Un Grupo de Firmas es la forma de reunir a personas que utilizan sistemas
criptogr�ficos tipo PGP con el prop�sito de permitir a dichas personas el firmado
m�tuo. Los Grupos de Firmas sirven para extender la confianza por la red. Tambi�n
los grupos de Firmas son una gran escusa para discutir temas pol�ticos o sociales
bajo una fuertes medidas de seguridad criptogr�fica, libertades individuales,
soberan�as e incluso implementar tecnolog�as criptogr�ficas o posibles trabajos de
software criptogr�fico gratuito.
El Firmado de llaves es el acto de firmar digitalmente una llave p�blica y un id asociado con dicha llave. La Firma nos sirve para verificar que el id y la llave p�blica pertenecen realmente a la entidad que aparece en la firma que representa esa llave.
Cada uno puede firmar su propia llave p�blica y los id asociados a ella, o otras entidades y asociarlas a la llave p�blica.
En esencia, las firmas validan las llaves p�blicas. Es una forma de validar una llave p�blica y una identidad gracias a una tercera parte. Esta es la forma en la cu�l las firmas crean un sistema de confianza.
1.3 Qu� es un sistema de confianza?
Un sistema de confianza es el t�rmino utilizado para describir la relaci�n de confianza entre un grupo de firmas. La firma es un enlace, o una ramificaci�n, en el sistema de firmas de confianza. Estos enlaces son llamados Vias de confianza (Trust Paths). Las V�as de Confianza pueden ser bidireccionales o de una �nica direcci�n. El ideal de un sistema de confianza es que cada uno est� conectado de forma bidireccional con los dem�s. De hecho, cada uno confia en que cada llave pertence a su propietario leg�timo. El sistema de confianza es la suma de la confianza de todos las v�as de confianza, o enlaces, entre todas las firmas participantes. Aqu� tienes un ejemplo visual de un sistema de confianza.
1.4 Puedes darme un ejemplo aplicativo de llaves firmadas?
Como ejemplo podemos explicar que Alicia y Benito crean sus propias llaves con GPG y firmadas en un Grupo de Firmas. En el Grupo, Alicia y Benito verifican otras llaves y luego las firman. GPG, por defecto, firma de forma autom�ticamente la llave p�blica asociada a la llave privada cuando se crea. Entonces Alicia y Benito tienen como m�nimo dos firmas validando sus llaves. La llave de Alicia ha sido firma por ella misma y por la firma de Benito, mientras que la llave p�blica de Benito est� firmada por �l mismo y por Alicia.
En un futuro, Alicia y Benito conocen a Carmen. Carmen crea un par de llaves y les dice a Alicia y a Benito que les enviar� su llave p�blica. Pero a Alicia no le gusta Carmen y no quiere que Benito intercambie comunicaciones cifrada con ella. Ambas, Alicia y Carmen, crean nuevas llaves que dicen ser de Carmen y ambas se la envia a Benito. Ambas llaves tienen una firma, la firma asociada a la llave privada. Benito no sabe cu�l es realmente la llave de Carmen, pero �sta se entera de que Benito tiene dos llaves suyas y sospecha de Alicia. Carmen, ahora enfadada, quiere obtener informaci�n que utilizar contra Alicia y para obtener dicha informaci�n Carmen debe comprometer las comunicaciones entre Alicia y Benito. Para hacerlo, Carmen decide falser un correo hacia Benito diciendo que ella es Alicia y que ha creado una nueva Llave P�blica. En el correo, Carmen incluye la "nueva" llave de Alicia (que en realidad es la falsa que ha generado Carmen). Sin embargo Benito est� seguro de que es un truco, porque Benito tiene dos llaves de Alicia, una de las cuales ha sido firmada por multiples personas (�l mismo y Alicia) verificando que proviene de Alicia, mientras que la otra llave (la falsa de Carmen) s�lo tiene su propia firma.
Este ejemplo tan sencillo puede complicarse muchisimo m�s. Puedes leer m�s documentaci�n sobre PGP o un buen libro de PKI para ejemplos m�s detallados. El ejemplo explica claramente las bases del firmado y su importancia. Carmen no podr� introducir su falsa llave de Alicia por que existe un sistema de confianza entre Benito y Alicia.
