GnuPG/es

Esta guía le enseñará a los usuarios de Gentoo Linux lo básico del uso de GnuPG, una herramienta para comunicaciones seguras.

Lo que el lector aprenderá de esta guía
Esta guía asume que el lector está familiarizado con la criptografía de clave pública, cifrado y firmas digitales. Si no es el caso, eche un vistazo al manual oficial de GnuPG, en particular al segundo capítulo, y luego vuelva a este artículo.

Esta guía ofrece instrucciones a los usuarios de Gentoo sobre cómo instalar GnuPG, cómo crear un par de claves, cómo agregar claves a un anillo de claves, cómo enviar una clave pública a un servidor de claves y cómo firmar, cifrar y verificar o decodificar tanto los mensajes enviados como los recibidos. Los lectores también aprenderán a cifrar archivos para evitar que otros lean el contenido de los mensajes.

Otro software
En un nivel muy básico, se debe hacer emerge de GnuPG. Actualmente muchas aplicaciones ofrecen algún tipo de soporte para PGP por lo es una buena idea definir la variable USE. Si queremos un cliente de correo que pueda utilizar GnuPG contamos con las siguientes alternativas:
 * PinePGP.
 * Mutt . Un cliente de correo basado en texto pequeño pero muy potente.
 * Thunderbird . El cliente de correo de Mozilla.
 * Evolution . Un cliente similar a Microsoft Outlook de GNOME.
 * KMail . El cliente de correo de KDE.
 * Puede ser interesante instalar KGPG cuando se utiliza el entorno de escritorio KDE. Este pequeño programa permite la generación de pares de claves, importar claves desde ficheros ASCII, firmar las claves importadas y exportar claves entre otras ingeniosas características.

Crear una clave
To create a key, use the command. The first time it is run, it will create some directories essential to the correct operation and implementation of GnuPG; run it again to create the keys:

En este momento se puede elegir el tipo de clave que quiere usar. La mayoría de los usuarios elegirán la predeterminada RSA y RSA. Lo siguiente a elegir es el tamaño de la clave, recuerde que cuanto mayor sea la clave, mejor, pero no utilice un tamaño superior a 2048 con claves DSA/ElGamal. Normalmente 2048 es más que suficiente para comunicaciones normales a través del correo electrónico.

Después del tamaño viene la fecha de expiración. Cuanto antes sea esta fecha, mejor. Sin embargo, la mayoría de los usuarios usan claves que nunca expiran o tienen una fecha de expiración de dos o tres años.

Ahora es el momento de introducir información personal sobre la clave del usuario. Cuando se envía la clave pública a otros usuarios, es importante escribir una dirección de correo electrónico (contrariamente a una dirección de correo electrónico falsa).

Ahora teclee una contraseña dos veces. Es una buena idea utilizar una contraseña fuerte. Si alguien consigue la clave privada y obtiene la contraseña, podrán suplantar al usuario enviando mensajes firmados en su nombre como si se tratara del usuario legítimo. El usuario malicioso podría engañar a los contactos víctima que creen que los mensajes los envía el usuario legítimo. Esto puede causar problemas muy serios.

A continucación, GnuPG generará una clave. Mover el ratón, navegar por la web o escuchar audio ayudará a acelerar el proceso ya que GnuPG generará datos aleatorios incrementando la seguridad del par de claves.

Generar un certificado de revocación
Después de crear las claves, se debe crear un certificado de revocación. Hacer esto le permite al usuario revocar su clave en caso que algo desagradable ocurra (piense en un usuario con malas intenciones que obtenga el control de la clave o frase de paso).

The command lists keys in the public keyring. It may be used to see the ID of the key so that a revocation certificate can be created. It is a good idea to copy the entire directory and the revocation certificate (in ASCII armor - ) to some secure medium (a CD-R or a USB drive stored in a safe location). Remember that the file can be used to revoke the keys and make them unusable in the future.

Exportar claves
To export a key, type. You can almost always use the key ID or something that identifies the key (in this example an email address was used). Larry now has a that he can send his friends, or place on his web page so that others can communicate safely with him.

Importar claves
Para añadir claves a un llavero público, se deben seguir los siguientes pasos:
 * 1) Importar la clave
 * 2) Comprobar la huella digital de la clave
 * 3) Después de verificar la huella digital de la clave, se debe validar.

Now we will be adding Luis Pinto's (a friend of mine) public key to our public keyring. After giving him a call and asking him for his key fingerprint, I compare the fingerprint with the output of the command. As the key is authentic, I add it to the public keyring. In this particular case, Luis's key will expire in 2003-12-01 so I am asked if I want my signature on his key to expire at the same time.

