Para saber más de GnuPG, de su funcionamiento en linea de comandos y de conceptos relacionados con el programa , recomiendo la lectura de su manual en español http://www.gnupg.org/gph/es/manual.html Guia de Gnu Privacy Guard y del Mini Howto http://webber.dewinter.com/gnupg_howto/spanish/gpgminicomo.html Gnu Privacy Guard Mini como. De todos modo aquí va un resumen de algunos conceptos básico por si alguien que no sabe de que va el tema, quiere lanzarse a la aventura sin profundizar mucho.
Porque un par de claves y para que sirve cada una.
Los sistemas de cifrado con //claves asimétricas// usan claves distintas para el cifrado y posterior descifrado de los datos. Al generar un par de claves, obtendremos una llave privada (secreta) y una llave pública.
- Cifrar y descifrar.
Si una persona quisiera cifrar un mensaje para que solo pueda ser leído por el destinatario real, usaría la //clave pública// del destinatario para cifrar el mensaje, y el destinatario descifraría el mensaje con su propia //clave privada//. Así pues, la //clave privada// no debe ser accesible para nadie que no sea el propio dueño de la misma, mientras que la //clave pública//, puede ser entregada a cualquier persona. En un sistema de cifrado bien implementado, la //clave privada// no debe derivar nunca de la //clave pública//.
- Firma digital y comprobar firma digital.
El concepto de la firma digital se basa en la verificación de la autoría de un mensaje. Esto quiere decir que se puede comprobar que el destinatario del mensaje puede comprobar que el «supuesto» remitente es quien afirma ser. Para ello, el remitente, una vez compuesto el mensaje, lo firma usando su propia clave privada. El destinatario, una vez ha recibido el mensaje, comprobará la veracidad de éste, esto es, lo verificará usando la clave pública del remitente.
Este método es de especial utilidad para reducir riesgos de seguridad en nuestros sistemas (nos podrían enviar un supuesto parche para un programa, y éste en realidad ser un virus o un troyano); también podrían enviarnos información o datos, como provenientes de una fuente lícita o fiable. En ambos casos, no sería muy difícil falsificar la dirección y nombre del remitente, pero sí imposible falsificar la firma digital de éste.
Como ya hemos dicho, la verificación de un mensaje firmado digitalmente se lleva a cabo mediante el uso de la clave pública del remitente sobre el texto del propio mensaje. De este modo no sólo podemos verificar la identidad del autor, sino que también podemos comprobar la integridad del mensaje, ya que la firma digital ha sido generada con el texto y la clave privada. Así pues, una alteración o modificación del texto «a posteriori», o cualquier manipulación del mensaje (especialmente si hacemos uso de las especificaciones MIME/PGP), daría como resultado un error en la verificación.
Firmar clave y confianza en la clave.
Un punto flaco en los algoritmos de clave asimétrica es la transmisión del código público. Es posible que una persona ponga en circulación código con un identificador de usuario falso. Si se codifican mensajes con este pseudo código, el intruso los puede descodificar y leerlos.
La solución ##PGP## (y por consiguiente la solución ##GnuPG##) está en firmar los códigos. La clave pública de un usuario puede estar firmada con las claves de otros usuarios. El objetivo de estas firmas es el de reconocer que el UID (identificador de usuario) de la clave pertenece al usuario a quien dice pertenecer. A partir de ahí es un problema de cada usuario de ##GnuPG## el decidir hasta qué punto se puede fiar de la firma. Una clave se puede considerar fiable cuando se confía en el remitente y cuando se sabe con seguridad que dicha clave pertenece a éste. Sólo cuando se puede confiar plenamente en la clave del firmante, se puede confiar en la firma que acompaña a la clave de un tercero. Para tener la certeza de que la clave es correcta hay que compararla con la huella digital por medio de canales fiables (por ejemplo, podríamos buscar el teléfono en la guía y llamarle, y que nos la dijera de palabra para poder compararla), antes de darle una confianza absoluta.