Sin embargo, las firmas y los sistemas de confianza no garantizan la credibilidad de las llaves. Por ejemplo, cuando Benito y Alicia conocieron por primera vez a Carmen, esta tra�a a un amigo consigo: David. David tenia creadas unas llaves falsas para Alicia y Benito, firmadas por �l mismo y por las llaves falsas resultando que cada firma pose�a tres firmas y se las hab�a enviado a Carmen. Carmen posee una serie de falsas firmas. Como las firmas pueden ayudar a Carmen a resistir un ataque? Bien, hay que decir que todas las firmas que la gente intercambia existen en un servidor de llaves p�blico. Si Carmen hubiese buscado en el servidor de llaves las llaves de Alicia y Benito, encontrar�a dos pares de llaves para Alicia y para Benito. Si Alicia y Benito recopilaron veinte firmas en el Grupo de Firmas es obvio que Carmen podr�a confiar en las llaves con mayor cantidad de firmas que no en las llaves con s�lo tres firmas. Carmen deber�a sopechar algo m�s sobre la existencia de esas llaves p�blicas, podr�a sospechar de las fechas de generaci�n y del sistema de confianza de dichas llaves. Las veinte llaves del Grupo de Firmas han sido firmadas veinte o m�s veces en diferentes periodos de tiempos, muchas de ellas firmadas por Alicia, Benito y por otras personas. Ese no ser�a el caso si David hubiese generado veinte falsas llaves con un falsa confianza.
1.5 Por qu� debo firmar mi llave en grupo
Existen tres razones principales para tener tantas firmas como se pueda.
La primera y la m�s importante, debes tener la mayor cantidad de firmas para expandir tus v�as de confianza. Cuanto m�s profundo y extrechamente interconectado sea el sistema de confianza, m�s dif�cil ser� comprometerlo. Esto tiene un significado especial para Free Software Community (Comunidad de Software Libre), sean desarrolladores o usuarios. Los miembros de esta comunidad delegan sobre la tecnolog�a criptogr�fica PGP la protecci�n e integridad de sus paquetes de software, avisos de seguridad y anuncios. La fuerza y robustez del sistema de confianza es directamente proporcional a la fuerza de protecci�n que PGP provee a la comunidad.
La segunda raz�n es que los grupos de Firmas ayudan a otras personas a integrarse dentro de la cultura de las seguridad y les anima a adquirir conocimientos sobre PGP y otras tecnologias de criptograf�a. Para conseguir toda la fuerza de la criptograf�a la gente debe usarla y usarla correctamente.
Finalmente, los grupos de Firmas ayudan a construir comunidades. Ayudan a juntar nuevos conocimientos y discusiones importantes sobre libertades civiles, cripto-derechos y regulaci�n de internet. La discusi�n es importante por que no s�lo es el primer paso, pero es el paso antes de la acci�n. Ahora que estoy escribiendo este art�culo no existen sistemas de seguridad demasiado complejos en el mundo. Si trabajas para construir un sistema de seguridad en tu localidad, es muy probable que esos primeros participantes sean los l�deres asentando las bases de internet en su comunidad. Ellos son los individuos que podr�n escoger construir el sistema criptogr�fico seguro y sus protocolos dentro de la infraestructura local, si pueden escoger. La integraci�n de sistemas y protocolos pueden transformar sistemas como el Carnivore del FBI en inservibles.
No es dif�cil organizar y coordinar un Grupo de Firmas. Sin embargo a parte de las tareas normales de invitar a la gente, seleccionar un lugar y una fecha, el coordinador tiene otras tareas claves espec�ficas a su responsabilidad. Eso, normalmente, incluye el suministro de una lista de llaves para cada participante y una determinaci�n de la estructura del Grupo.
