Hackeando con GPG

Pruebas, y más pruebas con GPG, la herramienta de cifrado de software libre.

no_privacy_without_free_software

Ayer te encontraste en el blog, un montón de letras, símbolos y números sin sentido en esta entrada del blog:

Y pensaste: ¿se le habrá ido la olla? ¿se le ha colado un alienígena en el blog? ¿La NSA ha interceptado sus mensajes? o quizás pensaste cosas peores!!

¿Qué pasó? El post de ayer necesitaba de tu atención, la herramienta GPG y poner un poco por parte del lector para poder “descifrar” lo que ponía…

La idea me vino de este artículo de la web de DanielSide:

Y de que la Free Software Foundation celebraba un año de la creación de su infografía para dar a conocer GPG y cómo defendernos de la vigilancia masiva de los gobiernos cifrando nuestros correos. Coincidiendo con el segundo aniversario de las declaraciones de Edward Snowden sobre los planes de vigilancia de los gobiernos a TODOS los ciudadanos.

Así que mezclando todos esos factores, también yo quise practicar, conocer e investigar algo más sobre eso de GPG, y de paso darla a conocer algo más…

Sobre La herramienta hay abundante información en la red. Está muy bien documentado en webs, blogs, wikis, etc… cómo instalar esta herramienta de software libre, cómo generar nuestro par de llaves (la pública y la secreta) cómo compartir nuestra clave pública, cómo cifrar, descifrar, o firmar documentos, correos, etc…

Sobre esto poco podría añadir yo, que no se haya expuesto en innumerables artículos, así que poco que decir. Poned a trabajar el buscador de internet favorito y buscáis en el sobre la materia.

Pero el movimiento se demuestra andando y nuestro rinconcito hacker y empírico nos impulsa a aprender, a probar, a testear. Todo esto gracias al software libre (lo había mencionado ya??)

Suponemos instalado GPG en tu sistema, y suponemos que tienes tus dos claves la pública que compartes y la privada que mantienes a buen recaudo.

Yo cometí un par de fallos de los que Daniel via GNUSocial y mediante correo cifrado me puso en alerta.

El primero fue en el formato del texto que copié en el post. Debe ser texto plano, sin añadidos de formatos, ni cosas raras, sino, no funciona. Al copiar en el blog el texto, lo formateó siguiendo el formato del blog, por lo que deformó algunas cadenas y GPG no lo entendía.

Solucionado esto con unas etiquetas <code> </code> vino el segundo problema. Mala comprensión por mi parte del cifrado y GPG.

Como me dijo Drymer, la clave pública es un candado abierto. Yo te lo entrego, tu preparas la caja con el contenido y cierras el candado. Ya nadie podrá abrir la caja sin la llave, y esa llave sólo la tengo yo ¿Buen ejemplo, no?

Yo cifré el contenido con mi clave pública (cerré el candado), con lo que en base a al cifrado asimétrico, necesitarías mi clave privada para “abrir el candado”, cosa que no podría suceder, porque mi clave secreta es sólo mía.

Hice varias pruebas, leí busqué por la web, etc. Pero finalmente Daniel me dijo la manera de hacerlo, o cómo lo había hecho él. Realmente tal como apuntó Drymer (una vez más) tiene poco sentido un cifrado en el que cualquiera pueda descifrarlo. Esa no es la esencia.

El quid de la cuestión se centra en que tu cifras algo para que sólo el receptor del mensaje (o tu mismo) puedas leerlo. Por tanto tendría que haber cifrado el texto con las claves públicas de todos los lectores, y mandárselo. Y ellos con su clave privada lo podrían haber descifrado…

Pero ese no es el caso. Lo que hizo Daniel y yo mismo fue firmar el texto con mi clave privada. Así el texto no está cifrado, sino sólo firmado. Y podéis asegurar que fui yo (o alguien con mi clave privada) quien lo escribió.

Para generar el texto utilicé el siguiente comando:

gpg --armor --sign archivo

Con esto GPG firma el texto (pero no lo cifra aunque quede con esos caracteres raros) El error fue pensar que necesitarías importar mi clave pública para poder leerlo.

Tal como Drymer comentó, con el siguiente comando podrías leerlo sin necesidad de tener mi clave pública.

echo “texto” > NSA; gpg –decrypt NSA

Donde texto sería la colección de caracteres incomprensibles, NSA un archivo donde volcarlo.

Por tanto el texto no está cifrado sino unicamente firmado por GPG.

Pero oye, fue un entretenido ejercicio de uso y lectura de las posibilidades de GPG. Además así quizás alguno importó mi clave pública y mediante vuestro cliente de correo debidamente configurado me puede enviar un correo cifrado de prueba.

Happy Hacking Richard Stallman

 

¿Finalmente qué aprendí de todo esto? Aprendí que gracias a gente que te ayuda, eres capaz de aprender más, lo bueno es seguir en esa rueda y lo que sabes volver a darlo. Así que gracias a Daniel y Drymer por su ayuda a aprender algo más.

Y por supuesto probando, me obligué a leer documentación sobre GPG, para realizar las diferentes pruebas, cosa que quizás no habría hecho!! 😉

Te animo a leer más, probar y hackear con el software libre, GPG o lo que tengas en mente. Aprender, y compartir lo que sepas.

Si quieres saber más sobre GPG, como he dicho hay mucha información, pero de entre todas citaré la infografía realizada por la FSF, de la que hay versión en español, y a su web sobre cómo proteger tu correo:

gnupg-infographic-es

Haz click para ampliar

————————————————–

 

12 pensamientos en “Hackeando con GPG

  1. Creo q me doy por contestado a mi pregunta en el otro post de por qué podía ver tu mensaje sin clave. Voy a intentar mandarte un correo cifrado para ver si me aclaro con este tema q me interesa mucho.

    • Te iba a decir eso, que echaras un vistazo al siguiente post…

      No olvides subir tu clave pública a algún servidor de claves, o enviarla como adjunto, para que yo la tenga y te pueda contestar.

      Saludos!!

  2. Hola.
    Pregunta:
    GPG se le conoce a GnuPG o GNU Privacy Guard, cierto.
    Pero, PGP, abreviaturas de “Pretty Good Privacy”, no es lo mismo que GPG?

  3. Me agrada la difusión de este tipo de herramientas para contrarrestar la vigilancia. Lamentablemente en todas las formas posibles seremos espiados, se aplastará nuestra privacidad y todo lo adyacente a ello. Excelente artículo.

Me gustaría saber tu opinión. Deja un comentario (Puedes usar MarkDown)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s