Sobre PGP

[alexr_96]

Puesto que PGP nada tiene que ver con bitcoin coloco el hilo en esquina libre.

Cuando oyes sobre bitcoin por primera vez tarde o temprano acabas llegando a este foro, cuando llevas algunos días leyendo el foro,
no has podido evitar fijarte en que unos cuantos usuarios tienen en su firma un enlace de una cosa que se llama pgp key y cuando pinchas ahí te lleva a una pagina con un montón de caracteres aleatorios con el "titulo" -----BEGIN PGP PUBLIC KEY BLOCK-----. Aquí es cuando crees que PGP funciona por claves de pares (¿Se llama asi?(Publica+Privada))

Luego lees la firma del moderador dserrano5 que dice: "Prefiero recibir MPs cifrados con PGP." en ese momento de lucidez extrema es cuando deduces que pgp es un sistema para cifrar archivos.

Entonces decides informarte, buscas en el buscador del foro, pero no sale nada interesante. Decides buscar en google pero todo lo que encuentras sobre pgp esta en ingles, y tu ingles no es el mejor del mundo, como para entender como funciona un programa de criptografía.

Esa es mi "historia" sobre PGP y supongo que la de alguno mas, echaba en falta un post sobre esto en esquina libre así que aquí estoy para crearlo. La idea es que los que no sepan de PGP (entre los cuales me incluyo) puedan ser ayudados por lo que si sepan del tema
 
Yo acabe usando el programa Kleopatra de http://www.gpg4win.org/ (uso windows) y aquí les presento alguna de las dudas que tengo:

1-¿GPG,PGP y GnuPG es lo mismo?

2-¿Un certificado se puede modificar? (concretamente el correo electronico)

3-¿Porque la firma clave del moderador dserrano5 (como le he nombrado arriba también, he elegido la suya) es mas larga que la mía?

[1715231861]

1715231861

[1715231861]

1715231861

[dserrano5]

Aquí es cuando crees que PGP funciona por claves de pares (¿Se llama asi?(Publica+Privada))

Correcto. Puedes firmar documentos, para que todo el mundo sepa que ese documento es realmente tuyo y no de un impostor. También puedes cifrar documentos, para que nadie excepto el destinatario tenga acceso a ellos. También puedes realizar ambas acciones para que el destinatario del mensaje cifrado y firmado sepa que no viene de un impostor.

Para firmar, tú usas tu clave privada y el resto del mundo usa tu clave pública para comprobar la firma. Solo tú puedes firmar, todo el mundo puede comprobar.

Para cifrar a un destinatario concreto, usas su pública; él la descifra con su privada. Todo el mundo puede enviar algo cifrado a alguien, solo el destinatario puede descifrar.

Luego lees la firma del moderador dserrano5 que dice: "Prefiero recibir MPs cifrados con PGP."

No ha entrado ni un solo MP cifrado… .

1-¿GPG,PGP y GnuPG es lo mismo?

GPG y GnuPG son lo mismo, y son el software libre equivalente a PGP, que no es libre.

2-¿Un certificado se puede modificar? (concretamente el correo electronico)

No sé a qué te refieres con "certificado". He visto la terminología en gpg4win pero no le he prestado mucha atención.

3-¿Porque la firmaclave pública del moderador dserrano5 (como le he nombrado arriba también, he elegido la suya) es mas larga que la mía?

He arreglado ese errorcillo .

Porque la mía está firmada por otras personas (véase aquí), y todas esas firmas están incluidas. Esas firmas significan: "Yo, LuisCar, certifico que la clave pública 280A01F9 corresponde a David Serrano, pues he comprobado personalmente que se trata de él". E igual que LuisCar, lo mismo certifican los demás. Esto es importante porque a mí no me cuesta nada crearme un par de claves y decir que soy alexr_96, y quien no te conozca personalmente puede verse engañado al ver un mensaje que parece ser tuyo, pero realmente es mío, aunque esté firmado, porque yo "soy" alexr_96. Pero con este sistema de quedar en persona y dar fe de la identidad real de alguien, se elimina esta posibilidad.

Es decir, si yo ahora recibo un mail firmado por Víctor Escudero, 82C47638, sé que se trata de él porque LuisCar, cuya identidad yo he comprobado personalmente, ha firmado la clave pública de Víctor, lo que significa que ellos también se han visto en persona y este Víctor que me escribe es el de verdad.

En cambio, si recibo un mensaje firmado por Satoshi Nakamoto, ¿cuál de ellos es? ¿Cómo sé que es el auténtico? De acuerdo, hay una clave pública que está firmada por varias personalidades (theymos, Peter Todd, laanwj) pero también está firmada por Dorian Nakamoto! Y me juego el pito a que no se han visto en persona! (edito: probablemente ese Dorian no es el de verdad, es un cualquiera que se creó el par de claves y se puso ese nombre). Todas esas firmas se pueden falsificar, y la única forma real que tengo de saber que es él, es conociéndolo en persona, o conociendo a alguien que lo haya conocido, o conociendo a alguien que conociera a alguien que…

Todo este mecanismo se llama web of trust, abreviado WoT, y traducido como red de confianza.

