PGP: Criptografía híbrida para más seguridad
El contexto actual en el cual la información que se mueve por internet es tan importante como expropiable, fácil de espiar o de distorsionar, la criptografía es el recurso que muchos utilizan para esconder sus mensajes. Uno de los sistemas de criptografía más fuertes es el de PGP (Pretty Good Privacy), que mezcla dos modelos de criptografía como lo son la de clave pública y la convencional, o también asimétrica y simétrica. En este informe te contamos de qué se tratan estos modelos de criptografía y cómo hace la aplicación PGP para fusionarlas y crear un modelo de criptografía híbrida que tiene ventajas para nuestra seguridad en todos los planos.
Qué es PGP
Creado en 1991, PGP es una aplicación informática que sirve para encriptar y desencriptar archivos y compartirlos a través de protocolos de seguridad que incorporan lo mejor de diferentes estilos de criptografía y hacen de las comunicaciones algo más seguras y menos accesibles al criptoanálisis. Además, permite la certificación de los mensajes recibidos, sus receptores, sus destinatarios y la inviolabilidad de su contenido. Pero para entender cómo funciona PGP hay que comprender los conceptos que le dan vida, y por eso haremos un obligatorio repaso por los conceptos de criptografía y encriptación.
¿Qué es la criptografía y la encriptación?
Hay una historia muy utilizada a la hora de explicar los orígenes de la encriptación a gente que no está familiarizada con el concepto y es la siguiente: Cuando Julio César quería enviarle mensajes a los altos mandos de sus ejércitos, él no confiaba en los mensajeros de rango bajo y altamente corruptibles, por lo que reemplazaba cada A de su mensaje con un D, cada B por una E y así hasta la Z. Esta es la famosa regla de “reemplazar por 3”, y quien no la supiera, no podía descifrar el mensaje. Como en ese momento no había Google, el mensaje llegaba con alta seguridad a sus receptores.
Criptografía convencional
La criptografía convencional o la criptografía de clave secreta o de clave simétrica, utiliza una misma clave tanto para encriptar como para desencriptar. Es el caso del ejemplo ofrecido de Julio César, donde una misma regla (o clave) se emplea para cifrar y descifrar el mensaje. Este sistema es el más rápido, pero tiene un problema fundamental: ¿Quién asegura que el intercambio de la clave única no será interceptado por un tercero?
Criptografía de clave pública
Nacido como concepto y técnica a mediados de los años 70, la criptografía de llave o clave pública utiliza un par de claves en vez de una, dividiendo así el proceso de encriptación y desencriptación de una manera más compleja, personalizada y segura. La idea es que cada posee una clave pública única, accesible a cualquiera, y una clave privada que solo él conoce. El remitente encripta su mensaje con la clave pública del receptor, y este, a la hora de recibirlo, utiliza su clave privada para desencriptarlo, como si recibiera una caja fuerte cuya llave solo él posee.
Cómo funciona PGP
Pretty Goog Privacy, funciona básicamente a través de la fusión de los dos tipos de encriptación comentados anteriormente, por lo que se trata de un criptosistema híbrido. Cada vez que algún quiere enviar un mensaje cifrado, PGP encripta primero el –supongamos– texto plano, realizando una compresión del archivo que, además de reducir su peso y facilitar el transporte, aumenta su resistencia al encriptado y dificulta las técnicas de criptoanálisis.
El paso siguiente que se realiza en PGP es la creación de una Clave de Sesión, una clave secreta de uso único (válida solo para ese proceso). Se genera de forma aleatoria basándose en el movimiento del ratón y las teclas que se presionan durante unos segundos. Al aplicarla sobre el texto plano comprimido, el archivo queda completamente cifrado, obteniéndose lo que se denomina –y sin traducir por respeto al idioma– ciphertext. El paquete se cierra y se cifra con la clave pública del receptor. La alternativa que propone PGP, en contraste con otros métodos, es que además de la compresión, la clave se incluye dentro del paquete cifrado, creando así, siguiendo el ejemplo anterior, un cofre cerrado cuya llave se encuentra en su interior.
Desencriptar con PGP
Una vez que el archivo se pone a disposición del receptor original, la desencriptación se realiza cuando este introduce su clave privada para recuperar la clave de sesión única. Con ella, PGP desencripta el resto del código y, a partir de ese momento, el archivo es completamente legible.
