Agora que xa me estabilicei na inestabilidade, é o momento de saldar deudas. Tíñamos pendentes un par de artigos sobre GnuPG, Seahorse e o cifrado e firma de ficheiros e correo. Para os que se perderon (ou xa esqueceron) o primeiro artigo, podedes lelo facendo clik aquí.
Instalación.
Entendo que a maioría das distribucións de GNU/Linux incluirán dentro da lista de software dispoñible o Seahorse. Se non é así, podes descargar o seu código fonte na páxina oficial (enlace á páxina de Seahorse).
Xenerar as chaves.
Unha vez teñas o Seahorse no teu sistema, o primeiro que terémos que facer será xenerar o noso propio par de claves pública-privada. Para elo só temos que empregar as opcións que Seahorse nos proporciona no panel inferior. Nos próximos inicios poderemos repetir o proceso desde o menú “chave”.
Pediráseche que escollas entre dous tipos de chaves: GnuPG ou SSH. As chaves SSH non teñen nada que ver co que nos ocupa, así que colleremos GnuPG, como xa imaxinabas.
Pediránseche varios datos para a creación da chave.
- Nome: o teu nome completo. Figurará nos documentos e correos que asines e cifres para aquelas persoas que podan verificar a autenticidade da firma.
- Enderezo de correo: O teu enderezo de correo.
- Comentario: útil para o momento no que teñas varias chaves e desexes diferenciar unhas de outras. Se non sabes que poñer aquí, pon algo así como “Chave para uso personal”. Deste xeito poderás diferenciala doutras que empregues dentro das tuas actividades en entidades e empresas.
Tes un apartado de opcións avanzadas. En principio non é necesario modificar nada aquí.
- Tipo de cifrado: Non o modifiques. Se o fas a chave será válida só para firma pero non para cifrado.
- Resistencia da chave: a maior profundidade máis segura resultará a chave, pero tamén esixirá un maior procesamento dos datos para o seu cifrado e descifrado. A opción proposta é recomendable.
- Data de caducidade: A chave será válida só ate a data especificada. Chegada a data, veráste obligado a rexenerala e redistribuila entre os teus contactos, o que resulta incómodo. Normalmente é innecesario empregar esta opción, pero pode ser útil se se lle está a conceder unha chave a un empregado temporal, un vecario, ou otras circunstancias nas que a chave deba deixar de existir a partir dunha data.
Por último pediráseche que proporciones unha frase de paso para a túa chave privada. A seguridade do teu novo par de chaves depende en grande medida de que ninguén coñeza ou poda adiviñar a frase secreta que escollas neste momento, así que non sexas perezoso e escolle unha boa fráse secreta, algo así como: “alguén volou sobre o niño do Meluco - 69″ ou “Non son muiños, Sancho, son Melucos _333_”.
Unha vez proporcionados tódolos datos, empeza a xeración do noso par de chaves. Pode que tarde un pouquiño, pero se mentras se xenera fas algunha outra cousa co ordenador tardará menos (en serio). Así que é o momento de explorar os xogos que veñen includos no teu sistema.
Publicar a chave.
Xa temos a noso par de novas chaves, a privada, que é privada, e a pública que debería ser pública, así que imos publicala. Para facelo podemos enviala directamente por correo ós nosos amigos, poñela para descargar no noso blogue (non se me ocurrira, teño que facelo) ou empregar un servidor de intercambio de chaves. Seahorse inclue funcionalidades para facelo de calquera dos xeitos.
Se queremos facela chegar directamente ós nosos contactos ou poñela nalgunha web para descargar primeiro temos que almacenar a nosa chave pública nun ficheiro. Podemos facelo mediante o botón da barra de ferramentas “Exportar clave pública”. Aparecerá o cadro de diálogo de gardar ficheiro no que poderás confirmar o lugar no que desexas almacenar a chave pública e o nome que lle queres dar ó ficheiro no que se almacene. O ficheiro resultante podes manexalo do mesmo xeito que outro calquera para facerllo chegar a tódalas persoas que desexen telo.
Como decíamos antes, tamén podemos publicar a nosa chave pública nun servidor de chaves. Para facelo podes empregar a opción “sincronizar claves” no menú “remoto”. Seahorse encargaráse de enviar a chave a un servidor onde calquera poderá obter unha copia da mesma.
Ate aquí todo claro. O único erro que podemos cometer é publicar a chave privada, pero iso é algo que o Seahorse non nos vai permitir facer de xeito doado.
Obtendo as chaves dos teus contactos.
O proceso de recopilar as chaves publicas dos nosos contactos é sinxelo, pero é o proceso que deberemos realizar con máis coidado se non queremos perder a seguridade do sistema. Todo consiste en ter a seguridade de que unha chave é de quen parece ser. Xa vimos que podemos facer publica as nosa chave distribuindo un ficheiro ou facendoa accesible desde un servidor de chaves. Os nosos amigos farán o propio, así que podemos recibir unha chave pública por infinidade de medios, ¡mesmo é posible que chegue por si soa ó nosos Seahorse!.
