Aquí es cuando crees que PGP funciona por claves de pares (¿Se llama asi?(Publica+Privada))
Correcto. Puedes
firmar documentos, para que todo el mundo sepa que ese documento es realmente tuyo y no de un impostor. También puedes
cifrar documentos, para que nadie excepto el destinatario tenga acceso a ellos. También puedes realizar ambas acciones para que el destinatario del mensaje cifrado y firmado sepa que no viene de un impostor.
Para firmar, tú usas tu clave privada y el resto del mundo usa tu clave pública para comprobar la firma. Solo tú puedes firmar, todo el mundo puede comprobar.
Para cifrar a un destinatario concreto, usas su pública; él la descifra con su privada. Todo el mundo puede enviar algo cifrado a alguien, solo el destinatario puede descifrar.
Luego lees la firma del moderador dserrano5 que dice: "Prefiero recibir MPs cifrados con PGP."
No ha entrado ni un solo MP cifrado…
.
1-¿GPG,PGP y GnuPG es lo mismo?
GPG y GnuPG son lo mismo, y son el software libre equivalente a PGP, que no es libre.
2-¿Un certificado se puede modificar? (concretamente el correo electronico)
No sé a qué te refieres con "certificado". He visto la terminología en gpg4win pero no le he prestado mucha atención.
He arreglado ese errorcillo
.
Porque la mía está firmada por otras personas (véase
aquí), y todas esas firmas están incluidas. Esas firmas significan: "Yo, LuisCar, certifico que la clave pública 280A01F9 corresponde a David Serrano, pues he comprobado personalmente que se trata de él". E igual que LuisCar, lo mismo certifican los demás. Esto es importante porque a mí no me cuesta nada crearme un par de claves y decir que soy alexr_96, y quien no te conozca personalmente puede verse engañado al ver un mensaje que parece ser tuyo, pero realmente es mío, aunque esté firmado, porque yo "soy" alexr_96. Pero con este sistema de quedar en persona y dar fe de la identidad real de alguien, se elimina esta posibilidad.
Es decir, si yo ahora recibo un mail firmado por Víctor Escudero, 82C47638, sé que se trata de él porque LuisCar, cuya identidad yo he comprobado personalmente, ha firmado la clave pública de Víctor, lo que significa que ellos también se han visto en persona y este Víctor que me escribe es el de verdad.
En cambio, si recibo un mensaje firmado por Satoshi Nakamoto, ¿cuál de
ellos es? ¿Cómo sé que es el auténtico? De acuerdo, hay una clave pública que está firmada por varias personalidades (theymos, Peter Todd, laanwj) pero también está firmada por Dorian Nakamoto! Y me juego el pito a que no se han visto en persona! (edito: probablemente ese Dorian no es el de verdad, es un cualquiera que se creó el par de claves y se puso ese nombre). Todas esas firmas se pueden falsificar, y la única forma
real que tengo de saber que es él, es conociéndolo en persona, o conociendo a alguien que lo haya conocido, o conociendo a alguien que conociera a alguien que…
Todo este mecanismo se llama web of trust, abreviado WoT, y traducido como red de confianza.