2.2 Como debe de estar estructurado el Grupo?
Hay dos formas de conducir un Grupo de Firmas de forma Estructurada -- de forma centralizada o de forma descentralizada. La mejor forma de determinar como hacerlo es dependiendo del n�mero de participantes y la atm�sfera del local donde se lleva a cabo la Fiesta. Los requisitos b�sicos del Grupo son que los participantes se verifiquen unos a otros las llaves y las identidades. Dados estos resquisitos b�sicos el coordinador puede introducir algunas variaciones a estos dos tipos.
Un Grupo centralizada es un asunto m�s organizado donde se trabaja bien con un grupo
peque�o o medio de personas. Los participantes envian la informaci�n de sus llave p�blica
al coordinador qui�n las anota en una lista. Cada participante, tal como van llegando al
Grupo, recibir� una copia de la lista, reunidos todos, cada participante ser� llamado
por el cordinador.
El particiapante comprobar� que los datos son correctos respecto a la lista dada por el
coordinador. Si el participante est� seguro que su llave es la misma que la facilitada
por el coordinador, entonces el participante leer� su huella digital ante los dem�s
participantes para que estos puedan comprobar que sea la correcta. Si es correcta, los
participantes deber�n marcarlo en su hoja. Esto es necesario para evitar errores o
falsedades en la hoja creada por el coordinador. Hasta que todos hayan comprobado la
llave del participante, entonces el coordinador podr� llamar a otro participante y
as� sucesivamente.
Una vez que todas las llaves han sido verificadas, los participantes y el coordinador rogar� a los participantes que formen una l�nea con sus identificaciones bien visibles. La persona en cabeza de la fila caminar� hacia abajo de la fila comprobando los IDs. Si la ID es correcta y se ha validado lo que se ha dicho sobre la llave al principio del encuentro, entonces se pondr� una segunda marca en su lista. S�lo la llave que tenga dos marcas ser� firmada.
Un Grupo de Firmas descentralizada es b�sicamente libre albedr�o. Los participantes se espera que se mezclen informalmente y buscar�n a otros participantes cuyas llaves no hayan sido firmadas a�n. Mientras dur� el evento, cada uno verificar� la llave y el ID de cada persona. los grupos descentralizadas permiten incluir m�s f�cilmente a gente nueva. En un Grupo Descentralizada, es importante para el coordinador anime a cada uno a que se asegure de que se ha reunido con todo el mundo, almenos para la validaci�n de la llave. En este caso no es necesario hacer una lista de llaves y de huellas, aunque es una buena pr�ctica.
Los Grupos Centralizadas son ideales para conferencias, durante la comida, reuniones informales en casa de alguien o en alg�n restaurante, etc. Las descentralizadas son mucho m�s practicas cuando hay un gran n�mero de gente y el lugar es un bar o un sitio muy ruidoso, o grupos particularmente escandalosos y dif�ciles de manejar.
Cuanto m�s conocida sea el Grupo, mejor. Se puede anunciar el Grupo via listado de correo LUG, o a otras listas relacionadas con la inform�tica dentro de tu localidad, incluso poniendo un anunci� en el prensa.
Si estas creando un sistema de confianza en tu comunidad, es buena idea intentar atraer a usuarios de PGP activos porque ellos son los principales interesados en mantener los grupos de Firmas. La mejor forma de encontrar a la gente es hablando con aquellas personas que se encuentran en las listas de correo con firma PGP o buscando en el servidores de llaves aquellos cuentas de correo que puedan pertenecer a tu localidad. Por ejemplo, las cuentas de correo con el dominio de una universidad o una gran compa�ia de tu localidad, puede que encuentres un alto n�mero de interesados en el Grupo de Firmas.
Aqu� encontrar�s algunos ejemplos de anuncios:
2.4 Generando la lista de llaves
Si vas a utilizar un formato de Fiesta estructurada se necesita que cada participante tenga una lista de llaves de todo el mundo, el coordinador tendr� que imprimir muchos listados. Dichos listados suelen recopilarse en el siguiente formato:
| Llave ID | Propietario | Huella | Tama�o | Tipo | Llave V�lida? | ID V�lido? |
| 992A4B3F | V. Alex Brennen < [email protected] > | 0EC8 B0E3 052D FC4C 208F 76EB FA92 0973 992A 4B3F | 1024 | DSA |
He escrito un programa en perl para crear un documento HTML con el formato de arriba. El programa que genera la lista de llaves est� disponible bajo terminos de licencia: GNU General Public License (GPL).
