Title: Sobre PGP Post by: alexr_96 on October 15, 2014, 07:36:08 PM Puesto que PGP nada tiene que ver con bitcoin coloco el hilo en esquina libre.
Cuando oyes sobre bitcoin por primera vez tarde o temprano acabas llegando a este foro, cuando llevas algunos días leyendo el foro, no has podido evitar fijarte en que unos cuantos usuarios tienen en su firma un enlace de una cosa que se llama pgp key y cuando pinchas ahí te lleva a una pagina con un montón de caracteres aleatorios con el "titulo" -----BEGIN PGP PUBLIC KEY BLOCK-----. Aquí es cuando crees que PGP funciona por claves de pares (¿Se llama asi?(Publica+Privada)) Luego lees la firma del moderador dserrano5 que dice: "Prefiero recibir MPs cifrados con PGP." en ese momento de lucidez extrema es cuando deduces que pgp es un sistema para cifrar archivos. Entonces decides informarte, buscas en el buscador del foro, pero no sale nada interesante. Decides buscar en google pero todo lo que encuentras sobre pgp esta en ingles, y tu ingles no es el mejor del mundo, como para entender como funciona un programa de criptografía. Esa es mi "historia" sobre PGP y supongo que la de alguno mas, echaba en falta un post sobre esto en esquina libre así que aquí estoy para crearlo. La idea es que los que no sepan de PGP (entre los cuales me incluyo) puedan ser ayudados por lo que si sepan del tema Yo acabe usando el programa Kleopatra de http://www.gpg4win.org/ (uso windows) y aquí les presento alguna de las dudas que tengo: 1-¿GPG,PGP y GnuPG es lo mismo? 2-¿Un certificado se puede modificar? (concretamente el correo electronico) 3-¿Porque la Title: Re: Sobre PGP Post by: dserrano5 on October 15, 2014, 08:18:22 PM Aquí es cuando crees que PGP funciona por claves de pares (¿Se llama asi?(Publica+Privada)) Correcto. Puedes firmar documentos, para que todo el mundo sepa que ese documento es realmente tuyo y no de un impostor. También puedes cifrar documentos, para que nadie excepto el destinatario tenga acceso a ellos. También puedes realizar ambas acciones para que el destinatario del mensaje cifrado y firmado sepa que no viene de un impostor. Para firmar, tú usas tu clave privada y el resto del mundo usa tu clave pública para comprobar la firma. Solo tú puedes firmar, todo el mundo puede comprobar. Para cifrar a un destinatario concreto, usas su pública; él la descifra con su privada. Todo el mundo puede enviar algo cifrado a alguien, solo el destinatario puede descifrar. Luego lees la firma del moderador dserrano5 que dice: "Prefiero recibir MPs cifrados con PGP." No ha entrado ni un solo MP cifrado… ::). 1-¿GPG,PGP y GnuPG es lo mismo? GPG y GnuPG son lo mismo, y son el software libre equivalente a PGP, que no es libre. 2-¿Un certificado se puede modificar? (concretamente el correo electronico) No sé a qué te refieres con "certificado". He visto la terminología en gpg4win pero no le he prestado mucha atención. 3-¿Porque la He arreglado ese errorcillo ;). Porque la mía está firmada por otras personas (véase aquí (http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0x1BCC1A1F280A01F9)), y todas esas firmas están incluidas. Esas firmas significan: "Yo, LuisCar, certifico que la clave pública 280A01F9 corresponde a David Serrano, pues he comprobado personalmente que se trata de él". E igual que LuisCar, lo mismo certifican los demás. Esto es importante porque a mí no me cuesta nada crearme un par de claves y decir que soy alexr_96, y quien no te conozca personalmente puede verse engañado al ver un mensaje que parece ser tuyo, pero realmente es mío, aunque esté firmado, porque yo "soy" alexr_96. Pero con este sistema de quedar en persona y dar fe de la identidad real de alguien, se elimina esta posibilidad. Es decir, si yo ahora recibo un mail firmado por Víctor Escudero, 82C47638, sé que se trata de él porque LuisCar, cuya identidad yo he comprobado personalmente, ha firmado la clave pública de Víctor, lo que significa que ellos también se han visto en persona y este Víctor que me escribe es el de verdad. En cambio, si recibo un mensaje firmado por Satoshi Nakamoto, ¿cuál de ellos (http://pgp.mit.edu:11371/pks/lookup?search=satoshi+nakamoto&op=index) es? ¿Cómo sé que es el auténtico? De acuerdo, hay una clave pública que está firmada por varias personalidades (theymos, Peter Todd, laanwj) pero también está firmada por Dorian Nakamoto! Y me juego el pito a que no se han visto en persona! (edito: probablemente ese Dorian no es el de verdad, es un cualquiera que se creó el par de claves y se puso ese nombre). Todas esas firmas se pueden falsificar, y la única forma real que tengo de saber que es él, es conociéndolo en persona, o conociendo a alguien que lo haya conocido, o conociendo a alguien que conociera a alguien que… Todo este mecanismo se llama web of trust, abreviado WoT, y traducido como red de confianza. Title: Re: Sobre PGP Post by: alexr_96 on October 15, 2014, 09:02:39 PM 2-¿Un certificado se puede modificar? (concretamente el correo electronico) No sé a qué te refieres con "certificado". He visto la terminología en gpg4win pero no le he prestado mucha atención.Para importar tu clave a Kleopatra, tengo que poner tu clave en un archivo .txt, darle al boton de importar certificado y seleccionar el archivo http://i.gyazo.com/7ed59f40c3678985708e107f31d0a72b.png Porque la mía está firmada por otras personas (véase aquí (http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0x1BCC1A1F280A01F9)), y todas esas firmas están incluidas. Otra preguntilla que surge a raíz de esto. La pagina esta que comentas (http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0x1BCC1A1F280A01F9) y que aparece la gente que han firmado tu clave aparecen un montón de emails (aparentemente tuyos) cuando por ejemplo en la de LuisCar (http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0xE4D013905DA12331) solo aparece el suyo, igual que en la mía (http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0x84646C049CE937CD). ¿Entiendo que has tenido varios certificados y los has enlazado de alguna manera? http://i.gyazo.com/79f35d1d7dc30fc341a8ff86e7368789.png y otra cosa, veo que le has puesto fecha de expiración,¿no sera mejor un certificado indefinido? Title: Re: Sobre PGP Post by: dserrano5 on October 16, 2014, 06:57:43 AM No sé a qué te refieres con "certificado". He visto la terminología en gpg4win pero no le he prestado mucha atención. Para importar tu clave a Kleopatra, tengo que poner tu clave en un archivo .txt, darle al boton de importar certificado y seleccionar el archivo Pero con eso importas mi clave pública, no ningún certificado. No sé por qué le llaman así pero bueno, tampoco tengo estudios formales en criptografía. Volviendo a la pregunta original: 2-¿Un certificado se puede modificar? (concretamente el correo electronico) Entiendo que no, claro :P. Nunca he probado a cambiar una letra y ver lo que pasa… :P Otra preguntilla que surge a raíz de esto. La pagina esta que comentas (http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0x1BCC1A1F280A01F9) y que aparece la gente que han firmado tu clave aparecen un montón de emails (aparentemente tuyos) […] ¿Entiendo que has tenido varios certificados y los has enlazado de alguna manera? En la terminología de gnupg se llaman uids, o identificadores de usuario. También se pueden usar para adjuntar una foto tuya: Code: $ gpg --list-keys gmaxwell y otra cosa, veo que le has puesto fecha de expiración,¿no sera mejor un certificado indefinido? No, porque si pierdo el acceso a mi clave privada, la pública se quedaría ahí en los servidores de claves, válida para siempre, y yo no tendría forma de notificar a todos los que se han cogido una copia, principalmente porque ni siquiera sé quiénes son. Todos los años amplío la fecha de expiración y la vuelvo a subir para refrescar el cambio en los servidores. A ti en agosto 2015, cuando fueras a comprobar una firma mía, te saldría un error de que la clave ha expirado y procederías a actualizar mi clave para coger la fecha nueva de expiración. No sé cómo se hace en kleopatra pero con gnupg es pasándole el parámetro --refresh-keys, y ya se encarga de todo: Code: $ gpg --refresh-keys Aquí un mensaje cifrado para que pruebes: Code: -----BEGIN PGP MESSAGE----- Title: Re: Sobre PGP Post by: jaspita on November 19, 2014, 09:25:04 AM Para importar tu clave a Kleopatra, tengo que poner tu clave en un archivo .txt, darle al boton de importar certificado y seleccionar el archivo Alex, no hace falta que crees un archivo txt, cuando tengas la clave pública copiada en el portapapeles , haz click derecho en el icono de Kleopatra abajo a la derecha en la barra de inicio> CLipboard > Import certificate y listo Title: Re: Sobre PGP Post by: LuisCar on November 24, 2014, 09:21:06 PM También puedes importarla desde un servidor de claves mediante la opción "Lookup Certificates on Server" (el icono de los prismáticos), buscando por alguna de sus características; lo típico es el keyID, pero también puedes buscar por nombre o correo electrónico, siempre que hayan subido a algunos de los servidores la clave pública en cuestión.
Title: Re: Sobre PGP Post by: alexr_96 on July 24, 2015, 11:07:49 PM Después de algo de tiempo aprendiendo del tema el mayor problema que le veo a PGP es que la clave privada esta demasiado expuesta, y con que tengas un keylogger en el ordenador ya estas pillado y pueden firmar con tu clave. (Claro que puedes tener un ordenador offline solo para firmar, pero que coñazo, ¿alguien hace eso? xD)
La solución mas obvia siempre me ha parecido una hardware wallet que dentro del propio aparato este la clave privada y se firme dentro del mismo aparato. Puede que Yubikey Neo (https://www.yubico.com/products/yubikey-hardware/yubikey-neo/) haga esta función pero he encontrado poca información acerca de ello y no se como funcionaría. Por lo que les he preguntado a SatoshiLabs si sería posible hacer esto por el mismo trezor, aquí os dejo su respuesta (https://twitter.com/alexr_96/status/624376279048024064). Muy buena noticia a mis ojos. |