<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
        <META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=utf-8">
        <TITLE>Usando claves GPG</TITLE>
        <STYLE TYPE="text/css">
        <!--
                P.western { font-family: "Nimbus Sans L", sans-serif; font-size: 14pt }
                P.cjk { font-size: 10pt }
        -->
        </STYLE>
</HEAD>
<BODY LANG="es-ES" DIR="LTR">
<DIV ID="content" DIR="LTR">
        <H2><A HREF="http://ekaia.org/blog/2009/05/10/creating-new-gpgkey/">Usando
        claves GPG</A></H2>
        <P CLASS="western"><FONT FACE="Nimbus Sans L, sans-serif"><FONT SIZE=4>Hoy
        día enviar un mail es cosa muy común, lo que solemos olvidar es
        que un email es ni mas ni menos una carta postal sin sobre, es decir
        que cualquier entidad o persona que pueda interceptar nuestro mail
        puede leerlo sin mucha complicación. Un email, antes de llegar a
        nuestrx destinatarix, suele dejar un promedio de cinco copias a
        través del planeta. Nuestro proveedor de acceso a internet, la
        empresa que nos provee nuestra dirección de mail, la de nuestrx
        destinatarix, o programas de control como Echelon
        (<A HREF="http://es.wikipedia.org/wiki/ECHELON">http://es.wikipedia.org/wiki/ECHELON</A>)
        tendrán copia de nuestra correspondencia...</FONT></FONT></P>
        <P CLASS="western"><FONT FACE="Nimbus Sans L, sans-serif"><FONT SIZE=4>A
        pesar de que muchxs pensemos no tener nada por esconder, unx debería
        preguntarse porque razón debemos estar en pelotas frente a esas
        entidades, que muy a menudo buscan conocernos mejor para, por
        ejemplo vendernos más mierda de consumir...</FONT></FONT></P>
        <P CLASS="western"><FONT FACE="Nimbus Sans L, sans-serif"><FONT SIZE=4>Un
        par de claves de cifrado GPG nos permite comunicar por mail de forma
        “segura”, sencillamente, desde la tinta simpática, el ser
        humano avanzó mucho en términos de discreción y privacidad de sus
        comunicaciones, lo que ayer era reservado a ejércitos y asuntos
        gubernamentales, es hoy día al alcance de todxs ... A la diferencia
        que, un mensaje cifrado es una mancha de tinta en medio de nuestro
        mar de comunicaciones por mail, ( se nota que un mensaje es cifrado
        mismo si no se puede descifrar fácilmente) por eso en cuanto más
        usemos el cifrado, más discreción gana ese modo de comunicación...</FONT></FONT></P>
        <P CLASS="western"><FONT FACE="Nimbus Sans L, sans-serif"><FONT SIZE=4>Este
        artículo esta basado en el muy completo artículo publicado en
        Ana's Blog <A HREF="http://ekaia.org/blog/2009/05/10/creating-new-gpgkey/">http://ekaia.org/blog/2009/05/10/creating-new-gpgkey/</A>
        y en el GNU Privacy Handbook
        <A HREF="http://www.gnupg.org/gph/en/manual/book1.html">http://www.gnupg.org/gph/en/manual/book1.html</A></FONT></FONT>.
        He añadido comentarios mios acerca de anonimato y seguridad básica
        contra las fuerzas oscuras del imperio (!!)</P>
        <H2>El concepto</H2>
        <P CLASS="western">Imaginemos que les estoy enviando este texto por
        mail... Bueno la idea es que yo tengo una clave secreta y una
        publica, les adjunto al mail mi clave publica para que puedan
        cifrar los mails que me enviarán en el futuro. Con la publica solo
        se puede cifrar, no se puede descifrar, eso es el papel de la clave
        secreta. Por esto unx guarda celosamente su clave secreta, es decir
        que no la deja en su pendrive ya que lo podría perder...</P>
        <P CLASS="western">Ahora yo les voy a enviar este mensaje no cifrado
        (porque no tengo sus claves publicas todavía) pero sí "firmado".
