privacidad y la red, introducción a pgp/gpg
DESCRIPTION
Ponencia sobre GPG aplicada a la privacidad, concretamente como utilidad con el correo electrónico. BarCamp Valencia, 30 de Enero de 2010.TRANSCRIPT
Privacidad y la Red,Introducción a PGP/GPG
Juan José Martínez <[email protected]> http://www.usebox.net/jjm/
30 de Enero, 2010
2
privacidad.
1. f. Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.
3
Integridad
Reputación
Confianza
Privacidad
IdentidadSeguridad
4
GNU Privacy Guard
● PGP: Prety Good Privacy, proporciona cifrado y autenticación
● Implementación OpenPGP: RFC4880, trabajar sin algoritmos patentados o con restricciones por licencias, además estándar
● Proyecto GNU, software libre
5
Cifrado
6
Postal de 1910 a Jinny Blincoe
El e-mail funciona parecido a una postal
7
Nickolas Muray, 1945
Pasa por muchasPasa por muchasmanos hasta sumanos hasta suentregaentrega
¡Cualquiera en el¡Cualquiera en elproceso puede leerlo!proceso puede leerlo!
¡Sospechoso!¡Sospechoso!
8
1
2
3
4
OK, esta vez no es importante
9
De:
Para:
Fecha:
Asunto:
Juan Currito
Pepe Cliente
26/01/10 21:13:14
Datos de acceso a su servidor
Hola Pepe,
Los datos de su nuevo servidor son:
Host: ftp.cliente.dom Usuario: ftpuser1Contraseña: .ftpuser1.
Saludos.
Juan
10
De:
Para:
Fecha:
Asunto:
Yang Wu lee
26/01/10 21:13:14
Las últimas detenciones
Hola Chow Yun,
Respecto a las últimas detenciones por parte del gobierno, los pasos a seguir serían:
1. ....
11
De:
Para:
Fecha:
Asunto:
Dpto. Vigilancia Tecnológica
Paco el Manager
26/01/10 21:13:14
Resultados del informe
Hola Paco,
Ya tenemos los resultados del informe.
Respecto a nuestra competencia, creemos que podemos mejorar nuestros resultados si hacemos lo siguiente...
12
De:
Para:
Fecha:
Asunto:
Manolo Pérez <[email protected]>
Su novia María
26/01/10 21:13:14
Verás que bien esta noche
Hola cuchi-cuchi,
Prepárate esta noche, que he estado pensando que cuando acabemos de cenar te voy a coger y vamos a...
13
Solución: Cifrado
Simétrico: la misma clave cifra y descifra (poco útil: problema de enviar la clave, pero es muy rápido)
Asimétrico: una clave para cifrar, otra para descifrar (soluciona el problema de la clave, pero muy lento)
14
¡Brillante Phil Zimmermann!
1. Se genera una clave robusta de un solo uso2. Se cifran los datos con cifrado simétrico (¡rápido!)3. Se cifra la clave simétrica con la clave pública asimétrica (lento, pero son pocos datos)4. Se añade la clave cifrada al mensaje cifrado5. ¡Problema resuelto!
Enviamos la clave con el mensaje
15
@ Servidor de Claves
pgp.mit.edupgp.rediris.esetc
Vía Internet
WWWFicheros .asc
¿Cómo consigolas claves públicas?
Localmente
Ficheros .asc
16
Importante: verificar identidad
pub 2048R/EA112704 – date: 2009-05-11 Juan J. Martinez (reidrac) <[email protected]> Juan J. Martinez <[email protected]> Juan J. Martinez <[email protected]> Juan J. Martinez <[email protected]>
Key Fingerprint = F014 056F 18EB 14C1 7293 A337 ED2C 8FDF EA11 2704
● Obtenemos la clave de un medio “fiable y seguro”
● Verificar la huella por teléfono o personalmente
● Redes de confianza
17
Redes de confianza
● Cuando verifico una clave, puedo firmarla indicando que es de mi confianza
● Puedo confiar en las claves firmadas por la gente que confío, obteniendo una red
● “Los amigos de mis amigos son...”
A B C
18
Firma Digital
19
Postal de 1910 a Jinny Blincoe
Los protocolosson inseguros y vulnerables
20
21
1. Se genera una clave robusta de un solo uso2. Se cifran los datos con cifrado simétrico (¡rápido!)3. Se cifra la clave simétrica con la clave pública asimétrica (lento, pero son pocos datos)4. Se añade la clave cifrada al mensaje cifrado5. ¡Problema resuelto!
La firma electrónica puede garantizar:
1. Que somos el autor del mensaje
2. Que el mensaje no ha sido modificado
22
1. Se genera una clave robusta de un solo uso2. Se cifran los datos con cifrado simétrico (¡rápido!)3. Se cifra la clave simétrica con la clave pública asimétrica (lento, pero son pocos datos)4. Se añade la clave cifrada al mensaje cifrado5. ¡Problema resuelto!
Importante: se usa la clave privada porque es la que
guardamos nosotros
1. Usar la clave privada para firmar es lento2. Los algoritmos hash son rápidos3. Se calcula el hash del documento y se firma con la clave privada4. Se incluye el hash firmado en el documento5. ¡Problema resuelto!
Solución Mixta
23
En la Práctica
24
Integración con clientes de correo
● Thunderbird: http://enigmail.mozdev.org/
● Evolution: incluido
● KMail: incluido
● Webmail (Gmail, otros): http://es.getfiregpg.org/
● Outlook: http://wald.intevation.org/projects/gpgoe
● Apple's Mail: http://www.sente.ch/software/GPGMail/English.lproj/GPGMail.html
● ...
25
Ejemplo: Evolution
Fácil de comprobar la firma
26
Ejemplo: Evolution
Detecta contenido cifrado dirigido a nosotros
27
Ejemplo: EvolutionSencillo de usar:
● Firmar● Cifrar● Bajo demanda o por defecto
28
Integración con el sistema
● Gnome: http://live.gnome.org/Seahorse
● KDE: http://utils.kde.org/projects/kgpg/
● Mac OS X: http://macgpg.sourceforge.net/
● Windows: http://www.gpg4win.org/
● ...
29
¡Gracias por venir!¿preguntas?
Juan José Martínez <[email protected]> GPG ID: F014 056F 18EB 14C1 7293 A337 ED2C 8FDF EA11 2704
http://www.usebox.net/jjm/
http://www.gnupg.org/