenador personal hacer uso de
una criptografía muy poderosa, equiparable a la de cualquier gobierno. Éste programa se llamó PGP,
acrónimo de Pretty Good Privacy, y hoy en día sigue siendo el referente en su campo.

La historia de PGP es muy curiosa, y os animo a leer más sobre ella... aunque éste no es el sitio. Estoy
seguro que google os puede echar una mano. ;-)

En esta primera parte d