        Es decir que voy a usar mi clave secreta para “firmar este
        mensaje”, cuya firma ustedes podrán averiguar la exactitud
        gracias a mi clave publica que les adjunto.</P>
        <P CLASS="western">Si, si, si, ya lxs veo decir... obviamente en el
        caso actual, nadie de ustedes puede estar seguro de que soy yo quien
        les escribe... <BR>Lo único que puedo hacer en este caso, si nos
        conociésemos de antemano, sería contarles que mi perra tuvo 17
        cachorros, en realidad 18 porque uno nació muerto en el primer
        parto, que la segunda cría eran diez negritos, lalala... O sea
        cosas que supuestamente seríamos lxs unicxs en poder saber,
        obviamente hay que tener imaginación y memoria, y tampoco es
        infalible...
        </P>
        <P CLASS="western">Bueno, llegamos ahí a la limitación virtual del
        uso de las claves... ES NECESARIO para tener TODA confianza en una
        clave (o sea en su procedencia) averiguar su validez por otro
        canal...</P>
        <P CLASS="western">Para esto se usa el "fingerprint" o sea
        la "huella digital" de una clave, la mía es <BR>6EDF 4ACE
        A1A9 CFCA A9EA 07CA 5659 FDF0 C0A4 22D3, su key ID: es 0x0C4CAC30,
        corresponde a los 8 últimos dígitos de la fingerprint, es como un
        identificador corto.. Así podremos intercambiar cara a cara o por
        teléfono nuestras huellas digitales de forma a asegurarnos que
        nuestra comunicación por email no fue interceptada...</P>
        <P CLASS="western">Un mismo par de claves puede ser usado para
        varias direcciones mail.. En realidad hasta el email que se indica
        en la clave puede ser uno inventado, esto puede ser útil si nuestra
        clave secreta fuese recuperada por accidente, la persona que la
        encuentre debería todavía saber a cual mail corresponde, pero
        bueno es un caso un poco trivial...</P>
        <P CLASS="western">Volvamos al uso de las claves, si desean escribir
        de forma cifrada a varias personas a la vez, deben tener la clave
        pública de cada unx de sus destinatarixs... Una clave de cifrado no
        solo sirve para cifrar mails, también pueden cifrar archivos en su
        computadora...</P>
        <P CLASS="western">Hay distintos métodos y algoritmos usados para
        claves de cifrado, el mas seguro hoy día, dicen que es el RSA, en
        4096 bits de tamaño...</P>
        <P CLASS="western" STYLE="border-top: none; border-bottom: 1.00pt solid #000000; border-left: none; border-right: none; padding-top: 0cm; padding-bottom: 0.07cm; padding-left: 0cm; padding-right: 0cm">
        <BR><BR>
        </P>
        <P CLASS="western">Pueden usar el cifrado de forma sencilla, con
        thunderbird más enigmail que es un Plugin para gestionar las llaves
        de unx...</P>
        <PRE>usuario@makina:~$ <B>sudo apt-get install thunderbird enigmail</B>
</PRE><P CLASS="western">
        Algo parecido pero mas útil para lxs que usan el mail desde
        webmail, es el Plugin FireGPG para Firefox (o iceweasel obvio), es
        un complemento o sea un fichero en formato .xpi</P>
        <P CLASS="western">En este tutorial veremos como utilizar gpg desde
        una terminal. <BR>Antes de todo necesitamos asegurarnos de tener una
        versión reciente del programa gnupg instalado en nuestra
        computadora...</P>
        <H2>Actualizar .gnupg/gpg.conf
        </H2>
        <P CLASS="western">Para conocer la versión de gpg que tenemos
        instalada:</P>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg –version</B></PRE><P CLASS="western" STYLE="font-weight: medium">
        Nos devuelve algo así:</P>
        <PRE STYLE="font-weight: medium">gpg (GnuPG) 1.4.9
Copyright (C) 2008 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Home: ~/.gnupg
Algoritmos disponibles:
Clave pública: RSA, RSA-E, RSA-S, ELG-E, DSA
Cifrado: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH
Resumen: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compresión: Sin comprimir, ZIP, ZLIB, BZIP2</PRE><P CLASS="western" STYLE="font-weight: medium">
        Si la versión de gpg es > a 1.4 vamos bien, o sea en una Debian
        lenny 5.x o una Ubuntu Jaunty deberíamos estar al día. Sino mas
        vale actualizar su sistema o por lo menos la versión de gnupg:</P>
        <PRE STYLE="margin-bottom: 0.5cm"><SPAN STYLE="font-weight: medium">usuario@makina:~$ </SPAN><B>sudo apt-get update; sudo aptitude install gnupg</B></PRE><H2>
        Crear claves</H2>
        <P CLASS="western">Queremos renovar o hacer por primera vez un par
        de claves GPG.<BR>Según las últimas noticias en términos de
        seguridad que tengo (septiembre 2009) es preferible usar RSA en 4096
        bits que los otros algoritmos propuestos, así que elegiremos RSA
        como tipo de clave para la parte “secreta” o sea para la firma
        personal y para descifrar los mensajes. Después crearemos una
        “subclave” para el cifrado o sea la parte pública.</P>
        <PRE>usuario@makina:~$ <B>gpg --gen-key</B>
...