Firmas digitales y web de confianza
Uno de los baluartes del sistema PGP son las llamadas firmas digitales, que permiten verificar si el archivo original ha sido modificado por terceros o si quien afirma ser su remitente lo es realmente. Este sistema se ha utilizado en mensajes internos, como los de Wikileaks, aunque eso ya queda en manos de cada uno. Además, las firmas digitales se pueden generar cada vez que se requiera, y otro mecanismo de verificación es la Web Trust o Web de confianza, que certifica que la clave pública corresponde a un o institución específica.
El programa
Dada su filosofía y estructura de trabajo, la aplicación PGP está disponible para todas las plataformas, desde MS-DOS, Atari y Amiga hasta Windows XP, Mac y Linux. El sistema, siempre dependiendo de en qué plataforma se utilice –y esa es la razón principal por la que se presentó primero para, en otro momento, desarrollar un tutorial– muestra una visualización sencilla de menús y acciones para cifrar archivos con apenas dos clics. Para crear las claves se utiliza PGPkeys, que también las istra. Lo más complicado a veces es encontrar la forma de distribuir la clave pública; en principio existen dos variantes: mediante un servidor de claves (como los del MIT o PGP.com) o generando un fichero de texto para compartir. Para ambos casos, se debe abrir PGPKeys y seleccionar el par de claves. También está PGPMail, que encripta y desencripta los mensajes, y PGPDisk, que cifra parte de un disco duro para evitar el a la información en caso de robo o pérdida.
¿Por qué deberíamos usar PGP?
La explicación sobre por qué deberías utilizar PGP –o en realidad cualquier tipo de encriptación segura– y por qué este método se convirtió en un estándar, fue escrita por el mismo autor del programa, Phil Zimmerman, y creemos que la mejor forma de iniciarte en este proyecto es contándotelo con sus propias palabras, que son –creemos– insustituibles: “[PGP] es personal. Es privado. Y sólo a ti te importa. Puedes estar organizando una campaña electoral, hablar de tus impuestos o teniendo una aventura. O puede que estés haciendo algo que piensas que no debería ser ilegal, pero lo es. Por todo esto, no quieres que tu correo electrónico (E-mail) privado o tus documentos confidenciales sean leídos por nadie más. No hay nada de malo en mantener tu privacidad. La privacidad es uno de los derechos que establece la Constitución. (…) La seguridad está en la cantidad de gente que lo hace. Análogamente, sería agradable que si cada uno de nosotros usáramos la encriptación en todos nuestros correos, inocentes o no, nadie levantaría sospechas por proteger la privacidad de nuestro correo encriptándolo. Piénsalo como una forma de solidaridad (…) PGP permite a la gente tener su privacidad en sus propias manos. Hay una creciente necesidad social de privacidad. Por eso lo escribí.” La idea de este texto –como si faltase alguna aclaración– es básicamente esta: dado que un gran porcentaje de personas no encripta su correo, el porcentaje que sí lo hace se vuelve automáticamente sospechoso, porque “por algo lo encriptan”. Si todos encriptáramos, la tasa de sospecha se diluiría por ser inabarcable.
Hace tiempo que conozco acerca de PGP pero la verdad que no lo uso mucho, pero lo que mas me llego fue la sección "¿Por qué deberíamos usar PGP?"; lo difícil de esto es la falta de practicidad de uso para los recién iniciados (digamos en integración con extensiones de firefox, chrome, etc) para que usarlo en el correo sea cosa de un par de clicks. Si mal no recuerdo hay una extensión para firefox que nos ayudaba con esto pero la abandonaron hace tiempo.
Como agregado al artículo yo hubiera mencionado al proyecto GnuPG (GNU Privacy Guard), la alternativa libre a pgp, que funciona de maravilla.
Saludos
GPG se integra de puta madre en Evolution bajo GNU/Linux. Introducir clave y vía.
Esto lo tuve que estudiar en matemática discreta.. lindo quilombo
malpario de puta madre PGP me daño mi so windows 7 me lo reinicia y me da una pantalla azul.
que puedo hacer para solucionar esto y evitar el formateo de mi pc
¿Qué ha pasado con lo de los 30 millones de bebés incendiados?
Debes iniciar sesión para publicar un comentario.