Diferencia entre revisiones de «Pretty Good Privacy»
m Revertidos los cambios de 190.232.164.126 a la última edición de 200.46.80.243 |
|||
| Línea 29: | Línea 29: | ||
== Firmas digitales == |
== Firmas digitales == |
||
PGP apoya la autenticación de mensaje y la comprobación de integridad. Éste es usado para descubrir si un mensaje ha sido cambiado, ya que fue completado (la propiedad de integridad de mensaje), y el antiguo para determinar si realmente fue enviado por la persona/entidad reclamada para ser el remitente (una firma digital). En PGP, éstos son usados en ausencia junto con la codificación, pero pueden ser aplicados a plaintext también. El remitente usa PGP para crear una firma digital para el mensaje con el RSA o con algoritmos de firma DSA. Para hacer esto, PGP calcula un picadillo (también llamdo resumen de mensaje) del plaintext, y luego crea la firma digital de aquel picadillo usando las llaves privadas del remitente. |
PGP apoya la autenticación de mensaje y la comprobación de integridad. Éste es usado para descubrir si un mensaje ha sido cambiado, ya que fue completado (la propiedad de integridad de mensaje), y el antiguo para determinar si realmente fue enviado por la persona/entidad reclamada para ser el remitente (una firma digital). En PGP, éstos son usados en ausencia junto con la codificación, pero pueden ser aplicados a plaintext también. El remitente usa PGP para crear una firma digital para el mensaje con el RSA o con algoritmos de firma DSA. Para hacer esto, PGP calcula un picadillo (también llamdo resumen de mensaje) del plaintext, y luego crea la firma digital de aquel picadillo usando las llaves privadas del remitente. |
||
.Ç |
|||
== Web de confianza == |
== Web de confianza == |
||
Revisión del 22:07 1 may 2010
Pretty Good Privacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.
PGP originalmente fue diseñado y desarrollado por Phil Zimmermann en 1991. El nombre está inspirado en el del colmado Ralph's Pretty Good Grocery de Lake Wobegon, una ciudad ficticia inventada por el locutor de radio Garrison Keillor.
Como Funciona PGP
PGP combina algunas de las mejores características de la criptografía simétrica y la criptografía asimétrica. PGP es un criptosistema híbrido.
Cuando un usuario emplea PGP para cifrar un texto plano, dicho texto es comprimido. La compresión de los datos ahorra espacio en disco, tiempos de transmisión y, más importante aún, fortalece la seguridad criptográfica. La mayoría de las técnicas de criptoanálisis explotan patrones presentes en el texto plano para craquear el cifrador. La compresión reduce esos patrones en el texto plano, aumentando enormemente la resistencia al criptoanálisis.
Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará una vez. Esta clave es un numero aleatorio generado a partir de los movimientos del mouse y las teclas que se tipeen durante unos segundos con el propósito específico de generar esta clave (el programa nos pedirá que los realicemos cuando sea necesario).
Esta clave de sesión se usa con un algoritmo simétrico convencional (IDEA, 3DES) para cifrar el texto plano.
Una vez que los datos se encuentran cifrados, la clave de sesión se cifra con la clave publica del receptor (criptografía asimétrica).
La clave de sesión cifrada se adjunta al texto cifrado y el conjunto es enviado al receptor.
El descifrado sigue el proceso inverso. El receptor usa su clave privada para recuperar la clave de sesión, que PGP luego usa para descifrar los datos.
La combinación de los dos métodos de cifrado permite aprovechar lo mejor de cada uno. El cifrado simétrico o convencional es mil veces más rápida que la asimétrica de clave pública. La asimétrica de clave pública a su vez provee una solución al problema de la distribución de claves en forma segura.
Las llaves empleadas en el cifrado asimétrica se guardan cifradas protegidas por contraseña en el disco duro. PGP guarda dichas claves en dos archivos separados llamados llaveros; uno para las claves públicas y otro para las claves privadas.
PGP como estándar de Internet
La IETF se ha basado en el diseño de PGP para crear el estándar de Internet OpenPGP. Las últimas versiones de PGP son conformes o compatibles en mayor o menor medida con ese estándar. La compatibilidad entre versiones de PGP y la historia del esfuerzo por estandarizar OpenPGP, se tratan a continuación.
Firmas digitales
PGP apoya la autenticación de mensaje y la comprobación de integridad. Éste es usado para descubrir si un mensaje ha sido cambiado, ya que fue completado (la propiedad de integridad de mensaje), y el antiguo para determinar si realmente fue enviado por la persona/entidad reclamada para ser el remitente (una firma digital). En PGP, éstos son usados en ausencia junto con la codificación, pero pueden ser aplicados a plaintext también. El remitente usa PGP para crear una firma digital para el mensaje con el RSA o con algoritmos de firma DSA. Para hacer esto, PGP calcula un picadillo (también llamdo resumen de mensaje) del plaintext, y luego crea la firma digital de aquel picadillo usando las llaves privadas del remitente.
Web de confianza
Tanto codificando mensajes como verificando firmas, es crucial que la clave pública enviada a alguien o alguna entidad realmente 'pertenezca' al destinatario intencionado. Simplemente el hecho de descargar una llave pública de algún sitio perteneciente a una asociación, no nos asegura aplastantemente que podamos confiar en dicha asociación. El PGP tiene, desde sus primeras versiones, provisiones siempre incluidas para distribuir las llaves públicas de un usuario en 'un certificado de identidad' que es construido usando criptotrafía asegurando de esta manera que cualquier tergiversación sea fácilmente detectable. Pero simplemente la fabricación de un certificado que es imposible modificar sin ser descubierto con eficacia es también insuficiente. Esto puede prevenir la corrupción sólo después de que el certificado ha sido creado, no antes. Los usuarios también deben asegurar por algunos medios que la llave pública en un certificado realmente pertenece a la persona/entidad que lo reclama. De su primera liberación, los productos de PGP han incluido un certificado interno 'examen del esquema' para asistir junto a este; un modelo de confianza que ha sido llamado una web de confianza. Una llave pública dada (o más expresamente, información que liga un nombre de usuario a una llave) puede ser digitalmente firmada por un usuario tercero para dar testimonio a la asociación entre alguien (realmente un nombre de usuario) y la llave. Hay varios niveles de confianza que pueden ser incluidos en tales firmas. Aunque muchos programas lean y escriban esta información, pocos (si alguno) incluyen este nivel de certificación calculando si hay que confiar en una llave. La web del protocolo de confianza fue descrita por Zimmermann en 1992 en el manual para la versión 2.0 PGP:
Seguridad en PGP
Utilizado correctamente, PGP puede proporcionar un gran nivel de seguridad. A diferencia de protocolos de seguridad como SSL, que sólo protege los datos en tránsito (es decir, mientras se transmiten a través de la red), PGP también puede utilizarse para proteger datos almacenados en discos, copias de seguridad, etcétera.
PGP Usa una función de 4 claves.
Véase también
Enlaces externos
- The International PGP Home Page
- The Open PGP Home Page
- PGP: privacidad bastante buena (en castellano)
- Historia del PGP (en inglés). Introducción del libro PGP & GPG: Email for the Practical Paranoid. Lucas, M. (2006). San Francisco: No Starch Press.