[alexr_96]

2-¿Un certificado se puede modificar? (concretamente el correo electronico)

No sé a qué te refieres con "certificado". He visto la terminología en gpg4win pero no le he prestado mucha atención.

Para importar tu clave a Kleopatra, tengo que poner tu clave en un archivo .txt, darle al boton de importar certificado y seleccionar el archivo

Porque la mía está firmada por otras personas (véase aquí), y todas esas firmas están incluidas.

Otra preguntilla que surge a raíz de esto. La pagina esta que comentas y que aparece la gente que han firmado tu clave aparecen un montón de emails (aparentemente tuyos) cuando por ejemplo en la de LuisCar solo aparece el suyo, igual que en la mía.
¿Entiendo que has tenido varios certificados y los has enlazado de alguna manera?


y otra cosa, veo que le has puesto fecha de expiración,¿no sera mejor un certificado indefinido?

[dserrano5]

No sé a qué te refieres con "certificado". He visto la terminología en gpg4win pero no le he prestado mucha atención.

Para importar tu clave a Kleopatra, tengo que poner tu clave en un archivo .txt, darle al boton de importar certificado y seleccionar el archivo

Pero con eso importas mi clave pública, no ningún certificado. No sé por qué le llaman así pero bueno, tampoco tengo estudios formales en criptografía.

Volviendo a la pregunta original:

2-¿Un certificado se puede modificar? (concretamente el correo electronico)

Entiendo que no, claro . Nunca he probado a cambiar una letra y ver lo que pasa…

Otra preguntilla que surge a raíz de esto. La pagina esta que comentas y que aparece la gente que han firmado tu clave aparecen un montón de emails (aparentemente tuyos) […] ¿Entiendo que has tenido varios certificados y los has enlazado de alguna manera?

En la terminología de gnupg se llaman uids, o identificadores de usuario. También se pueden usar para adjuntar una foto tuya:

Code:

$ gpg --list-keys gmaxwell
pub   1024D/B0413BFA 1999-11-27
uid                  Gregory Maxwell <gmaxwell@gmail.com>
uid                  [jpeg image of size 6019]
uid                  Gregory Maxwell <gmaxwell@wikimedia.org>
uid                  Gregory Maxwell <greg@xiph.org>
uid                  Gregory Maxwell <gmaxwell@mozilla.com>
sub   2048g/F0F0B355 1999-11-27

y otra cosa, veo que le has puesto fecha de expiración,¿no sera mejor un certificado indefinido?

No, porque si pierdo el acceso a mi clave privada, la pública se quedaría ahí en los servidores de claves, válida para siempre, y yo no tendría forma de notificar a todos los que se han cogido una copia, principalmente porque ni siquiera sé quiénes son. Todos los años amplío la fecha de expiración y la vuelvo a subir para refrescar el cambio en los servidores. A ti en agosto 2015, cuando fueras a comprobar una firma mía, te saldría un error de que la clave ha expirado y procederías a actualizar mi clave para coger la fecha nueva de expiración. No sé cómo se hace en kleopatra pero con gnupg es pasándole el parámetro --refresh-keys, y ya se encarga de todo:

Code:

$ gpg --refresh-keys
gpg: refreshing 56 keys from hkp://keys.gnupg.net
gpg: requesting key 886DDD89 from hkp server keys.gnupg.net
gpg: requesting key FBB75451 from hkp server keys.gnupg.net
gpg: requesting key 1FC730C1: from hkp server keys.gnupg.net
[ blah blah blah ]
gpg: Total number processed: 51
gpg:              unchanged: 22
gpg:           new user IDs: 5
gpg:            new subkeys: 4
gpg:         new signatures: 1763

Aquí un mensaje cifrado para que pruebes:

Code:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=Drb/
-----END PGP MESSAGE-----

[jaspita]

Para importar tu clave a Kleopatra, tengo que poner tu clave en un archivo .txt, darle al boton de importar certificado y seleccionar el archivo

Alex, no hace falta que crees un archivo txt, cuando tengas la clave pública copiada en el portapapeles , haz click derecho en el icono de Kleopatra abajo a la derecha en la barra de inicio> CLipboard > Import certificate y listo

[LuisCar]

También puedes importarla desde un servidor de claves mediante la opción "Lookup Certificates on Server" (el icono de los prismáticos), buscando por alguna de sus características; lo típico es el keyID, pero también puedes buscar por nombre o correo electrónico, siempre que hayan subido a algunos de los servidores la clave pública en cuestión.

[alexr_96]

Después de algo de tiempo aprendiendo del tema el mayor problema que le veo a PGP es que la clave privada esta demasiado expuesta, y con que tengas un keylogger en el ordenador ya estas pillado y pueden firmar con tu clave. (Claro que puedes tener un ordenador offline solo para firmar, pero que coñazo, ¿alguien hace eso? xD)

La solución mas obvia siempre me ha parecido una hardware wallet que dentro del propio aparato este la clave privada y se firme dentro del mismo aparato. Puede que Yubikey Neo haga esta función pero he encontrado poca información acerca de ello y no se como funcionaría. Por lo que les he preguntado a SatoshiLabs si sería posible hacer esto por el mismo trezor, aquí os dejo su respuesta. Muy buena noticia a mis ojos.