sábado, 21 de junio de 2008

Tu privacidad asegurada con gpg

GnuPG (Gnu Privacy Guard) es un programa criptográfico libre, capaz de cifrar archivos y textos. Está especialmente enfocado para utilizar con el correo electrónico.

Todo comenzó con Preety Good Privacy, PGP, un programa privativo cerrado que aparentemente daba una solución segura a la criptografía del correo electrónico. El problema estaba/está en que los algoritmos que usa, al estar ocultos pueden contener debilidades criptográficas. GnuPG usa el estándar OpenPGP que garantiza la seguridad.

La criptografía es la solución tecnológica a la seguridad computacional. Por ello es de especial importancia que se conozcan sus debilidades. Por lo tanto debe ser código abierto. Que se conozcan los mecanismos de cifrado no es un inconveniente de seguridad si el algoritmo es seguro. De hecho la criptología es la rama de la ciencia que estudia la seguridad de los criptosistemas, y tiene su base en las matemáticas.

gpg no tiene una interfaz gráfica propia, pero existen distintas para linux. Yo no las uso, gpg es una herramienta que puede ser usada con programas de correo entre otros.

Hay muchos manuales en internet sobre cómo usar gpg.

Cómo funciona:
En realidad su funcionamiento no es muy difícil de entender. Usa un cifrado de llave (clave) pública. Por lo tanto existe una clave pública y una privada. El usuario al que se le envía el correo debe tener una pública conocida (al igual que tú). Nosotros ciframos el mensaje con la llave pública del destinatario, y éste usa su llave privada para descifrarlo. Aunque cualquiera puede conocer la llave pública no se puede descifrar el mensaje con ésta clave.

La firma criptográfica:
Es la forma de asegurar la integridad del mensaje y la veracidad del destinatario. Consiste en cifrar con tu llave privada el hash (resumen) del documento, a la vez que lo firma. Cuando envías el documento añades a continuación el resumen y la firma. El destinatario hace también el hash del documento y descifra la firma con la llave pública del remitente. Si el resumen del destinatario coincide con el resumen descifrado del remitente, la firma será válida. La integridad del documento y la veracidad del destinatario se confirman (pues la llave privada -desconocida- del remitente se pone en juego y resulta efectiva).

La llave pública se puede enviar como dato adjunto no cifrado, pero de la misma forma la puedes colocar en tu página web. Lo más habitual es subirla a un servidor de claves. Yo usé pgp.rediris.es.

La debilidad de este sistema de cifrado es la confianza en el emisor. Por lo tanto si es una cuenta de correo que desconoces, no confíes en ella. También llamado sentido común.

No hay comentarios: