Locked History Actions

FLISOL2009/Venezuela/Caracas/GPG

(Basado en el documento[0] de José Parrella)

1. ¿Por qué?

Las llaves GPG son una herramienta de mucha utilidad a la hora de intercambiar información con seguridad y autenticar la identidad de los interlocutores en comunicaciones digitales.

Si alguno de ustedes desea convertirse en desarrollador oficial de proyectos como Debian, requerirá de una llave pública firmada por otros desarrolladores de Debian y lo suficientemente centrada en la red de confianza.

2. ¿Cómo?

2.1 Quiero participar. ¿Qué necesito?

  • La ID de la llave (key ID) y la huella digital de la llave (fingerprint)
  • La cédula de identidad y otro documento de identificación con foto (si pueden llevar el pasaporte, mejor)
  • Lápiz y papel

2.2 No tengo una llave GPG. ¿Cómo la creo?

  • Instalar el paquete que contiene las utilidades GPG en su distribución (en Debian: aptitude install gnupg)
  • Ejecutar gpg --gen-key con su usuario de trabajo
  • Escoger DSA y ElGamal

  • Escoger 1024 ó 2048 bits de longitud
  • Colocar la caducidad a discreción (yo coloco períodos de un año y renuevo, pero quizás sea más sencillo poner que la llave nunca caduca)
  • Colocar su nombre y apellidos completos, y entre paréntesis su nick, o su fecha de nacimiento
  • Colocar una dirección de correo electrónico principal
  • Colocar una clave para proteger la llave
  • Esperar a que haya suficiente entropía para el generador de números aleatorios.
  • Verificar con gpg --list-keys que todo haya quedado bien. Si no quedó, volver al paso 2.

2.3 ¿Como saco la ID y la huella?

Ejemplo:

jam@sao:~$ gpg --list-keys
/home/jam/.gnupg/pubring.gpg
----------------------------
pub   1024D/34BCCD04 2006-05-29
uid                  Juan Angulo Moreno <juan@apuntale.com>
uid                  Juan Angulo Moreno (GLOVE: Gnu/Linux Organizado
en Venezuela) <juan@glove.org.ve>
uid                  Juan Angulo Moreno <apostols@gmail.com>
uid                  Juan Angulo Moreno (0x29.com.ve) <jam@0x29.com.ve>
sub   1024g/BBCD2DD6 2006-05-29 [caduca: 2010-05-28]

La ID de la llave de este ejemplo es 34BCCD04. El fingerprint lo hallamos con gpg --fingerprint 34BCCD04:

Key fingerprint = 0FEE E0BF 2904 FE77 1682 2171 C842 DBF1 34BC CD04

2.4 ¿Y ahora?

Debe tener la ID de su llave (KEYID) ver paso 2.3.

Exportar su llave pública a un servidor de llaves:

$ gpg --keyserver pgp.mit.edu --send-keys KEYID

o visitando pgp.mit.edu y siguiendo las instrucciones.

Exportar su llave privada a un medio físico:

$ gpg --export-secret-keys KEYID > llave-secreta.asc

y luego poner llave-secreta.asc en un lugar seguro.

Crear un certificado de revocación, imprimirlo y exportarlo a un medio físico:

$ gpg --gen-revoke KEYID

y siguiendo las instrucciones

3. ¿Cómo la uso?

Teniendo su llave privada y su llave pública en sus anillos de llaves de su usuario de trabajo puede firmar y encriptar archivos, correos electrónicos y cualquier tipo de información. Si usa Mozilla Thunderbird puede usar la extensión Enigmail para trabajar con llaves GPG en el correo. Si usa KDE puede instalar kgpg y en Gnome está gnome-gpg y encuentran muchos más aquí [1]

Si subiste tu llave al servidor de llaves (tienes que hacerlo, de otra forma no podemos bajarnos tu llave) debería aparecer en la interfaz en una página como ésta [1a], donde las entradas "sig" son firmas que han hecho a tu llave.

4. ¿Para qué el firmado de llaves?

Conociéndonos podemos confiar en las llaves GPG de las demás personas, y podremos intercambiar información con confianza y seguridad. Además contribuímos a hacer crecer la red de confianza (Web of Trust) y establecemos un precedente en cultura de seguridad en el País.

En el evento, verificaremos los datos de las llaves públicas de los participantes (que llevarán la ID y la huella, y habrán subido sus llaves a los servidores) y los compararemos con sus documentos de identificación. En casa podremos firmar sus llaves, estableciendo confianza en la identidad del que conocimos.

5. Más información

Otras fiestas de firmado de llaves más grandes se hacen siguiendo un protocolo como éste [2] y de la misma forma hay más documentación en [3]. No hay nada en [4].

Hay varias personas en la lista que podemos ayudarles con temas relacionados con GPG. Si tienen alguna duda sobre lo que escribí, pueden iniciar un nuevo thread (ideal) ó replicar a este correo cambiando el subject. En todo caso, compartan todas las dudas por esta vía.

Referencias:

[0] http://listas.hispalinux.es/pipermail/l-unplug/2006-June/011285.html
[1] http://www.gnupg.org/(es)/related_software/frontends.html
[1a] http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0x005C3B82
[2] http://proyectos.bureado.com.ve/ksp/
[3] http://webber.dewinter.com/gnupg_howto/spanish/index.html