Cousas do Meluco

No blogue de toniocastro vexo o anuncio dunha nove versión de Seahorse. Seahorse é un programa que nos permite xestionar as nosas firmas dixitais GPG de xeito doado. E isto dame unha escusa para falar das firmas dixitais.
A firma dixital é unha desas cousas que oimos na tele. Contannos cousas dela e parece algo importante pero non rematamos de enterarnos moi ben de para que serve, nen moito menos cómo podemos empregalo.

A firma dixital consiste en un xogo de chaves que nos da tres funcionalidades básicas:

1. Ocultar o contido de arquivos da vista de terceiros: función de cifrado.
2. Acreditar a nosa identidade: a este nivel funciona como unha especie de pegada dixital ou firma persoal.
3. Acreditar a integridade de calquera tipo de arquivo informático: función de certificado electrónico.

Entenderémolo mellor se compredemos cómo funciona.

Como mencionei antes, a firma dixital é un xogo de chaves, concretamente dúas:

1. Unha serve para pechar. Chámaselle clave pública e poderemos darlle unha copia a tódo o mundo.
2. Outra serve para abrir. Chámase clave privada e ninguén terá acceso a ela escepto nos.

O que se pecha cunha chave pública pódese abrir coa sua correspondente chave privada. Así que en principio todo o mundo poderá pechar cousas que só nos poderemos abrir. ¿Para que sirve isto?. Imos poñer uns exemplos.

• O noso doutor ten que mandarnos un resultado dunhas probas e desexamos facelo coa máxima confidencialidade. Se lle proporcionamos una copia da nosa chave pública, poderá mandarnos un correo electrónico pechado (cifrado) coa mesma, de xeito que só nós podamos abrir dito correo.

• Outro exemplo. Almacenamos datos privados nun ficheiro que transportamos no noso ordenador portatil. Nese arquivo atópanse números de conta nosos e da empresa para a que traballamos, números secretos de tarxetas, números das alarmas da oficina e contrasinais de acceso ás direccións de correo e páxinas web do negocio. Se perdemos o ordenador portatil e alguén accede a esa información podería ser desastroso. Podemos pechar (cifrar) o arquivo coa nosa propia chave pública e coa chave pública do noso xefe, de xeito que só nos mesmos e mais o noso xefe poderemos acceder á información contida no ficheiro.

Isto no que se refire a manter a privacidade de determinados ficheiros. Pero antes mencionei que temos outros dous usos para as firmas dixitais: firmar documentos para identificarnos como autores e para amosar a nosa conformidade cos mesmos (non ten porqué ser un documento de texto, pode ser unha foto ou calquera outro ficheiro).

Cando desexamos “firmar” un ficheiro o ordenador toma da firma GPG a nosa dirección de correo electrónico e o noso nome , e xunto co a data actual e os cifra mediante un calculo baseado nos datos do arquivo e o da nosa chave privada. O resultado almacénase nun arquivo que constitue a firma en si e que debe manterse sempre xunto ó arquivo que desexamos firmar.

Se mandamos a alguén o ficheiro xunto coa firma, o seu ordenador pode revertir os calculos do cifrado para recuperar o noso nome, correo electrónico e data na que foi realizada a sinatura, pero só se o contido do ficheiro non variou desde que a sinatura se calculou. Como é necesario manter o arquivo intacto para recuperar os datos almacenados na firma, se alguén tratou de alterar o contido do ficheiro o ordenador será incapaz de recuperar os datos da sinatura e diranos que a sinatura é invalida, e nós saberemos que non podemos confiar no documento.

Se o documento non foi alterado, a persoa que recibe o ficheiro pode ver os noso datos, e se posue a nosa chave pública pode ter a seguridade de que fumos nos quenes firmamos o ficheiro, e que este non cambiou desde que o fixemos.

É importante quedarnos cunha copia da firma para poder comprobar tamén nós a autenticidade dun ficheiro que mandamos a alguén.

¿ Canto é interesante asinar un documento?:

• Entrega de documentos de reclamación.
• Envio de facturas, orzamentos, alvaranes.
• Entrega de informes e valoraciones.
• Entrega dedocumentos correxidos ou revisados por nos.
• En calquesa situación na que necesitemos coñecer se alguén modificou un ficheiro desde que nos o revisamos.

Dentro de uns días veremos cómo empregar Seahorse, unha aplicación que nos premite crear as nosas firmas GPG e empregalas para asegurar as nosas comunicacións e ficheiros de xeito sinxelo.

This entry was posted on mércores, agosto 22nd, 2007 at 3:48 pm and is filed under A Rede de Redes, CompostelaWireless, Coñecemento Libre, DP Informática. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.