GPG.

Funciones bsicas

1. Generar un par de claves. 2. Intercambiar y comprobar autenticidad de claves. 3. Cifrar y descifrar documentos. 4. Firmar documentos. 5. Verificar firmas digitales.

Filosofa GPG

Uso de par de claves pblica/privada.

Libre distribucin de la clave pblica a los emisores. Mantenimiento en secreto de la clave privada. Los mensajes son cifrados usando la clave pblica del receptor. (Previamente conocida) Los mensajes son descifrados por el receptor haciendo uso de la clave privada.

Filosofa GPG

Las claves pblica y privada tienen un papel diferente en el cifrado y descifrado de documentos.
Clave pblica es como una caja fuerte de seguridad.

Un remitente cifra un documento usando una clave pblica.

El documento se pone en la caja fuerte, la caja se cierra, y la combinacin de sta se gira varias veces.

Filosofa GPG

La parte correspondiente a la clave privada, es la combinacin que puede volver a abrir la caja y retirar el documento. Dicho de otro modo, slo la persona que posee la clave privada puede recuperar un documento cifrado usando la clave pblica asociada al cifrado.

Filosofa GPG

Cifrado ----------------> Clave pblica Descifrado ----------------> Clave pblica + Clave privada
Combinacin privada DXXXW$%FERDSA

Combinacin pblica XCR$%&DDDAS

Para descifrar el mensaje habr que usar la combinacin completa, es decir, la clave pblica y la privada.

Generacin de claves

Comando: gpg gen-key

Tipo de clave: DSA y ElGamal

Tamao de clave: 2048. A mayor tamao, mayor resistencia a ataques, pero mayor tiempo para el encriptado y desencriptado de mensajes.
Caducidad de la clave. Normalmente sin caducidad. Si las claves caducan hay que tener cuidado, pues los emisores debern conocer cuando una clave es vlida y cuando ha caducado.

Generacin de claves

Identificador de usuario para la clave. Se construye a partir del nombre, direccin y comentario.
Contrasea para proteger la clave privada: hay que introducir una contrasea y repetirla.

Lo siguiente es generar un certificado de revocacin para cuando sea necesario hacer uso de l.

Certificado de revocacin

Si el receptor perdiese su clave privada o esta estuviese comprometida, habr que revocar la clave pblica que distribuy a los emisores.
El certificado de revocacin debera llegar a los emisores.

A partir de ese momento, la clave pblica revocada ya no podr ser usada para cifrar mensajes. Aquellos mensajes que fueron cifrado antes de la revocacin s podrn ser descifrados (si el receptor aun posee la clave privada).

Certificado de revocacin

Gpg output fichero_salida --gen-revoke id_Clave_publica

Este certificado queda almacenado en el fichero revoke.asc o en el que hayamos indicado. Lo ideal es imprimirlo y guardarlo para evitar que alguien pueda revocar nuestra clave pblica.

Exportar claves

Para poder enviar una clave pblica a un usuario, primero hay que exportarla.
Gpg --output id_clave --export direccin_elec La clave se exporta en formato binario. Gpg --armor --output id_clave --export direccin_elec La clave se exporta en formato ascii con armadura (ms seguro). Se genera un fichero con el nombre del id de la clave, ese fichero es la clave exportada.

Importar una clave pblica

Para importar una clave pblica al anillo (fichero) de claves pblicas:

gpg --import id_clave_a_importar Previamente necesitamos tener el archivo que se genera tras exportar la clave que queremos importar. Un usuario genera su clave y la exporta, nosotros copiamos el fichero y lo importamos.

Importar una clave pblica

Una vez importada, la clave debe ser validada.

1. Verificacin de la huella digital de la clave. 2. Firmar la clave para certificar su validez.

gpg --edit-key id_Clave

fpr
Aparece una ristra tal que: XXXX XXXX XXXX XXXX Esa es la huella digital de la clave.

Importar una clave pblica

La huella digital se comprueba con el propietario de la clave ya se en persona o por telfono.

Si la huella digital que se obtiene por medio del propietario es la misma que la que se obtiene de la clave, entonces se puede estar seguro de que se est en posesin de una copia correcta de la clave. Despus de comprobar la huella, se firma la clave para validarla. sign

Importar una clave pblica

Una vez firmada, podemos obtener un listado de las firmas que lleva dicha clave.
Command> check

Cifrar y descifrar documentos

Si el usuario A desea enviar un mensaje cifrado al usuario B, usar para cifrar el mensaje la clave pblica del usuario B.
Posteriormente, el usuario B, haciendo uso de su clave privada, podr descifrar el mensaje cifrado que el usuario A le envi. Para cifrar un documento se usa la opcin --e.
Gpg -e -r direccin_correo_propietario_clave_publica nombre_archivo

El usuario debe tener las claves pblicas de los pretendidos destinatarios.

Cifrar y descifrar documentos

El programa espera recibir como entrada el nombre del documento que se desea cifrar.
El resultado cifrado se coloca donde se haya especificado mediante la opcin --output. El documento, aparte de ser cifrado, es comprimido, aumentando de este modo la seguridad e integridad de la informacin.

Cifrar y descifrar documentos

El documento ahora slo podr ser descifrado con la clave privada asociada a la clave pblica con la que se cifr. Ni siquiera el remitente podr descifrar un documento cifrado por s mismo.

Cifrar y descifrar documentos

Para descifrar un mensaje se usa la opcin -d.

gpg -d archivo_encriptado.gpg > nuevo_nombre

Ser necesario poseer la clave privada para la que el mensaje ha sido cifrado.
gpg --output salida --decrypt documento_cifrado

Prctica

AyB B
B A A

Generacin de claves. Exportacin de clave pblica.

Envo de fichero de clave exportada. Importacin de clave pblica recibida Validacin de la clave.

Verificacin de la huella digital. Firma de la clave.

Prctica

A Encriptacin de un documento con la clave pblica de B.

A B Enva el documento encriptado a B. Recibe el documento encriptado.

B Desencripta el documento que A le ha enviado.

Prctica

Todos generamos un par de claves pblica/privada.

Todos exportamos nuestra clave pblica. (clavepublica_nuestronombre). Enviamos nuestra clave pblica exportada (fichero) a nuestro compaero de la derecha. Todos creamos un documento (gedit), le llamaremos nuestronombre_original.

Encriptamos el documento con la clave pblica recibida.

Prctica

Enviamos el documento a nuestro compaero de la izquierda y de la derecha.

Intentamos desencriptar los dos documentos recibidos. Qu ocurre?