GnuPG/es

Esta guía le enseñará a los usuarios de Gentoo Linux lo básico del uso de GnuPG, una herramienta para comunicaciones seguras.

Lo que el lector aprenderá de esta guía
Esta guía asume que el lector está familiarizado con la criptografía de clave pública, cifrado y firmas digitales. Si no es el caso, eche un vistazo al manual oficial de GnuPG, en particular al segundo capítulo, y luego vuelva a este artículo.

El lector aprenderá a instalar GnuPG, crear un par de claves, añadir claves a un llavero y enviar una clave pública a un servidor de claves. También aprenderá a firmar, cifrar, verificar y descifrar mensajes y ficheros que se envían o reciben.

Otro software
Como mínimo se debe hacer emerge de GnuPG. Actualmente muchas aplicaciones ofrecen algún tipo de soporte para PGP por lo es una buena idea definir el ajuste USE. Si queremos un cliente de correo que pueda utilizar GnuPG contamos con las siguientes alternativas:
 * PinePGP.
 * Mutt . Un cliente de correo basado en texto pequeño pero muy potente.
 * Thunderbird . El cliente de correo de Mozilla.
 * Evolution . Un cliente similar a Microsoft Outlook de GNOME.
 * KMail . El cliente de correo de KDE.
 * Puede ser interesante instalar KGPG cuando se utiliza el entorno de escritorio KDE. Este pequeño programa permite la generación de pares de claves, importar claves desde ficheros ASCII, firmar las claves importadas y exportar claves entre otras ingeniosas características.

Crear una clave
Para crear una clave, utilice la orden. La primera vez que se lanza, se crearán algunos directorios que son esenciales para una operación e implementación correctas de GnuPG. Lanzarla de nuevo para crear las claves:

Se puede elegir el tipo de clave, sin embargo la mayoría mayoría de los usuarios elegirán la predeterminada RSA y RSA. Lo siguiente a elegir es el tamaño de la clave, recuerde que cuanto mayor sea la clave, mejor, pero no utilice un tamaño superior a 2048 con claves DSA/ElGamal. Normalmente 2048 es más que suficiente para comunicaciones normales a través del correo electrónico.

Después del tamaño viene la fecha de expiración. Cuanto antes sea esta fecha, mejor. Sin embargo, la mayoría de los usuarios usan claves que nunca expiran o tienen una fecha de expiración de dos o tres años.

Now it is time to enter some personal information about the key's user. When sending a public key to other users it is important that a real email address is used (as opposed to a fake one).

Ahora teclee una contraseña dos veces. Es una buena idea utilizar una frase contraseña fuerte. Si alguien obtiene la clave privada y obtiene la contraseña, podrán suplantar al usuario enviando mensajes firmados en su nombre como si se tratara del usuario legítimo. El usuario malicioso podría engañar a los contactos víctima que creen que los mensajes los envía el usuario legítimo.

Next, GnuPG will generate a key. Moving the mouse, browsing the web, or streaming audio in the background will help speed up the process of generating random data, which is used to increase the security of the key pair.

Generar un certificado de revocación
After creating the keys a revocation certificate should be created. Doing this allows the user to revoke the key in case something nasty happens (such as a malicious user gaining control of the key/passphrase).

La orden muestra las claves en el llavero de claves públicas. Se puede usar para ver el ID de la clave y poder crear el certificado de revocación. Es buena idea hacer una copia del directorio y del certificado de revocación (en formato ASCII armado, ) a un medio seguro (un CD-R o una memoria USB que se guarde en un lugar seguro). Recuerde que puede usar para revocar las claves y hacerlas inutilizables en el futuro.

Exportar claves
Para exportar una clave, lanzar. Casi siempre podrá utilzar el ID de la clave o algo que la identifique (en este ejemplo hemos usado una dirección de correo electrónico). Larry tiene ahora un archivo que puede enviar a sus amigos, o poner en su sitio web para que otros se comuniquen con él de forma segura.

Importar claves
Para añadir claves a un llavero público, se deben seguir los siguientes pasos:
 * 1) Importar la clave
 * 2) Comprobar la huella digital de la clave
 * 3) Después de verificar la huella digital de la clave, se debe validar.

Ahora agregaremos la clave pública de Luis Pinto (un amigo mio) a nuestro llavero de claves públicas. Despúes de hablar con él por teléfono y de haberle preguntado por su huella digital, comparo esta huella con la salida de la orden. Como la clave es auténtica, la agrego al llavero de claves públicas. En este caso particular, la clave de Luis expira el 2003-12-01 entonces se me preguntará si quiero que mi firma en su clave expire en el mismo día.