Enviar claves a los servidores de claves
Now that a key has been generated, it is probably a good idea to send it to a world key server. There are a lot of key servers in the world and most of them exchange keys. In this next example Larry the cow's key will be sent to the keys.gnupg.net server. Sending keys uses HTTP, so if a proxy is used for HTTP traffic do not forget to set it accordingly. The command for sending the key is: where   is the key ID. If a HTTP proxy is not needed then the  option can be removed.

También es buena idea enviar al servidor las claves de otras personas que Larry ha firmado. Podríamos enviar la clave de Luis Pinto al servidor. De esta forma alguien que confía en la clave de Larry puede usar la firma que ha puesto ahí para confiar en la clave de Luis.

Obtener claves desde los servidores de claves
Ahora buscaremos la clave de Gustavo Felisberto y agregarla al llavero de claves de la vaca Larry (solo en el caso que no se haya enterado que Gustavo Felisberto es la persona que escribió esta guía :&#41;).

Echando un vistazo a la respuesta del servidor, es posible comprobar que se han enviado pocas claves, sin embargo solo se utiliza. Ahora la vaca Larry puede obtener la clave y firmala si confía en su procedencia.

¿Qué es un Agente GPG?
Hay casos cuando se está trabajando con ciertas aplicaciones donde se usa la clave GPG muy frecuentemente, lo que significa se debe teclear la contraseña frecuentemente. En el pasado, muchas aplicaciones ofrececían un mecanismo de cacheo de la contraseña. Esto hace más fácil la vida de los usuarios ya que las contraseñas se introducían de forma automática. Sin embargo, inhabilitaba el poder compartir esta caché con otros programas (¿Sería esto seguro?) y forzaba a las aplicaciones a reinventar la rueda una y otra vez.

Un agente GPG es una aplicación no incluida en GPG que se utiliza para mantener en caché la contraseña de forma estándar y segura. Permite a las aplicaciones usar GPG de forma concurrente: si teclea la contraseña mientras trabaja en una aplicación, otra puede trabajar con GPG sin pedir reiteradamente la contraseña para acceder a la clave, siempre y cuando el se configure correctamente el agente GPG.

Gentoo proporciona algunas aplicaciones de agente GPG. El paquete se puede considerar como referencia, y será la opción principal en este artículo.

Configurar gpg-agent y pinentry
GnuPG includes. Pinentry is a helper application that  uses to request the passphrase in a graphical window. It comes in three flavors: it can popup a window using the GTK+, QT, or curses libraries (depending on the USE flags set in ).

If was installed with more than one popup window type, it is possible to choose between the windows with the  command:

A continuación, cree un archivo llamado e introduzca las siguientes líneas que definen el tiempo de espera por defecto para mantener al contraseña (por ejemplo, 30 minutos) y la aplicación que se llamará cuando se recupere la contraseña por primera vez (por ejemplo, la versión GTK+ de Pinentry).

Ahora configure GnuPG para que use un agente cuando sea conveniente. Edite y agregue la siguiente línea:

Ahora el sistema está (casi) listo para usar el agente GPG.

Iniciar automáticamente el agente GPG
Si se utiliza KDE como entorno de escritorio, se debe editar el fichero (para todo el sistema) o  (para el usuario local). Para que KDE inicie automáticamente el agente GPG se debe añadir la siguiente orden al fichero adecuado a nuestras preferencias.

Además, elimine los comentarios de las siguientes líneas en  (para todo el sistema) o añádalo a  (para el usuario local):

When using a desktop environment other than KDE, put that line (the same as mentioned above) in the file (if the  command is used to invoke the GUI) or the  file (if XDM, GDM, KDM are used).

Cifrar y firmar
Supongamos que Larry tiene un archivo que quiere enviar a Luis. Larry puede cifrarlo, firmarlo, o cifrarlo y firmarlo. Cifrarlo significa que solo Luis podrá abrirlo. La firma le indica a Luis que el archivó realmente lo creó Larry.

Las tres órdenes siguientes harán solo eso: cifrar, firmar y cifrar/firmar.

Esto creará archivos binarios. Cuando se quieren crear archivos ASCII, únicamente se agrega una opción  al principio de la orden.

Descifrar y verificar firmas
Suppose that Larry has received a file which is encrypted to him. The command used to decrypt it is. This will decrypt the document and verify the signature (if there is one).

Cifrar y descifrar sin claves
It is possible to encrypt files using passwords instead of keys. The password itself will function as the key — it will be used as a symmetric cypher. The file can be encrypted using ; decrypting uses the same command as mentioned previously.

