Grumetes 2004
 
Ancla y timónAdaptación texto web: Nina, 04-2004

La seguridad en el correo. Encontrar una clave pública en el servidor.
La goleta de Sebastían Cuesta..El correo de Sebastian Cuesta

Hola a todos.

Esto viene a cuento para todos aquellos que usáis o pensáis usar PGP para obtener seguridad en el correo electrónico.

PGP proporciona dos utilidades básicas.
- - permite firmar digitalmente un mensaje
- - permite cifrar un mensaje

PGP es un sistema de cifrado de clave pública. Cada usuario tiene dos claves: una pública que debe difundir ampliamente (por eso es pública) y una privada que debe mantener en secreto pues en caso contrario se compromete la seguridad. La clave pública nos permitirá comprobar las firmas digitales del remitente y devolverle mensajes cifrados.

Las funciones de las claves son inversas y el conocer una de ellas no permite saber cual es la inversa. La seguridad de las claves está fundamentada en la dificultad que existe en la factorización de números primos enormes (la longitud de la clave).

Cuando un usuario crea un mensaje lo firma con su clave "Pública". Esto no significa nada más que utilizando su clave aplica un algoritmo "HASH" (el SHA 1, "Secure Hash Algoritm" 1 o el MD5, "Message Digest" 5) que aplicado repetidas veces sobre el mensaje lo revuelve de forma impredicible por lo que no es posible alterar el mismo, pues de cambiar un solo bit el resultado bubiera sido otro. Al llegar a su destino el destinatario aplica al mensaje el mismo algoritmo Hash, si obtiene el mismo resultado significa que el mensaje no ha sido alterado.

La otra función que permite PGP es el cifrado de los mensajes. Para cifrar un mensaje se utiliza la clave pública del destinatario. Una vez aplicada solamente la aplicación de la clave inversa (la privada)  permitira obener el tecto en claro, ni siquiera el autor del mensaje  puede verlo, es por eso que una de las opciones que PGP utiliza por defecto "es cifrar para la clave por defecto" para que el autor  puedes descifrar los mensajes cifrados.

Y a todo esto, ¿como obtenemos la clave pública de una persona?

Pues de muchas formas:
Habitualmente un usuario publicita su clave pública, por ejemplo,  Antonio Caravantes la tiene instalada en su web, otras personas te la enviarán si se la pides como texto plano, etc. Pero el mejor sitio  para obtenerla es un servidor de claves, como:

www.rediris.es/keyserver
http://pgp.rediris.es:11371/

que son dos direcciones del mismo servidor.

Proporcionando en dicha página los datos que sepamos obtenemos una,  varias o muchas claves que concuerdan con la petición.

La vigencia de una clave PGP puede ser ilimitada por lo que la vida de su creador puede haber dado muchas vueltas y habrá cambiado de  dirección de correo varias veces (nunca de nombre) y es muy probable  que la que obtengamos no parezca ser la que necesitamos.

La búsqueda en los servidores puede ser muy exacta, veremos algunos  ejemplos A la respuesta-mensaje de Antonio

Si ponemos como cadena de búsqueda sebascuesta@yahoo.es que es mi dirección de correo electrónico no obtenemos nada, sin embargo yo  siempre digo que uso PGP y que busques mi clave pública en los  servidores. Creo que con la información aportada se me puede encontrar. Veamos como:

Ponemos como cadena de búsqueda "Antonio Caravantes" y el keyserver  responde:

Una con dos identificadores de usuario (C9CBE06B) y la otra con uno  solo. Si probáis a importar las claves a vuestro PGP veréis que la  clave que usa Antonio está firmada por cinco personas (es una persona  relativamente conocida). La otra, que es un poco más vieja no está  firmada por nadie, debe ser una clave que no usa y que utilizaría en  su momento para pruebas. Si verificáis cualquiera de sus mensajes os  indicará que está firmada con la clave 0xC9CBE06B: ya tenemos la clave de Antonio.

Entonces, si tenemos el cúmero de clave que utiliza, ¿por qué no lo  utilizamos para buscar dicha clave en los servidores? esa es una  buena idea:

ponemos en la cadena de búsqueda del Keyserver el siguiente número:  0x8F2E53F8 que lo publicito en mis mensajes PGP o en la firma de los  mensajes (en los mensajes que llevan firma):

Obtenemos una clave a nombre de Sebastián Cuesta con dos identificadores curiosos:
cuesta@madrid.com
cuesta@mail.com

que son dos direcciones que ya no utilizo.

Y diréis ¿por qué no están acutalizadas las direcciones?  Pues porque PGP no permite eliminar los identificadores, puedes  añadir todos los que quiera, pero no puedes eliminar ninguno de un  servidor, de tal forma que los identificadores se verían muy liados y  no sabrías cual es el bueno.

Pues eso:
para obtener mi clave pública en un servidor:
busca por "sebastian cuesta sanchez"
busca la clave "0x8F2E53F8"

Un saludo a todos.




Divisor horizontal largo
Nina: Webmaster Taberna del Grumete