Una copia de esta lista de llaves debe de ser impresa y entrega a cada uno de los participantes. El coordinador puede imprimir el listado �l mismo o enviar un correo para que cada participante se lo imprima �l mismo, o puede colgarlo en una p�gina web para que los participantes lo impriman.
2.5 Resultado gr�fico de la web de confianza
Nada gusta m�s al usuario que los gr�ficos con muchos colores. Por ello, crear un gr�fico del sistema de confianza establecido en tu entorno puede motivar a la gente a participar, viendo los progresos obtenidos.
Puedes obtener un sencillo gr�fico, de todas las llaves firmadas en tu sistema de seguridad convirtiendo esa informaci�n en un fichero de puntos, el cu�l puede ser tratado por programas tipo DOT o NEATO. Un programa de Darxus que fue escrito en perl convierte las llaves y firmas de un anillo en un fichero de puntos y este est� disponible bajo los t�rminos de GPL. Para poder obtener dicho gr�fico necesitas bajarte el programa de Darxus sig2dot.pl y el graphviz de AT&T Research. La restricci�n es que no se puede generar un gr�fico de m�s de cien nodos por problemas de que el ordenador puede necesitar mucha mem�ria.
Las instrucciones para dibujar el sistema de confianza de un anillo gpg estan incluidas en el poprio script: sig2dot.pl o pueden encontrarse en el paquete de Debian. Aqu� hay un enlace a un gr�fico de sistema de confianza que fue creado con sig2dot.pl y neato. Existe m�s informaci�n disponible en la p�gina de Debian.
No se deben llevar ordenadores a los grupos porque los programas pueden haber sido alterados de tal forma que comprometan la seguridad del PGP.
Si alguien llevase un ordenador y todos utilizasen ese ordenador para firmar las llaves, nadie sabr�a si en dicho ordenador hay un grabador de teclas (KeyLogger) activo, o la versi�n del GPG ha sido modificada o incluso el Kernel de Linux, o que el teclado est� especialmente modificado, cualquiera de estas cosas pueden capturar las llaves secretas de aquellos que utilicen el ordenador.
La utilizaci�n de un ordenador en una fiesta tambi�n deja la puerta abierta para
ataques desde el exterior o ataques complejos con las llaves d�biles, modificaciones que
llaves secretas o incluso infecciones con virus en los propios ejecutables del GPG que
pueden debilitar tus llaves secretas en el futuro.
3.5 Generando el par de llaves
El proceso de crear un par de llaves es sencillo, basicamente s�lo necesitas
ejecutar gpg --gen-key. Sin embargo, recomiendo que tambi�n generes un
certificado de cancelaci�n para tus llaves en caso de perdida de la llave secreta (eso
significa que has olvidado la palabra clave o has pedido la llave secreta). El comando
para generar el certificado de cancelaci�n puede encontrarse en el apartado
3.7 de este documento.
Los siguientes pasos deben ser utilizados con la suficientes seguridad, por ejemplo:
Algunas personas se sienten m�s seguras utilizando estas medidas b�sicas, por ejemplo si tienes un ordenador port�til o de sobremesa con la que lees los mails, estar�s m�s c�modo si guardas las llaves en ese ordenador. Tambi�n puedes crear las llaves sin peri�do de caducidad para poder ser identificado y para las comunicaciones habituales - puedes generar otro par de llaves para comunicaciones extremadamente m�s seguras (si las tienes). Las siguientes instrucciones deben de ser escritas bajo las mejores medidas de seguridad, no necesitas seguirlas todas, s�lo aquellas para generar el par de llaves. Por otro lado, si eres extremadamente paranoico como yo siguiendos las siguientes directivas te proveer� temporalmente con una sensaci�n de fugaz calma que necesitas sentir en este momento.
