GnuPG

From wiki
Jump to navigation Jump to search

Además de escoger un proveedor de servicio de correo más seguro, puedes encriptar tus mails. Antes de leer la documentación de GnuPG de este wiki, puedes leer sobre Encriptación.

A modo de introducción, echa un vistazo a esta infografía que desarrolló el Laboratorio_de_interconectividades

Introducción

PGP o Pretty Good Privacy/Muy Buena Privacidad fue una de las primeras implementaciones popular de criptografía de llave pública. Phil Zimmermann, su creador, escribió el programa en 1991 para ayudar a los activistas y a otros proteger sus comunicaciones.

Zimmerman fue formalmente investigado por el gobierno de los Estados Unidos cuando este programa se propagó fuera de los Estados Unidos. En ese momento, exportar herramientas que incluyan una fuerte llave pública cifrada era una violación de la regla de los Estados Unidos.

PGP continúa existiendo como un producto comercial de software. Una implementación libre llamado GnuPG ha sido desarrollado en paralelo y es el que se aborda en esta página del wiki.


Qué es y cómo funciona

El cifrado de GnuPG es asimétrico ya que usas dos llaves diferentes:

  • por un lado cifras los mensajes con una llave (con la llave pública del destinatarix) para asegurar que sólo la destinatarix pueda leerlo.


  • por otro lado firmas tus mensajes (con tu llave privada) para asegurar que efectivamente proceden de tí y no ha sido alteradx por otrxs personas (sin tu consentimiento al menos)


Estas llaves no son ni más ni menos que hashes: códigos alfanuméricos resultantes de una serie de cálculos matemáticos.


Crear par de llaves

Antes de crear nuesto par de llaves gnupg, necesitaremos un par de programas:

Instalar GnuPG

Antes que nada, vamos a necesitar un software de GnuPG. Puedes verificar que los programas sugeridos abajo siguien los criterios de cómo escoger herramientas digitales más seguras

Nota: siempre que instalas un programa, verifica que la página de descarga tenga un HTTPS delante, esto es una forma de verificar la autenticidad de la página. Analiza el .exe/.dmg con un antivirus antes de ejecutarlo.


Linux

En terminal: 

 sudo apt-get update
 sudo apt-get install gnupg


Windows

Entramos en la página oficial de GPG4Win con conexión HTTPS. Descargamos la versión del instalador más actualizada y seguimos los pasos de instalación.


Mac OSX

Entramos en la página oficial de GPGSuite con conexión HTTPS. Descargamos la versión del instalador más actualizada y seguimos los pasos de instalación. Sigue los pasos que indica el asistente de instalación.


Instalar Enigmail

Hacemos clic en Archivo:Firefox-boton-configuraciones.png en Thunderbird y buscamos la opción "Complementos". En la barra de búsqueda de complementos buscamos "Enigmail" y verificamos que es la versión oficial (que remita a una página https), que esté actualizada. Puedes ver más criterios para escoger herramientas más seguras aquí.

Al escoger instalar el complemento Enigmail nos pedirá reiniciar Thunderbird. Aceptamos y esperamos a volver cargarse Thunderbird.

Generar par de llaves

Archivo:Barra-menu.png

Ahora veremos que en la barra de herramientas de Thunderbird aparece la opción "Enigmail".

  • Si hacemos clic en "Enigmail" nos saldrá una lista de opciones. Vamos a escoger "asistente de configuración".
  • Escogemos configuración estándar.
  • Si ya tienes generada una llave te va a avisar. De todos modos, te da la opción de generar una nueva llave.
  • En la siguiente ventana Enigmail te explica por encima la diferencia entre la clave pública y privada y te pide generar una contraseña maestra (passphrase) que es la que va a ser requerida cada vez que operes con tu par de llaves. Es importante que sea una contraseña segura y preferiblemente no la misma que tu correo electrónico.

Archivo:Generando-par-llaves.jpg

Nos aparecerá una ventana indicando que se está generando nuestro par de llaves.


Certificado de revocación

Archivo:Crear-certificado-revocacion.png

Al finalizar este paso, podremos generar nuestro certificado de revocación. Este certificado te permitirá anular tu par de llave gnupg en caso de extravío o robo. Es de suma importancia por lo que se recomienda guardar en un lugar seguro en tu computadora (guardada en una subcarpeta no demasiado a mano a personas ajenas y donde te acuerdes :b ) con un respaldo en un disco duro externo.

+ info


Administración de claves

Una vez creada tu par de llaves, regresa a la barra de herramientas, a la opción "Enigmail" y esta vez seleccionamos la opción "Adminstración de claves".

Vamos a ver un listado de nuestras llaves, incluyendo la nuestra. Conforme vayamos agregando las llaves de otras personas, las veremos listadas allá.

Conociendo mejor nuestra llave

En la ventana de "Administración de claves", hacemos clic derecho en nuestra llave y seleccionamos "propiedades".