GnuPG le pedirá una una contraseña y su verificación.

Características avanzadas
Hay algunas características avanzadas agradables en GnuPG. Para encontrarlas, abra el archivo

Busque las dos líneas anteriores y elimine los comentarios. Con estas modificaciones realizadas, cada vez que GnuPG necesite comprobar una firma y no encuentre la clave pública en el llavero de claves local, contactará con el servidor de claves en keys.gnupg.net e intentará obtenerla la clave pública del servidor.

Another nice command is. This will contact the key server defined in the configuration file and refresh the public keys in the local key ring from there. It is capable of searching for revoked keys, new IDs, and new signatures on keys. It is a wise idea run this command once or twice a month; if a user revokes their key this can provide a notification the key can no longer be trusted.

Acerca de las firmas en los correos electrónicos
El 95% del tiempo GnuPG se utiliza para el firmado y cifrado de mensajes de correo electrónico o para leer mensajes firmados y cifrados.

Hay dos formas de firmar o cifrar un correo electrónico con GnuPG, la antigua y nueva. En la antigua, los mensajes aparecían en texto plano sin formato posible y los archivos adjuntos estaban sin firmar o sin cifrar, a continuación se muestra un ejemplo de un mensaje firmado a la antigua:

Mensajes como éste no son buenos en el mundo actual, en el que hay hemosas interfaces gráficas y lectores de correo que comprenden HTML.

Para solucionar esto se creó una extensión a MIME (Extensiones de Correo de Internet Multipropósito). Esto añade un campo al mensaje de correo electrónico que notifica al programa lector de correo que el contenido completo del mensaje está firmado o cifrado. El problema es que no todos los lectores de correo soportan estas características. Algunos incluso desordenan el contenido (el programa Microsoft Outlook es famoso por no funcionar bien con esto).

Kgpg
Kgpg es un fantástico GUI para GnuPG. La ventana principal ofrece un área para pegar el texto que se desea firmar o cifrar, la forma opuesta también es correcta: Se puede introducir también el texto en formato armadura ASCII que se desea descrifrar.

Desde la ventana principal se puede descifrar texto (se necesita la contraseña), cifrar ficheros y firmar texto pegado.

Seahorse
Seahorse pretende ser un interfaz GUI de GnuPG para el escritorio Gnome. El software ha evolucionado rápido, pero aún carece de muchas características importantes que se pueden encontrar en Kgpg o en la versión de línea de órdenes.

KMail
Si se ha definido el ajuste USE, KMail se compilará con soporte gpg y podrá cifrar y descifrar mensajes de correo electrónico PGP en línea así como cifrar mensajes OpenPGP/MIME. Para descifrar mensajes OpenPGP/MIME (la mayoría de los usuarios lo querrán) se necesita tener corriendo un agente GPG.

Para verificar si KMail está configurado adecuadamente, vaya a. Se debería listar un entorno basado en GpgME y la casilla OpenPGP debería estar marcada. Si está listada pero en color gris, haga clic en. Si el entorno permanece en color gris esto indica que KMail no está funcionando correctamente.

Cuando no se pierda el control de KMail, lea la official página PGP de KMail para obtener más información.

Claws-Mail
This mail client is very fast with big mailboxes, has all the nice features one wants in mail readers and works well with GPG. The only problem is that it does not work with the old PGP signatures, so when receiving those kind of mails the signatures must be hand-checked.

To use a GPG key with Claws-Mail navigate to. Once there choose which key to use, most users should go with the default key.

Algunos problemas
He tenido algunos problemas con fotos en las claves. Verifique la versión que está usando. Si tiene la versión GnuPG 1.2.1-r1 o mayor probablemente no tenga problemas, puede tener problemas con versiones más antiguas. A la mayoría de los servidores de claves tampoco le gustan mucho las claves con fotos, por lo que es mejor no añadir fotos.

The latest versions of GnuPG do not seem to work with the that was used to send all keys in a keyring to the public server.

¿Qué no se ha incluido aquí?
is a very complex tool, it lets user do much more than what has been covered here. This document is for users who are new to GnuPG. For more information check out the official GnuPG website.

Este artículo no cubre herramientas como pgp4pine, gpgpine, evolution ni herramientas GPG para Windows.

Créditos
El Manual GnuPG de John Michael Ashley es un buen libro para principiantes.

Swift (Sven Vermeulen) por animarme a reescribir esta guía.

A todos los miembros del equipo #gentoo-doc, tíos, moláis.

Gracias a Tiago Serra por apoyarme en el estudio de la privacidad.