Las siguientes instrucciones deben seguirse con la mayor seguridad (paranoia) posible, por ejemplo:
1) Ve a www.gnupg.org y bajate la �ltima versi�n de gnupg: gnupg-x.x.x.tar.gz
Advertencia: Asegurate que estas utilizando almenos la versi�n 1.0.6 of GnuPG. ya que anteriores versiones tenian un fallo de seguridad.
2) Comprueba la firma y el MD5 Checksum del programa GnuPG:
bash$ gpg --verify gnupg-x.x.x.tar.gz.sig gnupg-x.x.x.tar.gz
bash$ md5sum gnupg-x.x.x.tar.gz
3) Extraer los archivos, configurarlos, compilarlos e instalarlos:
bash$ tar xvzf gnupg-x.x.x.tar.gz
bash$ cd gnupg-x.x.x
bash$ ./configure
bash$ make
bash$ su
bash# make install
bash# exit
bash$ cd
Si estas compartiendo el sistema donde instalas el GnuPg con otros usuarios, debes tambi�n querer poner el gpg en la root de esta forma su ejecuci� ser� m�s segura. Si lo haces as�, debes comprobar el md5 y la firma del pgp para estar seguro de no estar instalando un troyano.
4) Consigue un disquette para almacenar las llaves y formatealo.
bash$ /sbin/mkfs.ext2 /dev/fd0
4a) Montar el disquette y haz un directorio para tus llaves:
bash$ mount /mnt/floppy
bash$ mkdir /mnt/floppy/.gnupg
y si es necesario (y dependiendo del acceso a fd0):
bash$ chown <your_uid>:<your_gid> /mnt/floppy/.gnupg
4b) Crea un enlace desde tu directorio local hacia el disquette
bash$ ln -s /mnt/floppy/.gnupg .gnupg
5) Crear un par de llaves
bash$ gpg --gen-key
5a) Seleccionar el tipo de llave que quieres - La que nos suguiere es suficiente.
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(4) ElGamal (sign and encrypt)
Your selection? <return>
5b) Seleccionar el tama�o: 2048
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
What keysize do you want? (1024) 2048<return>
Do you really need such a large keysize? yes<return>
5c) Seleccionar un periodo de caducidad: 5 a�os es suficiente
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 5y<return>
Key expires at Sun Sep 21 16:17:15 2005 EDT
Is this correct (y/n)? y<return>
5d) Introduce tu nombre y tu direccion(es) de correo electr�nico...
Real name: Demo User<return>
Email address: [email protected]<return>
Comment:
You selected this USER-ID:
"Demo User <[email protected]>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O<return>
5e) Escoje una frase clave, debes escoger una buena lo sufientemente larga para no ser adivinada y lo suficientemente f�cil para que no te olvides de ella. Si te olvidas de la frase no podr�s recuperar tus llaves.
5f) Mueve el raton y haz algunos clicks en el escritorio o ejecuta una b�squeda grande. GPG est� buscando n�meros aleatorios para crear las las llaves, de esta forma introducir�s mas aleatoriedad interrumpi�ndole. interrumpe.
6) Modifica la llave si quieres, por ejemplo si tienes multiples cuentas
de correo que quieras a�adir como v�lidas a tu llave:
bash$ gpg --list-secret-keys
/home/demo/.gnupg/secring.gpg
----------------------------
sec 1024D/C01BAFC3 2000-09-21 Demo User <[email protected]>
ssb 2048g/7A4087F3 2000-09-21
bash$ gpg --edit-key C01BAFC3
Command> help
Command> adduid
[...]
Command> save
7) Envia tus llaves a un servidor:
[vab@firster vab]$ gpg --keyserver <servidor> --send-key <ID_Llave>
Debes ver un mensaje de �xito como este:
gpg: success sending to `<servidor>' (status=200)
3.6 Publicando tu llave en un servidor de llaves
Hay gente que cree que es importante mantener su llave p�blica en secreto ya que le otorga mayor seguridad en sus comunicaciones. Esto es cierto por que un servidor puede ser manipulado o comprometido y enviar llaves p�blicas de forma incorrecta. Por ello, la llave p�blica que se envia a los servidores no debe ser la �ltima actualizaci�n de la misma. Por ejemplo, firmas adicionales pueden ser a�adidas a la llave p�blica local pero no subidas al servidor de llaves. Eso es as� porque la llave p�blica del par de llaves es necesaria para realizar cierto ataques en criptosistemas. Estos ataques dificilmente podr�n tener �xito, no importa si la llave p�blica es emitida, ya que la fuerza del par de llave reside en mantener oculta la llave secretra.