Por favor seleccione tipo de clave deseado:
(1) DSA y ElGamal (por defecto)
(2) DSA (sólo firmar)
(5) RSA (sólo firmar)
Su elección: <B>5</B>
las claves RSA pueden tener entre 1024 y 4096 bits de longitud.
¿De qué tamaño quiere la clave? (2048) <B>4096</B>
El tamaño requerido es de 4096 bits
Por favor, especifique el período de validez de la clave.
0 = la clave nunca caduca
<n> = la clave caduca en n días
<n>w = la clave caduca en n semanas
<n>m = la clave caduca en n meses
<n>y = la clave caduca en n años
¿Validez de la clave (0)? <B>2y</B></PRE><P CLASS="western">
        Aquí elegimos la caducidad de la clave, 0 para que no expire nunca,
        pero darle un par de años de validez es una buena opción.</P>
        <PRE>La clave caduca vie 03 ago 2012 10:03:02 CEST
¿Es correcto? (s/n) <B>s</B>
…Necesita un identificador de usuario para identificar su clave. El programa
construye el identificador a partir del Nombre Real, Comentario y Dirección
de Correo Electrónico de esta forma:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Nombre y apellidos: <B>nombre elegido</B>
Dirección de correo electrónico: <B>nombre@elegido.org</B>
Comentario:
Ha seleccionado este ID de usuario:
"nombre elegido <<A HREF="mailto:nombre@elegido.org">nombre@elegido.org</A>>"</PRE><P CLASS="western">
        aquí les aconsejo no usar su nombre y apellido veraz salvo si
        piensan crear un par de claves oficiales para su trabajo por
        ejemplo. Sepan también que de los grandes proveedores de mails,
        solo gmail acepta el cifrado hoy día, que decirles sino preferir
        usar un servidor de mails autónomo, tipo riseup u otro...</P>
        <PRE>¿Cambia (N)ombre, (C)omentario, (D)irección o (V)ale/(S)alir? <B>V</B>
Necesita una frase contraseña para proteger su clave secreta.</PRE><P CLASS="western">
        Una buena contraseña tiene al menos ocho caracteres, cifras, letras
        y algún carácter de puntuación...</P>
        <PRE>Es necesario generar muchos bytes aleatorios. Es una buena idea realizar
alguna otra tarea (trabajar en otra ventana/consola, mover el ratón, usar
la red y los discos) durante la generación de números primos. Esto da al
generador de números aleatorios mayor oportunidad de recoger suficiente
entropía.
gpg: clave C0A422D3 marcada como de confianza absoluta
claves pública y secreta creadas y firmadas.
gpg: comprobando base de datos de confianza
gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias,
modelo de confianza PGP
gpg: nivel: 0 validez: 3 firmada: 3 confianza: 0-, 0q, 0n, 0m, 0f, 3u
gpg: nivel: 1 validez: 3 firmada: 0 confianza: 0-, 0q, 0n, 0m, 3f, 0u
gpg: siguiente comprobación de base de datos de confianza el: 2012-06-06
pub 4096R/C0A422D3 2010-08-04 [caduca: 2012-08-03]
Huella de clave = 6EDF 4ACE A1A9 CFCA A9EA 07CA 5659 FDF0 C0A4 22D3
uid nombre elegido <nombre@elegido.org>
Tenga en cuenta que esta clave no puede ser usada para cifrar. Puede usar
la orden "--edit-key" para crear una subclave con este propósito.</PRE><H2>
        Añadir una subclave para el cifrado
        </H2>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg --edit-key 0x C0A422D3</B></PRE><P CLASS="western" STYLE="font-weight: medium">
        Noten que tengo la ID de la clave recién creada fijándome en las
        lineas anteriores y añadiéndole “0x” adelante.</P>
        <PRE> ...
