GPG: integridad y confidencialidad
GNU PrivacyGuard – GPG- es la versión gratuita de PGP PrettyGoodPrivacy. Se trata de una herramienta de software libre multiplataforma, por lo cual se puede utilizar con cualquier Sistema Operativo. Brinda integridad y confidencialidad a través de cifrado y firma Electrónica.
Integridad y Confidencialidad
En el uso de GPG el cifrado y la firma electrónica son técnicas informáticas que se utilizan para brindar integridad y confidencialidad a mensajes o archivos intercambiados entre usuarios.
La firma electrónica asegura al receptor del mensaje, que el remitente es quien dice ser y que el mensaje o archivo no fue alterado desde el momento de la firma.
Asimismo, el cifrado genera que el mensaje original pueda ser leído solo por el destinatario legítimo. Si alguien más intentara leerlo, solo vería una mezcla de caracteres sin sentido.
La combinación de ambas técnicas es muy útil en el intercambio de mensajes de correo electrónico con información confidencial y garantiza, además, la identidad del remitente.
¿Cómo funciona?
GPG funciona con una clave pública (compartida) y una clave privada (secreta), generadas por cada usuario.
Quien firma electrónicamente utiliza su clave privada y el receptor del archivo o mensaje la verifica con la clave pública asociada. De esta manera se puede comprobar que el remitente es efectivamente quien dice ser.
Para el caso del cifrado, se utiliza la clave pública de quien vaya a leer el archivo o mensaje. De esta forma el contenido cifrado podrá ser leído solo por quien cuente con la clave privada asociada, como se muestra en la siguiente imagen:
Para la utilización de cifrado y firma electrónica es necesario haber generado la clave pública y privada. Sin embargo se pueden recibir correos firmados aunque no se utilice GPG.
¿Cómo se adquieren las claves públicas?
Las claves públicas de los usuarios GPG son subidas por los propios usuarios y se encuentran alojadas en servidores que ofician de repositorios.
¿Cómo confiar en la clave publicada?
La validación de claves no es algo de lo que GPG se ocupe. La confianza se logra mediante el denominado “anillo de confianza”. Los participantes en el anillo firman entre sí sus claves públicas con sus llaves privadas certificando, de esta manera, que la llave pública pertenece a la persona física a la que se atribuye. La persona que firma debe establecer esta correspondencia con base en un conocimiento externo, como por ejemplo, haberse encontrado físicamente con la persona de la que certifica la llave en el mundo real.
PKI: Una alternativa de confianza
Como alternativa a GPG existe también la PKI. En ésta la confianza se deposita en una Autoridad Certificadora, la cual es la responsable de validar al usuario en el momento de emitir el certificado.
Para descargar
El sitio oficial de GPG http://www.gnupg.org permite descargar la aplicación y los tutoriales de uso. Próximamente se publicará, además, un manual de generación de claves GPG para distintos Sistemas Operativos.
Fuente: