miércoles, 28 de marzo de 2012

Llave publica y privada? firma digital no es una imagen!!!

Bienvenidos una vez más mis apreciados lectores!!!

En esta ocasión le traigo un tutorial de GnuPG la verdad me motivo el hecho que hace un tiempo atrás cuando alguien me pidió una firma digital de un documento y al enviar y re-enviar el documento con su respectiva firma una y otra vez la persona en cuestión insistía en que el documento no estaba firmado, solo puedo decirles que al final esta persona quería una imagen de mi firma personal sobre la línea de firma al final del documento…

…adicional a esto hace poco realice un trabajo para la U sobre esta herramienta y de paso genere el contenido que a continuación les presento, el cual sé que les va a ser de gran utilidad
En esta ocasión todo lo hare con una herramienta basada en entornos Windows (es gratuita) lo bueno de GPG es que existen versiones de este para los diversos sistemas operativos de modo que todos podemos realizar este proceso, no siendo más manos a la obra

Primero vamos al sitio de la herramienta y después de descargarla realizamos el proceso de instalación que como cosa rara es next next next

 
Una vez tenemos nuestro software instalado podemos verificar que este nos instala diversas herramientas, en este caso iniciamos por la que nos permite realizar la gestión de nuestro llavero kleopatra


¿llavero?, si mis lectores para el uso de GPG en vista que se basa en la criptografía asimétrica, es necesario el uso de las llaves de las cuales existen dos tipos llaves públicas y privadas, una explicación breve del uso de estas que le hago de manera rápida seria:

Publica: es la llave con la que verifican tú firma en documentos y con la que cifran la información que te van a enviar

Privada: es la llave con la que firmas los documentos y descifras lo que te envían

Como en este punto no se poseen las llaves respectivas simplemente vamos a generarlas haciendo uso de kleopatra de modo que vamos al menu y seleccionamos..


escogemos el tipo de certificado, en este caso el par de llaves PGP


Al final recuerden crear un backup de sus llaves!!!


En este punto ya tienes tu par de llaves generado y lo único que resta es distribuir tu llave publica, lo cual puedes realizarlo enviado la misma por mail o alojándola en algún servidor de llaves como keys.gnupg.net  la mía además de este, también está en este server keyserver.pgp.com  (Este proceso no lo explico pues es bastante largo pero a la vez obvio, al punto que si tienen un correo electrónico y/o facebook les aseguro que podrán realizar este  proceso)

Si queremos importar la llave publica de algún amigo simplemente la buscamos en el servidor…


…o si nos ha sido enviada la misma copiamos el texto de la misma en un archivo.txt y lo importamos con kleopatra


Una vez tenemos lo necesario podemos usar a kleopatra para cifrar, verificar, firmar y descifrar, sin embargo les muestro el proceso más simplificado con la integración que tiene este software con el explorador de Windows

Primero vamos a firmar un archivo de texto:

De modo que en el explorador damos click derecho sobre el mismo y vamos al menú de nuestro software donde elegimos firmar


Una vez hecho esto se nos presenta esta interface en la cual nos dan opciones adicionales, en la cual  elegimos una vez mas solo firmar


En seguida nos pregunta con que vamos a firmar (ahora por comodidad simplemente vamos a hacer las cosas por defecto)


hecho esto nos pide la contraseña de desbloqueo de nuestra clave y por ultimo tenemos la confirmación del final de las tareas


como se puede ver se genera un archivo .sig el cual debemos enviar con el documento cifrado ya que el archivo original queda intacto y la firma como tal se almacena en el .sig

Para el proceso de cifrado realizamos lo siguiente:

De nuevo desde el explorador con click derecho vamos al menú del software y en este caso seleccionamos cifrar


en este punto se nos presentan las mismas opciones que en el proceso de firmado solo que seleccionada la de cifrado,


hecho esto se presentan las llaves que tenemos en nuestro llavero


en este punto debido a que se va cifrar debemos seleccionar la llave publica de la persona a la que le vamos a enviar la información cifrada, ya que es con esa llave con la que se cifra, en el caso que queramos cifrar y firmar adicionamos nuestra llave


una vez seleccionado simplemente se nos presenta la confirmación del proceso,


vale la pena aclarar que en este caso solo enviamos al destinatario el archivo cifrado, cuya extensión es .gpg


El descifrado y la verificación es similar de modo que para no aburrirlos les presento el proceso de descifrado:

Seleccionamos el archivo en cuestión y con click derecho vamos a descifrar


en este punto, en caso de tenerlos nos solicita los archivos de firmas


los caules una vez seleccionados presionamos descifrar/verificar y nos pide la contraseña, una vez terminado tenemos la confirmación (la nota de validez de la firma si se esta verificando)...

 
...y el archivo original!!!


¿Fácil o no?, la cuestión es: si estamos en una era tecnológica donde las comunicaciones son un componente fundamental ¿será que debemos seguir comunicándonos de manera insegura?,

Yo los invito a que se animen y aunque tome un tiempito de mas nos comuniquemos de una forma más segura y por qué no se anime e inicien con esto en el mundo de la criptografía!!!

hasta una proxima entrada!!!


Carlos Andres Rodallega Obando
@crodallega

PD: Saludos a mi compa Dario Gomez y a d7n0 que me roto una info para hacerles el otro post de pgp pero with nails!!!

4 comentarios:

  1. Muy buena explicación acerca del procedimiento, aunque a mi parecer sería bueno que explicaras a los visitantes un poco más acerca de las utilidades de la firma digital.

    Es decir, porqué y para qué se utilizan, de forma tal que se refleje su real importancia, y así para no parezca algo muy geek.

    Saludos

    ResponderEliminar
    Respuestas
    1. Claro victor, el problema es que probablemente se extienda y se torne aburridor, sin embargo para los que no saben como es el asunto les agrego el enlace al inicio....
      ...viejo gracias por tu comentario!!!

      Eliminar
  2. Colega, he realizado todos los pasos. Lo curioso fue cuando quise descifrar el archivo y no me pidio la clave privada para dicho proceso, osea que abrio sin problemas, pero no debería ser tan fácil, cierto? o me falto algo por hacer en la encriptación.

    Saludos!

    ResponderEliminar
    Respuestas
    1. Hola Victor
      Qué pena no haber respondido antes pero he estado bastante ocupado, el asunto es que cleopatra una vez introduces la frase de paso, la almacena en caché para no pedírtela cada que realizas algo, una vez cierres sesión en la máquina de nuevo tendrás que introducir tu frase de paso.

      Saludos!!

      Eliminar