PGP y GnuPG
Teoría y práctica.
Francisco Lopera Morlas
<
[email protected]>
31 de diciembre de 2001
Resumen
Las necesidades de protección de la información se han incrementado en gran medida
con la utilización de los ordenadores y las redes de comunicaciones. La criptografía pro-
porciona herramientas que permiten: proteger un documento para que nadie pueda entender
su contenido, comprobar que un programa obtenido por FTP es el original o garantizar que
solo el usuario receptor de un mensaje de correo electrónico pueda leerlo o interpretarlo.
PGP y GnuPG son herramientas disponibles para realizar estas acciones. Trataremos de ex-
plicar cuales fueron los orígenes de este programa, su evolución, sus curiosas licencias y su
funcionamiento.
1
ÍNDICEGENERAL
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3
3
3
3
4
4
5
5
5
6
7
7
8
9
.
.
.
.
.
.
.
.
.
.
.
.
.
11
11
. 11
. 12
. 12
. 13
14
ÍNDICEGENERAL
Índice General
1 PGP.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. .
. .
. .
. .
. .
. .
Introducción.
1.1
1.2 Conceptos.
.
.
1.2.1 Claves asimétricas y claves simétricas. .
.
.
1.2.2 Anillos de confianza.
. .
.
.
1.2.3 Certificación.
. .
.
1.3 Funcionalidad de PGP.
.
. .
.
.
1.3.1 Codificación.
. .
.
1.3.2
.
. .
1.3.3 Armaduras ASCII.
.
. .
.
.
.
1.3.4 Huella digital. .
.
. .
.
1.4 Vulnerabilidades de PGP.
. .
1.5 Versiones.
.
.
.
.
1.6 Principales comandos de PGP.
.
Firmas digitales.
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. .
.
.
2 OpenPGP.
3 GnuPG.
.
.
. .
Introducción.
.
3.1
.
3.2 Funcionalidad de GnuPG. .
.
3.3 Consejos para la generación de claves.
.
3.4 Principales comandos de GnuPG. .
. .
. .
.
.
.
.
.
.
.
.
.
. .
. .
. .
. .
.
.
.
.
.
.
.
.
.
.
.
.
4 Opinión personal.
2
1 PGP.
1 PGP.
1.1 Introducción.
PGP significa Pretty Good Privacy (Privacidad bastante buena) y su desarrollo comenzó a prin-
cipios de los 90 de la mano de Phill Zimmerman. Por aquél entonces no existían herramientas
potentes y baratas de criptografía seria y su autor quiso completar ese hueco.
Phill Zimmerman trabajaba para el Departamento de Defensa de los EEUU. Aunque no era
criptólogo ni matemático, su trabajo estaba muy relacionado con la seguridad informática y se
interesó por la criptología. Al dejar de trabajar para el gobierno fue cuando decidió crear un
sistema de seguridad para el correo electrónico.
Básicamente siguió unos principios fundamentes para su creación:
1. Usar los mejores algoritmos del momento libres de trabas del gobierno.
2. Integrar estos algoritmos en PGP de forma que funcione en cualquier máquina y sobre
cualquier S.O.
3. Instalar en Internet la aplicación PGP, el código fuente y la documentación.
4. Fundar PGP Inc. y ofrecer servicios a precios muy asequibles.
Pretendía acercar la criptografía al usuario medio. La repuesta del gobierno no se hizo esperar
y Phill fue denunciado por el FBI acusándole de proporcionar herramientas de comunicación se-
guras a delincuentes1. También fue denunciado por utilizar el algoritmo RSA. Phill ganó ambos
juicios, si bien tuvo que ceder en algunas imposiciones legales en cuanto al RSA.
Con el paso del tiempo, PGP se ha convertido en un estándar2 usado en el correo electrónico,
usado en grandes empresas y sobre todo, por los pequeños usuarios. Los motivos son muy
conocidos: hasta principios del 2001 la distribución de PGP permitió su uso gratuito para fines
no comerciales y publicó su código fuente, ganándose la confianza de los usuarios. Cuando Pill
abandonó la empresa en febrero del 2001, el código fuente se dejó de publicar.
PGP es un producto estándar internacional y no solo tiene aplicación en correo electrónico,
se pueden codificar particiones enteras de disco duro (PGPDISK) y codificación automática de
toda la red TCP/IP (PGPNET).
1.2 Conceptos.
1.2.1 Claves asimétricas y claves simétricas.
PGP trabaja con criptografía asimétrica y simétrica. Para poder entender mejor el sistema de
codificación usado por los sistemas de claves asimetrícas, veamos cuales son sus diferencias
respecto a los sistemas de claves simétricas.
1La frase que empleó fué genial: Si la privacidad está fuera de la ley, sólo los delicuentes gozaran de la
privacidad.
2Apoyado en el RFC 1991 del IETF
3
1 PGP.
1.2 Conceptos.
1. Los sistemas de cifrado con clave simétrica son aquellos en los que la clave se usa para
cifrar datos es la misma que se usa para descifrar. Es decir, en el caso del correo electrónico
el remitente cifraría con una clave secreta y el receptor deberá descifrar con la misma clave
secreta. Se ve con claridad que el mayor inconveniente es pasar esa clave de un modo
seguro al receptor. No obstante, los algoritmos simétricos son mucho más rápidos que los
asimétricos.
2. Los sistemas de cifrado con claves asimétricas usan claves diferentes para cifrar y pos-
teriormente descifrar los datos. El remitente cifra con la clave pública del receptor y el
receptor descifra usando su propia clave privada. Para que el sistema tenga algún tipo de
validez, nadie debe conocer su clave privada mientras que la clave pública puede ser libre-
mente distribuida. Si el sistema está bien implementado, la clave privada no debe derivar
nunca de la pública.
PGP puede generar un par de claves pública y privada. La clave pública deberá distribuirse
(existen diversos métodos, como más adelante se verá) mientras que la clave privada se guarda
en un lugar seguro y accesible solo a su dueño.
1.2.2 Anillos de confianza.
Cada clave se almacena en unas estructuras llamadas anillos. Cada usuario tendrá dos anillos,
cada una en un fichero, uno para claves públicas (PUBRING.PKR) y otra para claves privadas
(SECRING.SKR).
Uno de los puntos flacos en los algoritmos de clave asimétrica es la transmisión del código
público. Se puede poner en circulación código con un identificador de usuario (UID) falso. Si se
codifican los mensajes con este código, el usuario falso puede descodificarlos y leerlos.
La solución que ofrece PGP es la siguiente: la clave pública de un usuario puede estar firmada
con las claves de otros usuarios, con objetivo de reconocer que el UID de la clave pertenece al
usuario a quien dice pertenecer. A partir de ahí, cada usuario tendrá que decidir hasta que punto
se podrá fiar de la firma (dependiendo de si se sabe con seguridad de que dicha clave le pertenece).
En definitiva, se basa un poco en el tópico “To el mundo e bueno”.
Para identificar que una clave es cierta se puede preguntar por un medio seguro la huella
digital de esa clave (ver 1.3.4).
1.2.3 Certificación.
El problema anterior se puede solventar empleando a terceros (autoridades certificadoras) cuya
función es extender certificados de claves firmados con su propia clave pública. PGP no delega
responsabilidad de certificación a autoridades de certificación externa, sino que es el mismo
usuario el que según su criterio, se encarga de la certificación. Existen servidores de claves
públicas cuyo objetivo es distribuir las claves públicas, pero sin ningún tipo de responsabilidad
de certificación. Un ejemplo se puede encontrar en pgp.rediris.es http://www.rediris.
es/cert/servicios/keyserver/
4
1 PGP.
1.3 FuncionalidaddePGP.
1.3 Funcionalidad de PGP.
Como se ha dicho, el principal cometido de PGP es ser un método criptográfico fiable para su
uso con el correo electrónico. Podemos decir que en general, ofrece tres tipos de servicios:
1. Privacidad: PGP permite cifrar ficheros utilizando cifrado asimétrico. También permite
opcionalmente el cifrado simétrico.
2. Autentificación: al firmar con una clave privada podemos estar seguros de que es posible
verificar quien es el autor.
3. Integridad: a través de la firma digital se puede comprobar que fichero o mensaje ha sido
modificado.
1.3.1 Codificación.
PGP cifra primero el mensaje empleando un algoritmo simétrico (ver 1.2.1) con una clave de
sesión (generada aleatoriamente) y después codifica la clave empleando la llave pública del re-
ceptor del mensaje. Esta clave se obtiene del anillo de claves públicas usando el identificador del
usuario al que queremos mandar el mensaje.
Cuando se trata de decodificar el mensaje, PGP busca la cabecera de las claves públicas con
las que está codificado y nos pide la contraseña de acceso a la clave privada. Si la contraseña es
correcta, descifrará el mensaje. La contraseña es una medida de seguridad adicional. En caso
de que nuestro anillo de claves privadas fuera accesible para un intruso, este aún tendría que
averiguar la contraseña.
PGP depende de la calidad del generador de números aleatorios para calcular las claves, por
que si alguien predice la secuencia de claves que estamos usando, podrá descifrar todos nuestros
mensajes. PGP usa para evitar un generador de números pseudoaleatorios muy seguro.
Para garantizar la compatibilidad se emplea un sistema para mapear los símbolos de 8 bits
en palabras de 7 bits. Esto es necesario, ya que existen gestores de correo que solo entienden
caracteres de 7 bits. El sistema utilizado por PGP es el algoritmo es el RADIX-64 que incrementa
el tamaño del mensaje en un 33 %. Para reducirlo, PGP emplea el algoritmo de compresión ZIP.
Otra restricción propia del correo electrónico es la cantidad de caracteres por mensaje. PGP
permite segmentación del mensaje al enviar y reems
Crear cuenta
Comentarios de: PGP y GnuPG - Teoría y práctica (0)
No hay comentarios