Yo no recomiendo que mantengas tu llave p�blica en secreto por que eso desanima a los dem�s usuarios que utilizan PGp en sus comunicaci�n contigo. Para evitar la posibilidad de que el servidor est� comprometido o haya sido alterado en su retorno de llaves p�blica es recomendable que publiques las huellas de tu llave dentro de un fichero .signatura o en tu p�gina web, para evitar la posibilidad de que alguien ataque tu llave p�blica y de esa forma comprometa la seguridad de tus comunicaciones, puedes generar otro par de llaves adicional (que caduque en horas o en dias) para cada una de las comunicaciones e intercambios de llaves.
Si no deseas que tu llave est� en un servidor, no debes realizar el �ltimo paso e indicar al coordinador del Grupo de Firmas que tu llave firmada no debe subirse al servidor de llaves. El coordinador puede extraer los detalles de tu llave y reenviarlos a los dem�s participantes via correo encriptado, o por otros m�todos, adjuntando una nota indicando que deben devolverse una vez firmado en vez de subirlar al servirdor de llaves.
3.7 Generando un Certificado de Cancelaci�n
Este paso es opcional.
La creaci�n y almacenamiento del Certificado de Cancelaci�n te permitir� cancelar tu llave p�blica en cualquier momento que pierdas acceso a tu llave privada o esta se vea comprometida: fallo del soporte, ataque, olvido de frase secreta. Si quieres cancelar la llave p�blica incluso cuando no tienes acceso a la llave privada, entonces debes generar un Certificado de Cancelaci�n y almacenarlo en un lugar seguro. Puedes incluso imprimir una copia del certificado para poder entrarla manualmente, por si falla el medio de almacenaeje.
Si el Certificado de Cancelaci�n queda comprometido, la persona que lo comprometa podr� cancelar la llave p�blica en circulaci�n, sin embargo no podr� acceder a la llave secreta y tampoco podr� generar falsas firmas, desencriptar mensajes o cualquier otra cosa que pueda hacer el usuario del par de llaves. Realmente lo �nico negativo de esto es que deshabilita el par de llaves.
3.9 Cancelando tus llaves.
El comando GnuPG para crear un Certificado de Cancelaci�n es:
bash$ gpg --output revcert.asc --gen-revoke <ID_Llave>
9) Envia la informaci�n al Coordinador indic�ndole que vas a asistir a el Grupo de
Firmas. El siguiente comando te permite imprimir la informaci�n necesaria y que debes
enviar al coordinador si no utilizas un ser servidor de llaves, pueden enviar la
informaci�n encriptada al coordinador.
bash$ gpg --fingerprint <ID_LLave>
10) Desmontar el disquette y expulsarlo:
bash$ umount /mnt/floppy
Nota: Para una m�xima seguridad, puedes llevarte contigo el disquette all� donde vayas o puedes dejarlo en un lugar seguro, encerrado en tu escritorio, etc. DO DEBES dejar tus llaves accesibles por internet.
11) Ir a el Grupo de Firmas.
Paso 1: Obtener un copia de la llave.
Normalmente se obtiene de los servidores de llaves, sin embargo si la llave no est�
disponible en el servidor puedes importarla utilizando gpg --import.
Si trabajas con servidores de llaves, el siguiente comando te servir� para descargar la
llave publica e incorporarla en tu anillo p�blico.
bash$ gpg --keyserver <servidor> --recv-keys <ID_Llave>
Si recibes un error, significa que el servidor est� sobrecargado. Por favor, int�ntalo dentro de unos segundos.