Enviar claves a los servidores de claves
Ahora que se ha generado la clave, probablemente sea buena idea enviarla a un servidor de claves. Hay un montón de servidores de claves en el mundo y muchos de ellos intercambian claves entre sí. En el siguiente ejemplo, vamos a enviar la clave de la vaca Larry al servidor keys.gnupg.net. El envío de claves se hace mediante HTTP, por lo que si se necesita usar un proxy para el tráfico HTTP, no se debe olvidar configurarlo. La orden para enviar la clave es: donde   es el ID de la clave. Si no se necesita un proxy HTTP se puede quitar la opción.

También es buena idea enviar al servidor las claves de otras personas que Larry ha firmado. Podríamos enviar la clave de Luis Pinto al servidor. De esta forma alguien que confía en la clave de Larry puede usar la firma que ha puesto ahí para confiar en la clave de Luis.

Obtener claves desde los servidores de claves
Ahora buscaremos la clave de Gustavo Felisberto (el autor de esta guía :&#41;) y la agregaremos al llavero de claves de la vaca Larry.

Echando un vistazo a la respuesta del servidor, es posible comprobar que se han enviado pocas claves, sin embargo solo se utiliza. Ahora la vaca Larry puede obtener la clave y firmala si confía en su procedencia.

¿Qué es un Agente GPG?
Hay casos cuando se está trabajando con ciertas aplicaciones donde se usa la clave GPG frecuentemente, lo que significa se debe teclear la contraseña frecuentemente. En el pasado, muchas aplicaciones ofrececían un mecanismo de cacheo de la contraseña. Esto hace más fácil la vida de los usuarios ya que las contraseñas se introducían de forma automática. Sin embargo, inhabilitaba el poder compartir esta caché con otros programas (¿Sería esto seguro?) y forzaba a las aplicaciones a reinventar la rueda una y otra vez.

A GPG agent is a separate application that GPG uses to cache the passphrase in a standard and secure way. It allows applications to use GPG concurrently: if the passphrase is entered while working in one application, the other application can work with GPG without needing to unlock the key again — if the GPG Agent is configured to allow this, of course.

Gentoo proporciona algunas aplicaciones de agente GPG. El paquete se puede considerar como referencia, y será la opción principal en este artículo.

Configurar gpg-agent y pinentry
GnuPG includes. Pinentry is a helper application that  uses to request the passphrase in a graphical window. It comes in three flavors: it can pop up a window using the GTK+, QT, or curses libraries (depending on the USE flags set when emerging).

If was installed with more than one popup window type, it is possible to choose between the windows with the  command:

Now create a file called and add the following lines to define the default timeout of the passphrase (e.g. 30 minutes) and the application to be called when the passphrase needs to be retrieved (e.g. the GTK+ version of Pinentry).

Ahora configure GnuPG para que use un agente cuando sea conveniente. Edite y agregue la siguiente línea:

Ahora el sistema está (casi) listo para usar el agente GPG.

Iniciar automáticamente el agente GPG
If KDE is used as the desktop environment, edit (system-wide, for KDE4 ) or  (local user,  in KDE4). Add the following command to the appropriate file to have KDE automatically start the GPG Agent:

Additionally, uncomment the following lines in (system-wide,  in KDE4) or add it to  (local user,  in KDE4):

When using a desktop environment other than KDE, put the above lines in if  is used to start X.org or  if XDM, GDM, KDM, etc. are used.

Cifrar y firmar
Supongamos que Larry tiene un archivo que quiere enviar a Luis. Larry puede cifrarlo, firmarlo, o cifrarlo y firmarlo. Cifrarlo significa que solo Luis podrá abrirlo. La firma le indica a Luis que el archivó realmente lo creó Larry.

To encrypt:

Para firmar:

Para cifrar y firmar:

Esto creará archivos binarios. Cuando se desee crear archivos ASCII, únicamente se debe agregar la opción  al principio de la orden.

Descifrar y verificar firmas
Suppose that Larry has received an encrypted file. The command used to decrypt it is. This will decrypt the document and verify the signature (if there is one).

Cifrar y descifrar sin claves
It is possible to encrypt files using passwords instead of keys. The password itself will function as the key — it will be used as a symmetric cipher. The file can be encrypted using ; decrypting uses the same command mentioned above.