Orden> <B>addkey</B>
La clave está protegida.
Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "nombre elegido <nombre@elegido.org>"
clave RSA de 4096 bits, ID C0A422D3, creada el 2010-08-04
Introduzca frase contraseña:
Por favor seleccione tipo de clave deseado:
(2) DSA (sólo firmar)
(4) ElGamal (sólo cifrar)
(5) RSA (sólo firmar)
(6) RSA (sólo cifrar)
Su elección: <B>6</B></PRE><P CLASS="western">
        Notaran la aparición de la opción (6) RSA (sólo cifrar) , la cual
        elegimos. A continuación elegimos 4096 bits para tamaño de clave y
        le damos también caducidad correspondiente a la clave principal.</P>
        <PRE>las claves RSA pueden tener entre 1024 y 4096 bits de longitud.
¿De qué tamaño quiere la clave? (2048) <SPAN STYLE="font-style: normal"><B>4096</B></SPAN>
El tamaño requerido es de 4096 bits
Por favor, especifique el período de validez de la clave.
0 = la clave nunca caduca
<n> = la clave caduca en n días
<n>w = la clave caduca en n semanas
<n>m = la clave caduca en n meses
<n>y = la clave caduca en n años
¿Validez de la clave (0)? 2y
La clave caduca vie 03 ago 2012 10:33:52 CEST
¿Es correcto? (s/n) <B>s</B>
¿Crear de verdad? (s/N)<B>s</B>
Es necesario generar muchos bytes aleatorios. Es una buena idea realizar
alguna otra tarea (trabajar en otra ventana/consola, mover el ratón, usar
la red y los discos) durante la generación de números primos. Esto da al
generador de números aleatorios mayor oportunidad de recoger suficiente
entropía.
.........
..+++++
.......+++++
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
sub 4096R/C8EF1CD5 creado: 2010-08-04 caduca: 2012-08-03 uso: E
[ absoluta ] (1). nombre elegido <nombre@elegido.org>
Orden> <B>save</B></PRE><P CLASS="western">
        Noten la diferencia entre la pub y la sub, de usos SC y E, o sea una
        para cifrar y la otra para firmar o algo así.</P>
        <H2>Añadir otro UID
        </H2>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg --edit-key 0xC0A422D3</B></PRE><P CLASS="western">
        <BR>Añadir otra UID es a mi sentido bastante inútil, solo muestra
        al publico que tal clave es usada por distintas direcciones mail y
        crea una “relación” entre esas direcciones... <BR>NO ES
        NECESARIO añadir direcciones mail para usar las claves con ellas,
        de hecho se puede poner una dirección mail trucha dentro de la
        clave, así sí se pierde la clave secreta, la persona que la
        encuentra deberá saber a quien le pertenece realmente, para poder
        usarla malignamente !
        </P>
        <PRE>gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Clave secreta disponible.
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
[ absoluta ] (1). nombre elegido <nombre@elegido.org>
Orden> <B>adduid</B>
Nombres y Apellidos: <B>otro nombre</B>
Email address: <B>laotradirmail@loquesea.org</B>
Comment:
You are using the `utf-8' character set.
You selected this USER-ID:
"otro nombre <laotradirmail@loquesea.org>"
¿Cambia (N)ombre, (C)omentario, (D)irección o (V)ale/(S)alir? <B>V</B>
Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "nombre elegido <nombre@elegido.org>"
clave RSA de 4096 bits, ID C0A422D3, creada el 2010-08-04
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
sub 4096R/C8EF1CD5 creado: 2010-08-04 caduca: 2012-08-03 uso: E
[ absoluta ] (1) nombre elegido <nombre@elegido.org>
[desconocida] (2). otro nombre <laotradirmail@loquesea.org>
Orden> <B>save</B></PRE><H2>
        Exportar su clave publica a un fichero</H2>
        <P CLASS="western">Puede ser útil exportar su clave pública a un
        fichero de tipo “.asc” en vista de subirla a su página personal
        por ejemplo...