Paso 2: Huella y verificado de llave
bash$ gpg --fingerprint <ID_Llave>
GPG imprimir� la huella del usuario <ID_Llave> (la llave que se acaba de descargar). Comprobamos la huella con la que tenemos en el listado del Grupo de Firmas. Nota: No compruebes la huella de tu listado contra la huella que aparece en la web del servidor, ya que puede no haberte enviado la misma llave.
Paso 3: Firmar una llave
bash$ gpg --sign-key <Key_ID>
Si tienes multiples llaves privadas, debes especificar cu�l de todas tu llaves
privadas es la que va a firmar la llave p�blica, este es el comando:
bash$ gpg --default-key <ID_a_usar> --sign-key <ID_Llave>
Si tienes problemas con llaves tipo RSA es por que probablemente est�s utilizando una
versi�n antigua de GnuPg. Versiones anteriores a la 1.0.3 no incluye compatibilidad con
RSA. Nota: Debes desintalar la versi�n antigua, para comprobar que versi�n estas
utilizando usa el siguiente comando:
bash$ gpg --version
Paso 4: Devolver o subir la llave firmada
Si estas trabajando con una entidad que no quiere que su llave est� en un servidor p�blico, deber�s devolver la llave p�blica firmada a su propietario por el m�todo que �l eliga - normalmente encriptada. No debes enviar la llave p�blica firmada al servidor sin el permiso de su propietario. Publicar una llave reduce levemente la seguridad del par de llaves, por lo tanto est� mal visto publicar una llave si su propietario no lo desea.
Pero normalmente trabajar�s con servidores de llaves. Si es el caso, deber�s enviar
la llave p�blica firmada de vuelta al servidor con el siguiente comando:
bash$ gpg --keyserver <servidor> --send-key <ID_Llave>
Ver�s un mensaje de �xito como este:
gpg: success sending to `<servidor>' (status=200)
Felicidades, el firmado de llave p�blica ha terminado y tu firma ha sido incluida en su llave p�blica. Se han establecido las v�as de confianza.
En el momento que sospeches que tu llave secreta ha sido comprometida, debes cancelarla de forma inmediata. La cancelaci�n de llaves tiene lugar a�adiendo una firma de cancelaci�n dentro de tu llave p�blica. La cancelaci�n de una llave p�blica sugiere que la llave ya no es v�lida (segura) y no debe usarse. Cuando se libera un Certificado de Cancelaci�n este no puede retrocederse.
Piensa que tu llave PGP se ha distribuido (est� en circulaci�n) para los dem�s desde un punto central (servidor de llaves) al cu�l se accede cada vez para obtenerla, debes distribuir o poner en circulaci�n el Certificado de Cancelaci�n de la misma forma que has distribuido tu llave p�blica. Para poner en circulaci�n el certificado de cancelaci�n de la misma forma que tu llave p�blica s�lo hay que subirla al servidor de llaves p�blicas. Si no lo has subido por razones de seguridad, puede que ahora si debas subir el Certificado de Cancelaci�n al servidor de llaves. En ese caso deber�s plantearte una leve inseguridad como resultado de publicar tu llave en un servidor de llaves y reducir el peligro de que alguien no se entere de que tu llave ha sido cancelada.
El comando para crear el Certificado de Cancelaci�n es:
bash$ gpg --output revcert.asc --gen-revoke <key_id>
Si tienes sospechas de como o cuando tu llave ha sido comprometida y generaste un certificado de cancelaci�n en su momento, deber�as de crear un nuevo certificado que cancele tu par de llaves, ya que en openPGP se puede dar un motivo por el cu�l se cancela el par de llaves e incluso se puede a�adir unas cuantas lineas de texto. Enviar este nuevo Certificado de Cancelaci�n sobre el antiguo es mucho mejor, ya que el texto es m�s espec�fico que el inicial.
Llave - Uno o m�s bits de informaci�n usados para procesos de encriptaci�n y desencriptaci�n.
Huella - Si PGP, un valor que identifica a la llave generada por un m�todo de "hash" de su contenido.