GnuPG le pedirá una una contraseña y su verificación.

Características avanzadas
Hay algunas características avanzadas agradables en GnuPG. Para encontrarlas, abra el archivo

Uncomment the two lines above. With this modification, any time GnuPG needs to check a signature and does not find the public key on the local keyring it will contact the key server at keys.gnupg.net in an attempt to fetch the public key from the server.

Another nice command is. This will contact the key server defined in the configuration file and refresh the public keys in the local keyring from there. It is capable of searching for revoked keys, new IDs, and new signatures on keys. It is a wise idea to run this command once or twice a month; if a user revokes their key this can provide a notification the key can no longer be trusted.

Acerca de las firmas en los correos electrónicos
El 95% del tiempo GnuPG se utiliza para el firmado y cifrado de mensajes de correo electrónico o para leer mensajes firmados y cifrados.

Hay dos formas de firmar o cifrar un correo electrónico con GnuPG, la antigua y nueva. En la antigua, los mensajes aparecían en texto plano sin formato posible y los archivos adjuntos estaban sin firmar o sin cifrar, a continuación se muestra un ejemplo de un mensaje firmado a la antigua:

Mensajes como éste no son buenos en el mundo actual, en el que hay hemosas interfaces gráficas y lectores de correo que comprenden HTML.

Para solucionar esto se creó una extensión a MIME (Extensiones de Correo de Internet Multipropósito). Esto añade un campo al mensaje de correo electrónico que notifica al programa lector de correo que el contenido completo del mensaje está firmado o cifrado. El problema es que no todos los lectores de correo soportan estas características. Algunos incluso desordenan el contenido (el programa Microsoft Outlook es famoso por no funcionar bien con esto).

Kgpg
Kgpg is a wonderful GUI for GnuPG. The main screen provides an area to paste text to sign or encrypt. The reverse is also true: ASCII armored text to be decrypted can also be entered.

Seahorse
Seahorse aims to be a GnuPG GUI interface for the GNOME desktop. The software has been evolving fast, but it still lacks many important features that can be found in Kgpg or the command line version.

KMail
If the  USE flag is set, KMail will be compiled with gpg support, and will be able to encrypt and decrypt inline PGP mails automatically as well as encrypting OpenPGP/MIME mails. To decrypt OpenPGP/MIME mails (which most users want) a GPG agent must be running.

Para verificar si KMail está configurado adecuadamente, vaya a. Se debería listar un entorno basado en GpgME y la casilla OpenPGP debería estar marcada. Si está listada pero en color gris, haga clic en. Si el entorno permanece en color gris esto indica que KMail no está funcionando correctamente.

Cuando no se pierda el control de KMail, lea la official página PGP de KMail para obtener más información.

Claws-Mail
Este cliente de correo electrónico es muy rápido trabajando con buzones de correo de gran tamaño, tiene todas las buenas características que uno quiere en un programa de este tipo y funciona bastante bien con GPG. El único problema es que no funciona con las firmas PGP antiguas, así que cuando reciba correos de ese tipo tendrá que comprobar las firmas manualmente.

Para usar una clave GPG con Claws-Mail vaya a. Una vez allí, elija qué clave va a utilizar. Probablemente la mayoría de los usuarios podrán trabajar con la clave por defecto.

Algunos problemas
He tenido algunos problemas con fotos en las claves. Verifique la versión que está usando. Si tiene la versión GnuPG 1.2.1-r1 o superior probablemente no tenga problemas, puede tener problemas con versiones más antiguas. A la mayoría de los servidores de claves tampoco le gustan mucho las claves con fotos, por lo que es mejor no añadir fotos.

The latest versions of GnuPG seem to have broken, which was used to send all keys in a keyring to the public server.

¿Qué no se ha incluido aquí?
La herramienta es muy compleja. Permite a los usuarios hacer mucho más de lo que se ha cubierto aquí. Este documento está indicado para usuarios novatos en GnuPG. Para más información, eche un vistazo al sitio web oficial de GnuPG.

Este artículo no cubre herramientas como pgp4pine, gpgpine, evolution ni herramientas GPG para Windows.

Créditos
El Manual GnuPG de John Michael Ashley es un buen libro para principiantes.

Swift (Sven Vermeulen) por animarme a reescribir esta guía.

A todos los miembros del equipo, tíos, moláis.

Gracias a Tiago Serra por apoyarme en el estudio de la privacidad.