Se unha persoa que nós coñecemos nos entrega a súa chave persoalmente, non temos dúbida de que a chave lle pertence e podemos confiar nela. Se unha chave chega ó noso Seahorse, ou se a recibimos por correo-e, ou se a descargamos dunha páxina web… en estos casos non podemos ter a seguridade de que a chave sexa “autentica”. Alguén pode ter enviado un correo electrónico falso, ou publicado unha chave falsa nunha páxina web, ou nun servidor público de chaves. Mesmo se unha persoa descoñecida nos entrega a sua chave pública non temos a seguridade de que esa persoa sexa quen di ser.
Tendo en conta todo esto, as chaves que recopilamos pasan por diferentes niveis de confianza. Cando unha chave nova chega ó Seahorse queda nun almacen de “chaves recopiladas”. O noso sistema non confiará en estas chaves. Se recibimos un correo electrónico firmado cunha destas chaves o noso sistema diranos que a firma é valida, pero non é de confianza. Isto quere dicir que “os números coinciden” pero que non sabemos se a firma é de quen parece ser.
Unha vez nos temos asegurado de que a chave é autentica e que é de quen di ser, podemos indicar ó Seahorse este feito “firmando” dita chave. Unha vez firmamos a chave dun contacto esta pasa ó contenedor de “Chaves de confianza”. Cando recibamos un correo-e firmado cunha destas chaves o sistema simplemente informarános de que a firma é correcta.
Vexamos como facemos todos estos procesos no Seahorse. Se obtemos unha chave almacenada nun ficheiro, podemos almacenala no Seahorse simplemente arrastrando o ficheiro e soltandoa sobre o Seahorse. Atoparemos a nova chave nas “chaves recopiladas”.
Tamén podemos obter unha chave directamente dos servidores públicos de intercambio de chaves. Para elo Seahorse ofrécenos a opción “Buscar chaves remotas” no menu “Remoto”. As chaves recopiladas deste xeito pasarán do mesmo xeito ó primeiro almacén de chaves do Seahorse.
Unha vez que xa teño almacenadas unha serie de chaves no almacen de “recopiladas”… ¿como podo saber se ditas chaves son verdadeiras?. Pois teremos que pedir ós seus propietarios que nos confirmen a autenticidade de ditas chaves. Se miras a lista de chaves recopiladas, ou mesmo a tua propia chave, verás que cada unha das chaves dispon dun identificador de chave “ID da chave”. A cousa é tan sinxela como chamar por teléfono ó suposto dono da chave para que nos confirme que o ID da chave que nos temos coincide co da sua chave. Polo menos esto é así coas persoas que coñecemos.
Coas chaves de aquelas persoas que non coñecemos a cousa complicase, pois teríamos que empezar por asegurarnos de que esas persoas son quen din ser. Por este motivo, veremos que cando lle digamos ó Seahorse que a chave é boa preguntarános ata que punto o comprobamos: non o comprobamos, comprobámolo de xeito informal ou comprobámolo moi coidadosamente. Se recibimos unha chave de alguén que non coñecemos desde un servidor de chaves, probablemente non teñamos xeito de comprobar a sua autenticidade. Se ainda así decidimos confiar na chave podemos facelo marcando que en realidade non verificamos a súa autenticidade.
Unha vez verificada (ou non) a autenticidade dunha chave, se desexamos confiar nela debemos “asinala”. Para facer isto podemos empregar a opción correspondente do menú “chave”. Como xá mencionamos, deberemos especificar qué empeño puxemos en corrovorar a autenticidade da chave. Tamén temos un par de opcións adicionais: “Outros non poderán ver esta firma” e “Poderei revogar esta sinatura no futuro”. Estas opcións son mensaxes para as persoas que reciban unha copia desta chave no futuro. Date conta que estamos a falar dunha clave “pública”, polo tanto podemos pasar unha copia da mesma a terceiros, ainda que a clave non sexa nosa. De feito a idea é que cantas máis chaves se intercanbien, mellor. Se non marcamos a primeira opción, cando demos unha copia da chave a terceiros esta irá firmada por nós, co que estarémos axudando a dar valor a esa chave. Quen a reciba poderá dicir “mira!, Meluco confía nesta chave”. Se recibimos unha nova chave con firmas de válidas de varias persoas que nós coñecemos e que resultan da nosa confianza, teremos unha maior confianza nesa chave á sua vez. Se non marcamos a segunda opcion “a firma poderá ser revogada”, estamos dando o noso apoio incondicional e “eterno” á chave. Este tipo de apoios débense dar só en casos escepcionais, de outro xeito perden o seu valor.
Qué temos ate aquí e que nos falta for facer.
Chegados a este punto podemos recoñecer a firma que os nosos contacto engadan a ficheiros e correos electrónicos, de xeito que teñamos un alto nivel de certeza da orixe desde a que nos chegan a información e de que esta non foi adulterada. Tamén poderemos recibir correos ou ficheiros cifrados que nos garantan que só nós podemos acceder ó seu contido. O sistema ocuparáse de realizar os procesos necesarios de xeito automática. Só teremos que proporcionar a nosa frase de paso cada vez que o sistema nolo solicite.
¿Que nos queda a partir de aquí?. Configurar o noso programa de correo-e para poder firmar e cifrar os correos que nos enviamos. Aprender a cifrar os nosos propios ficheiros e comprender que temos que gardar unha serie de precaucións á hora de cifrar e descifrar ficheiros. Tamén falaremos das festas de intercambios de chaves públicas e do nivel de confianza nos nosos contactos. Pero todo esto queda para a próxima vez.
Leave a Reply