Par de Llaves - En la criptograf�a p�blica, una par de llaves consiste en una llave p�blica y otra privada o secreta, ambas estan relacionadas.
Anillo - Una colecci�n de llaves. Este t�rmino se utiliza en relaci�n al PGP donde el anillo consiste en una colecci�n de uno a m�s paquetes de llaves.
Servidor de Llaves - Es un sistema donde se almacena llaves. Estos servidores se utilizan para recuperar llaves p�blicas de personas con las cuales no se ha contactado.
Grupo de Firmas - Reuni�n de personas que utilizan tecnolog�a de encriptaci�n PGP con el prop�sito de permitier que otra gente firme sus llaves p�blicas mutuamente para extender las v�as de confianza.
openPGP - El estandard abierto que define el sistema de seguridad del PGP.
Pretty Good Privacy [PGP] - Software Privado desarrollado por Phil Zimmermann, en el cu�l se incluye criptograf�a p�blica, el estandard en el formato de llaves y con criptograf�a sim�trica.
Llave P�blica - En la cripograf�a p�blica, la llave del par de llaves que es compartida.
Anillo P�blico - Un anillo de llaves p�blicas. Este t�rmino esta relacionado con PGP.
Radix - Un m�todo de codificaci�n de datos que es transmitido por un canal que s�lo soporta 8 bits. Por ejemplo, un correo o UseNet.
Llave Secreta - En la criptograf�a p�blica, en el par de llaves la que se debe mantener segura.
Anillo Secreto - Una colecci�n de llaves secretas. Este t�rmino se utiliza en relaci�n al PGP donde el anillo consiste en una colecci�n de uno a m�s paquetes de llaves.
Vias de Confianza - Una ruta de confianza que va desde una entidad hasta otra. En PGP, este es el enlace que va entre dos llaves p�blicas
Sistema de Confianza - Colleci�n de firmas basado en las v�as de confianza sobre un usuario conc�ntrico que es el modelo que provee la autentificaci�n. La confianza que hay entre un grupo de llaves.
5.1 Lista de servidores p�blicos
5.2 Enlaces a documentos relacionados
5.5 Normativa RFCs Relacionada
Copyright (c) 2000 - 2003 V. Alex Brennen.
El permis� est� garantizado para copiar, distribuir y/o modificar este documento bajo los t�rminos de la GNU Free Documentation License, Version 1.1 o cualquier otra veris�n publicada por Free Software Foundation.
Este documeto se encuentra en http://members.fortunecity.com/keyparty/gpg-party.html
Version 1.0.0, 2000.10.01 Initial Release.
Version 1.0.1, 2000.10.03 Format/Writing changes, private public keys info.
Version 1.0.2, 2000.12.07 HTML (Bad Link) Fix.
Version 1.0.3, 2001.01.14 Simplification revisions, graphing, keyserver security/etiquette information, perl code, announcement examples, additional material, and general fixes.
Version 1.0.4, 2001.06.21 Revocation information added: 3.5, 3.7. RFC info added: 4.4. Keyserver list and web site links updated.
Version 1.0.5, 2003.03.24 Glossary Added: 4. Pictures Added: 5.5. Minor corrections, additional material, and formatting changes.
Version 1.0.6, 2003.03.24 New Content: Zimmermann-Sassaman Method, Brennen Method. General document clean-up.
Version 1.0.7, 2003.05.07 Added German Translation
Version 1.0.8, 2003.05.09 Added Section 5.3 Related Programs
Este documento se encuentra s�lo disponible para los siguientes idiomas:
[en] English
[de]German (Local Mirror)
[si] Slovenian (Local Mirror)
[es] Spanish (Local Mirror)
Si conoces alguna otra traducci�n o quieres traducirlo a alg�n otro idioma, por favor, hazmelo saber para que se pueda distribuir o enlazar con la nueva versi�n traducida.
V. Alex Brennen (Principal Author)
Darxus (Graphing Code (sig2dot.pl & sigtrace.pl))
Bostjan Muller (Slovenian Translation)
Gerfried Fuchs (German Translation)
Alex Bergonzini (Spanish Translation)