Nos aparecerá una ventana en la que podremos observar diferentes parámetros de nuestra llave. Verás que el identificador de la llave coincide con los últimos 8 caracteres de la huella digital de la llave.


Exportar llaves

Regresamos a la ventana de Hacemos clic derecho en nuestra llave y seleccionamos la opción de "Administración de claves", hacemos clic derecho en nuestra llave y seleccionamos la opción "Exportar claves a un fichero". Nos preguntará si queremos exportar la clave secreta o la pública. Vamos a hacer ambas cosas.

Exportar llave privada

Vamos a guardar nuestra llave privada junto con nuestro certificado de revocación en un lugar seguro de nuestra computadora (no accesible a personas ajenas) y respaldando ambos archivos en un disco duro externo, también en un lugar seguro del disco. Es muy importante tomar en consideración que la llave privada no se comparte. Es estrictamente confidencial.

Una vez que hayamos guardado la llave, vamos a ir a la carpeta en cuestión y abrir la llave (que no deja de ser un archivo de texto con un código alfanumérico) con un editor de textos.

Observaremos que en realidad se exportó la llave privada y la pública. Pueden borrar el bloque que empieza con "-----BEGIN PGP PUBLIC KEY BLOCK-----" y acaba con "-----END PGP PUBLIC KEY BLOCK-----" y quedarse solamente con el bloque de llave privada. Renombren el archivo de "pub-sec" a "privada" para no confundirse entre su llave privada y pública.

Exportar llave pública

Puedes guardar tu llave pública en una carpeta junto con las llaves de tus contactos. Recuerda incluir el avatar/alias/mail en el nombre del archivo (a veces lo genera automáticamente) para distinguir entre un contacto y otrx.

Verás que también puedes abrir este archivo y verás que el contenido empieza con "-----BEGIN PGP PUBLIC KEY BLOCK-----" y acaba "-----END PGP PUBLIC KEY BLOCK-----".

Esta va a ser la llave que vas a compartir con lxs contactos con lxs que quieras comunicarte de manera cifrada.


Compartir llave pública

Para poder comunicarnos con cifrado gnupg necesitamos que ambas partes tengan la llave pública del otrx. Por lo tanto, tenemos que compartir nuestra llave pública e importar llaves públicas de otras personas.

center

A la hora de compartir tu llave pública, vamos a pensar en nuestro Modelo de Amenazas y Riesgos que no es estática (cambia a lo largo del tiempo) y que no se limita a una sola identidad (barajamos muchas, tanto individual y colectivamente).

Quizás nos interese compartir de manera pública y abierta una de nuestras llaves (porque podemos tener varias según nuestras necesidades) si formamos parte de una organización visible donde se acompañan procesos de denuncia o si somos unx periodistx que desea recibir comunicación cifrada de informantes. En este caso podemos subir nuestra llave a nuestra página web, blog, etc. También la podemos subir a un servidor de llaves (una especie de directorio público de llaves).

Pero quizás queremos compartir nuestra llave de manera más íntima, de cara a cara (pasándola en un pendrive) o adjuntándola en un correo a personas específicas.

Importar llave pública

En primer lugar, tenemos que guardar el archivo de llave pública que queremos importar, preferiblemente en la carpeta que mencionábamos antes de llaves de contactos. Puede que nos lo pasen en un usb, adjuntado en un mail o que lo descargemos de Internet o un servidor de llaves. Una vez localizado el archivo regresamos a la ventana de "Administración de claves".

En la barra de menú, en la opción "Archivo", vamos a seleccionar la opción de "Importar claves desde un fichero". Seleccionamos el archivo y lo importamos.

Aparecerá un aviso de que se importó correctamente.


Firmar/Verificar llaves públicas importadas

center

Salvo que la otra persona te haya pasado el archivo de su llave pública cara a cara, no tenemos la certeza de que efectivamente procede de dicha persona. Podemos recurrir a métodos de verificación fuera de banda (out-of-band verification) para comprobar que coincide la huella digital de la llave que recibiste con la de la otra persona. La verificación fuera de banda se refiere a usar un medio de comunicación que no sea con el que vas a cifrar, es decir, por otro medio que no sea correo como por teléfono, chat, etc.


center

Estas verificaciones van formando anillos de confianza, un sistema de referencias entre pares. Si haces clic derecho en una llave, puedes ver que te da la opción de ver las firmas de la llave. Estas son las verificaciones de la llave de otras personas. Vamos a poder ver aquí si hay conocidxs en común que han firmado esta llave.

Ahora bien, debemos tener en cuenta dos cosas:








Categoría:Autodefensa y cuidados colectivos digitales Categoría:Mail más seguro Categoría:GnuPG

Retrieved from "https://wiki.lab-interconectividades.net/index.php?title=GnuPG&oldid=463"