        </P>
        <PRE>usuario@makina:~$ <B>gpg --armor --export 0xC0A422D3 > millavepublica.asc</B>
</PRE><P CLASS="western" STYLE="font-weight: medium">
        Exportar su clave secreta también es posible pero no muy
        recomendable ya que si dicho archivo se pierde, comprometemos
        nuestras claves secretas/privadas, tengan en cuenta que las claves
        están en /home/usuarix/.gnupg/ Dentro encontrarán pubring.gpg y
        secring.gpg que obviamente contienen las llaves publicas y secretas
        de su llavero. O sea si quieren hacer un respaldo de su llavero
        mejor salvar toda la carpeta...</P>
        <H2>Cambiar preferencias
        </H2>
        <PRE>usuario@makina:~$ <B>gpg --edit-key 0xC0A422D3</B>
...
Orden> <B>showpref</B>
[ absoluta ] (1) nombre elegido <nombre@elegido.org>
Cifrado: AES256, AES192, AES, CAST5, 3DES
Resumen: SHA512, SHA384, SHA256, SHA224, SHA1
Compresión: ZLIB, BZIP2, ZIP, Sin comprimir
Características: MDC, Sevidor de claves no-modificar
[desconocida] (2). otro nombre<laotradirmail@loquesea.org>
Cifrado: AES256, AES192, AES, CAST5, 3DES
Resumen: SHA512, SHA384, SHA256, SHA224, SHA1
Compresión: ZLIB, BZIP2, ZIP, Sin comprimir
Características: MDC, Sevidor de claves no-modificar
</PRE><P CLASS="western">
        aquí las preferencias son “buenas” pero este comando permitiría
        estipular a gnupg de preferir un cifrado en SHA512 en vez de SHA1 es
        decir un cifrado mas fuerte si no fuese el caso... así le
        ordenaríamos:</P>
        <PRE><SPAN STYLE="font-weight: medium">Orden> </SPAN><B>setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed</B>
Establecer lista de preferencias a:
Cifrado: AES256, AES192, AES, CAST5, 3DES
Resumen: SHA512, SHA384, SHA256, SHA224, SHA1
Compresión: ZLIB, BZIP2, ZIP, Sin comprimir
Características: MDC, Sevidor de claves no-modificar
¿Actualizar realmente las preferencias? (s/N) <B>s</B>
gpg: AVISO: ningún ID de usuario está marcado como principal. Esta orden puede
causar que se tome como principal por defecto otro ID de usuario.
Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "nombre elegido <nombre@elegido.org>"
clave RSA de 4096 bits, ID C0A422D3, creada el 2010-08-04
Introduzca frase contraseña:
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
sub 4096R/C8EF1CD5 creado: 2010-08-04 caduca: 2012-08-03 uso: E
[ absoluta ] (1) nombre elegido <nombre@elegido.org>
[desconocida] (2). otro nombre o el mismo <laotradirmail@loquesea.org>
Orden> <B>showpref</B>
[ absoluta ] (1). nombre elegido <nombre@elegido.org>
Cifrado: AES256, AES192, AES, CAST5, 3DES
Resumen: SHA512, SHA384, SHA256, SHA224, SHA1
Compresión: ZLIB, BZIP2, ZIP, Sin comprimir
Características: MDC, Sevidor de claves no-modificar
Orden> <B>save</B></PRE><H2>
        Establecer el UID principal</H2>
        <P CLASS="western">Habrán notado en el párrafo anterior que gpg no
        avisa de que:</P>
        <PRE STYLE="font-weight: medium">gpg: AVISO: ningún ID de usuario está marcado como principal. Esta orden puede
<SPAN STYLE="font-weight: medium">causar que se tome como principal por defecto otro ID de usuario.</SPAN></PRE><P CLASS="western">
        Así que volvamos a editar nuestra clave...</P>
        <PRE>usuario@makina:~$ <B>gpg --edit-key 0xC0A422D3</B>
...
Orden> <B>uid 1</B>
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
[ absoluta ] (1)* nombre elegido <nombre@elegido.org>
Orden> primary
Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "nombre elegido <nombre@elegido.org>"
clave RSA de 4096 bits, ID C0A422D3, creada el 2010-08-04
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
[ absoluta ] (1)* nombre elegido <nombre@elegido.org>
Orden> <B>save</B></PRE><H2 STYLE="font-weight: medium">
        <FONT FACE="Nimbus Sans L, sans-serif">Firmar mi clave con mi clave
        antigua</FONT></H2>
        <P CLASS="western">Para que una clave sea considerada fiable por el
        sistema debemos haberla firmada, firmar su clave y la de las
        personas con las cuales hemos intercambiado claves cara a cara es
        una buena política, para firmar una clave:</P>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg --default-key 0xE8C43461 --sign-key 0xC0A422D3</B></PRE><P CLASS="western">
        aquí la clave antigua tiene el UID 0xE8C43461, cual firma la clave
        0xC0A422D3. Esto sirve por ejemplo a que la gente que ya tenía su
        antigua clave puedan confiar en su nueva clave. Ojo, esta orden se
        manda desde bash y no desde el programa gpg</P>
        <PRE>pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
[ absoluta ] (1). nombre elegido <nombre@elegido.org>
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
Huella de clave primaria: 6EDF 4ACE A1A9 CFCA A9EA 07CA 5659 FDF0 C0A4 22D3
nombre elegido <nombre@elegido.org>
Esta clave expirará el 2012-08-03.
¿Está realmente seguro de querer firmar esta clave
con su clave: "Miviejaclave <usuario@viejomail.org>" (E8C43461)?
¿Firmar de verdad? (s/N) <B>s</B>
Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "Miviejaclave <usuario@viejomail.org>"
clave RSA de 4096 bits, ID E8C43461, creada el 2008-07-17
usuario@makina:~$</PRE><P CLASS="western">
        De la misma forma se puede firmar la clave de un conocidx, también
        preferiremos firmar “localmente” las claves que no son de unx,
        de forma a que cuando se envíe la clave (publica obvio) de otrx, no
        permanezca nuestra firma dentro, esto para evitar que se pueda
        “rastrear” parte de una “red de confianza” desde las firmas
        de claves...</P>
        <PRE STYLE="margin-bottom: 0.5cm"><CODE>usuario@makina:~$ </CODE><CODE><B>gpg --default-key 0xE8C43461 --lsign-key 0xC0A422D3</B></CODE></PRE><P CLASS="western">
        <CODE><FONT FACE="Nimbus Sans L, sans-serif"><SPAN STYLE="font-weight: medium">Firma
        </SPAN></FONT></CODE><CODE><FONT FACE="Nimbus Sans L, sans-serif"><U><SPAN STYLE="font-weight: medium">localmente</SPAN></U></FONT></CODE><CODE>
        </CODE><CODE><FONT FACE="Nimbus Sans L, sans-serif"><SPAN STYLE="font-weight: medium">la
        clave C0A422D3 con tu clave por defecto E8C43461.</SPAN></FONT></CODE></P>
        <P CLASS="western">Para firmar la clave de un tercerx con nuestra
        clave por defecto haremos:</P>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg --edit-key UID</B>
<SPAN STYLE="font-weight: medium">Orden></SPAN> <B>lsign</B></PRE><P CLASS="western">
        <CODE><FONT FACE="Nimbus Sans L, sans-serif"><SPAN STYLE="font-weight: medium">Noten
        “lsign” en vez de “sign”, esto permite firmar localmente</SPAN></FONT></CODE></P>
        <H2><CODE><FONT FACE="Nimbus Sans L, sans-serif"><SPAN STYLE="font-weight: medium">Asegurarse
        de la validez de una clave</SPAN></FONT></CODE></H2>
        <PRE STYLE="margin-bottom: 0.5cm">yo@mimakina:~$ <B>gpg --fingerprint 0xC0A422D3</B></PRE><P CLASS="western">
        me devuelve la huella de mi clave, y las identidades (UID) que le
        corresponden:</P>
        <PRE>pub 4096R/C0A422D3 2010-08-04 [caduca: 2012-08-04]
Huella de clave = 6EDF 4ACE A1A9 CFCA A9EA 07CA 5659 FDF0 C0A4 22D3
uid nombre elegido <<A HREF="mailto:nombre@elegido.org">nombre@elegido.org</A>></PRE><P CLASS="western">
        <CODE><FONT FACE="Nimbus Sans L, sans-serif"><SPAN STYLE="font-weight: medium">Esa
        “Huella de clave” es la que intercambiaré por teléfono por
        ejemplo, con algún compañerx que me envió su clave publica por
        email de forma a asegurarme que tengo la clave correcta... (Tampoco
        es una averiguación absoluta, pero ya es algo !!)</SPAN></FONT></CODE></P>
        <H2 STYLE="font-weight: medium"><FONT FACE="Nimbus Sans L, sans-serif">Mandar
        mi nueva clave a un servidor de claves</FONT></H2>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg --keyserver pgp.mit.edu --send-key C0A422D3</B></PRE><P CLASS="western" STYLE="font-weight: medium">
        Un servidor de claves es como un repertorio de claves, programas de
        gestión de claves suelen tener la opción de conectarse a ellos de
        forma a poder buscar la clave pública de alguien si es que no la
        tenemos... Recordemos que siempre es mejor intercambiar claves “cara
        a cara” con nuestrxs correspondientes...
