- Generar un par de llaves
- Enviar la llave pública al servidor de llaves (o al Coordinador)
- Enviar los detalles de tu llave pública al coordinador
- Ir a el Grupo de Firmas
- Verificar los detalles de su llave
- Verificar los detalles de la llave de los demás
- Verificar la identidad para los IDs que se va a firmar
- Firmar todos aquellos IDs y llaves que se hayan Verificado
- Enviar todas las llaves que se han firmado al servidor de llaves (o a su propietario)
- Tu mismo - No puedes participar virtualmente
- Dos identificaciones con foto - Licencia de conducir y pasaporte
- Detalles de las propias llaves: ID, Tipo, Huella y Tamaño
- Un bolígrafo/lápiz
- Un ordenador.
No se deben llevar ordenadores a los grupos porque los programas pueden haber sido alterados de tal forma que comprometan la seguridad del PGP.
Si alguien llevase un ordenador y todos utilizasen ese ordenador para firmar las llaves, nadie sabría si en dicho ordenador hay un grabador de teclas (KeyLogger) activo, o la versión del GPG ha sido modificada o incluso el Kernel de Linux, o que el teclado está especialmente modificado, cualquiera de estas cosas pueden capturar las llaves secretas de aquellos que utilicen el ordenador.
La utilización de un ordenador en una fiesta también deja la puerta abierta para ataques desde el exterior o ataques complejos con las llaves débiles, modificaciones que llaves secretas o incluso infecciones con virus en los propios ejecutables del GPG que pueden debilitar tus llaves secretas en el futuro.
El proceso de crear un par de llaves es sencillo, basicamente sólo necesitas ejecutar
gpg --gen-key. Sin embargo, recomiendo que también generes un certificado de cancelación para tus llaves en caso de perdida de la llave secreta (eso significa que has olvidado la palabra clave o has pedido la llave secreta). El comando para generar el certificado de cancelación puede encontrarse en el apartado
3.7 de este documento.
Los siguientes pasos deben ser utilizados con la suficientes seguridad, por ejemplo:
- Las llaves deben generarse con la mayor longitud posible para hacerlas más resistentes a un ataque de fuerza bruta,
- el Certificado de Cancelación se generará para permitir cancelar la llave pública si la seguridad es ve comprometida o se pierde la llave secreta
Algunas personas se sienten más seguras utilizando estas medidas básicas, por ejemplo si tienes un ordenador portátil o de sobremesa con la que lees los mails, estarás más cómodo si guardas las llaves en ese ordenador. También puedes crear las llaves sin periódo de caducidad para poder ser identificado y para las comunicaciones habituales - puedes generar otro par de llaves para comunicaciones extremadamente más seguras (si las tienes). Las siguientes instrucciones deben de ser escritas bajo las mejores medidas de seguridad, no necesitas seguirlas todas, sólo aquellas para generar el par de llaves. Por otro lado, si eres extremadamente paranoico como yo siguiendos las siguientes directivas te proveerá temporalmente con una sensación de fugaz calma que necesitas sentir en este momento.
Las siguientes instrucciones deben seguirse con la mayor seguridad (paranoia) posible, por ejemplo:
- las llaves deben generarse lo más grande posibles para resistir un ataque de fuerza bruta
- las llaves deben generarse con una caducidad para prevenir un eventual compriso de las mismas por un incremento en la ciencia computacional
- las llaves deben almacenarse en un disquette para prevenir su robo si alguien accede a tu ordenador (fisica o remotamente)
- se debe crear un Certificado de Cancelación para permitir cancelar la llave pública si la seguridad de la misma se encuentra comprometida o se pierde la llave
1) Ve a www.gnupg.org y bajate la última versión de gnupg: gnupg-x.x.x.tar.gz
Advertencia: Asegurate que estas utilizando almenos la versión 1.0.6 of GnuPG. ya que anteriores versiones tenian un fallo de seguridad.
2) Comprueba la firma y el MD5 Checksum del programa GnuPG:
bash$ gpg --verify gnupg-x.x.x.tar.gz.sig gnupg-x.x.x.tar.gz
bash$ md5sum gnupg-x.x.x.tar.gz
3) Extraer los archivos, configurarlos, compilarlos e instalarlos:
bash$ tar xvzf gnupg-x.x.x.tar.gz
bash$ cd gnupg-x.x.x
bash$ ./configure
bash$ make
bash$ su
bash# make install
bash# exit
bash$ cd
Si estas compartiendo el sistema donde instalas el GnuPg con otros usuarios, debes también querer poner el gpg en la root de esta forma su ejecució será más segura. Si lo haces así, debes comprobar el md5 y la firma del pgp para estar seguro de no estar instalando un troyano.
4) Consigue un disquette para almacenar las llaves y formatealo.
bash$ /sbin/mkfs.ext2 /dev/fd0
4a) Montar el disquette y haz un directorio para tus llaves:
bash$ mount /mnt/floppy
bash$ mkdir /mnt/floppy/.gnupg
y si es necesario (y dependiendo del acceso a fd0):
bash$ chown <your_uid>:<your_gid> /mnt/floppy/.gnupg
4b) Crea un enlace desde tu directorio local hacia el disquette
bash$ ln -s /mnt/floppy/.gnupg .gnupg
5) Crear un par de llaves
bash$ gpg --gen-key
5a) Seleccionar el tipo de llave que quieres - La que nos suguiere es suficiente.
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(4) ElGamal (sign and encrypt)
Your selection? <return>
5b) Seleccionar el tamaño: 2048
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
What keysize do you want? (1024) 2048<return>
Do you really need such a large keysize? yes<return>
5c) Seleccionar un periodo de caducidad: 5 años es suficiente
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 5y<return>
Key expires at Sun Sep 21 16:17:15 2005 EDT
Is this correct (y/n)? y<return>
5d) Introduce tu nombre y tu direccion(es) de correo electrónico...
Real name: Demo User<return>
Email address: demo@nonexistent.nowhere<return>
Comment:
You selected this USER-ID:
"Demo User <demo@nonexistent.nowhere>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O<return>
5e) Escoje una frase clave, debes escoger una buena lo sufientemente larga para no ser adivinada y lo suficientemente fácil para que no te olvides de ella. Si te olvidas de la frase no podrás recuperar tus llaves.
5f) Mueve el raton y haz algunos clicks en el escritorio o ejecuta una búsqueda grande. GPG está buscando números aleatorios para crear las las llaves, de esta forma introducirás mas aleatoriedad interrumpiéndole. interrumpe.
6) Modifica la llave si quieres, por ejemplo si tienes multiples cuentas de correo que quieras añadir como válidas a tu llave:
bash$ gpg --list-secret-keys
/home/demo/.gnupg/secring.gpg
sec 1024D/C01BAFC3 2000-09-21 Demo User <demo@nonexistent.nowhere>
ssb 2048g/7A4087F3 2000-09-21
bash$ gpg --edit-key C01BAFC3
Command> help
Command> adduid
[...]
Command> save
7) Envia tus llaves a un servidor:
[vab@firster vab]$ gpg --keyserver <servidor> --send-key <ID_Llave>
Debes ver un mensaje de éxito como este:
gpg: success sending to `<servidor>' (status=200)