        </P>
        <H2>Revocar un par de claves</H2>
        <P CLASS="western" STYLE="font-weight: medium">Puede ocurrir que por
        alguna razón nuestra clave secreta quede comprometida, en este caso
        deberíamos “revocar” nuestra clave de forma a que nadie mal
        intencionado que haya recuperado nuestra clave secreta la pueda
        usar...</P>
        <P CLASS="western" STYLE="font-weight: medium">Para esto tenemos
        primero que crear un certificado de revocación para nuestra clave,
        siempre de UID “C0A422D3 “:
        </P>
        <PRE STYLE="margin-bottom: 0.5cm; font-weight: medium">usuario@makina:~$ <B>gpg --gen-revoke C0A422D3</B>
<B>s</B>ec 4096R/C0A422D3 2010-08-04 nombre elegido <nombre@elegido.org>
¿Crear un certificado de revocación para esta clave? (s/N) <B>s</B>
Por favor elija una razón para la revocación:
<SPAN STYLE="font-weight: medium">0 = No se dio ninguna razón</SPAN>
<SPAN STYLE="font-weight: medium">1 = La clave ha sido comprometida</SPAN>
<SPAN STYLE="font-weight: medium">2 = La clave ha sido reemplazada.</SPAN>
<SPAN STYLE="font-weight: medium">3 = La clave ya no está en uso</SPAN>
<SPAN STYLE="font-weight: medium">Q = Cancelar</SPAN>
(Probablemente quería seleccionar 1 aquí)
¿Su decisión? <B>0</B>
Introduzca una descripción opcional; acábela con una línea vacía:
>
Razón para la revocación: No se dio ninguna razón
(No se dió descripción)
¿Es correcto? (s/N) <B>s</B>
Necesita una frase contraseña para desbloquear la clave secreta
del usuario: "nombre elegido <nombre@elegido.org>"
clave RSA de 4096 bits, ID C0A422D3, creada el 2010-08-04
se fuerza salida con armadura ASCII.
Certificado de revocación creado.
Por favor consérvelo en un medio que pueda esconder; si alguien consigue
acceso a este certificado puede usarlo para inutilizar su clave.
Es inteligente imprimir este certificado y guardarlo en otro lugar, por
si acaso su medio resulta imposible de leer. Pero precaución: ¡el sistema
de impresión de su máquina podría almacenar los datos y hacerlos accesibles
a otras personas!
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: A revocation certificate should follow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=OFTY
-----END PGP PUBLIC KEY BLOCK-----
</PRE><P CLASS="western">
        Una vez el certificado de revocación creado lo tenemos que importar
        a nuestro llavero y después deberíamos mandarlo a un servidor de
        claves de forma a que invalide nuestra clave de forma pública, así
        nadie más intentará usar esta clave sabiendo que ya no es
        válida...<BR>Copiamos el bloque PGP que fue previamente creado y lo
        guardamos en un archivo de texto nombrándolo algo así como
        “nombre_elegido_revocacion.asc”..<BR>Después importamos dicho
        fichero en nuestro llavero gpg:</P>
        <PRE STYLE="margin-bottom: 0.5cm"><SPAN STYLE="font-weight: medium">usuario@makina:~$ </SPAN><B>gpg --import nombre_elegido_revocacion.asc </B></PRE><P CLASS="western" STYLE="font-style: normal; font-weight: medium">
        Escribi<FONT FACE="Nimbus Sans L, sans-serif">endo </FONT><FONT FACE="Nimbus Sans L, sans-serif"><B>gpg
        –list-keys</B></FONT> <FONT FACE="Nimbus Sans L, sans-serif">po</FONT>demos
        comprobar que nuestra clave ha sido revocada localmente, nos queda
        publicar al mundo esta revocación.. aquí enviamos nuestro
        certificado de revocación de la misma forma que enviariamos nuestra
        clave pública, pero no al servidor de mit.edu, sino al de
        ubuntu.com... No importa cual elijamos porque están todos
        interconectados... Noten que estipulo una vez más el UID de la
        clave que quiero revocar..</P>
        <PRE STYLE="margin-bottom: 0.5cm"><SPAN STYLE="font-style: normal"><SPAN STYLE="font-weight: medium">usuario@makina:~$ </SPAN></SPAN><B>gpg --keyserver keyserver.ubuntu.com --send-key C0A422D3</B></PRE><P CLASS="western">
        Hay forma de deshacer la revocación de una clave, fijense aquí por
        ejemplo:
        https://help.ubuntu.com/community/GnuPrivacyGuardHowto#Revoking%20a%20keypair</P>
        <H2><B>Notas</B></H2>
        <P CLASS="western">Una vez tienen creado su propio par de claves.
        Empezarán de tener un llavero (por eso prefiero hablar de llaves
        que de claves, término utilizado por gpg.) al cual añadirán las
        claves públicas de otrxs.</P>
        <P CLASS="western">Por regla las claves personales o sea las creadas
        desde su propio usuario con gpg son marcadas como de confianza
        absoluta. Esto lo pueden visualizar bastante bien desde OpenPGP
        dentro de thunderbird (cuando enigmail a sido instalado)</P>
        <P CLASS="western">Para mostrar el contenido de tu llavero:</P>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg --list-keys</B></PRE><P CLASS="western" STYLE="font-weight: medium">
        Para especificar la confianza que tienes de una clave:</P>
        <PRE STYLE="margin-bottom: 0.5cm">usuario@makina:~$ <B>gpg --edit-key UID</B>
<SPAN STYLE="font-weight: medium">Orden></SPAN> <B>trust</B>
pub 4096R/C0A422D3 creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: absoluta validez: absoluta
[ absoluta ] (1). nombre elegido <nombre@elegido.org>
Por favor, decida su nivel de confianza en que este usuario
verifique correctamente las claves de otros usuarios (mirando
pasaportes, comprobando huellas dactilares en diferentes fuentes...)
1 = No lo sé o prefiero no decirlo
2 = NO tengo confianza
3 = Confío un poco
4 = Confío totalmente
5 = confío absolutamente
m = volver al menú principal
¿Su decisión?
1
pub 4096R/1976409C creado: 2010-08-04 caduca: 2012-08-03 uso: SC
confianza: no definido validez: absoluta
[ absoluta ] (1). nombre elegido <nombre@elegido.org>
Por favor, advierta que la validez de clave mostrada no es necesariamente
correcta a menos de que reinicie el programa.
</PRE><P CLASS="western">
        Tener en cuenta de que todo esto es muy subjetivo, pero digamos que
        unx tiene “confianza absoluta” en su clave, y puede “confiar
        totalmente” en las claves que intercambió físicamente con otras
        personas... Entendamos que la confianza que se otorga a una clave no
        tiene nada que ver con la confianza que le tenemos a una persona,
        sino mas bien la confianza que tenemos de la capacidad de esa
        persona a entender el concepto de “red de confianza” !!!</P>
        <P CLASS="western">Firmar una clave y establecer el nivel de
        confianza que le tenemos son dos cosas bien distintas...<BR>De la
        misma forma que firmar un mensaje con su clave secreta no tiene nada
        que ver con firmar la clave de otrx con su clave personal.</P>
        <P CLASS="western"><BR><BR>
        </P>
</DIV>
</BODY>
</HTML>