💾 Archived View for moribundo.flounder.online › blog › gpg › gpg02.gmi captured on 2024-05-10 at 11:23:06. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-01-29)
-=-=-=-=-=-=-
Señor Turing, estamos preparados.
Si has llegado hasta aquí te felicito, ya has hecho lo más importante.
En la entrega anterior dije que el archivo "miclave.pub" es el que hay que enviar a la gente, pero ¿cómo sabe la gente que verdaderamente es tu clave y no otra falsificada para engañar?, debería poderse verificar de alguna manera.
Pues sí, se DEBE verificar siempre que la clave que nos han enviado es de quien dice ser, y no ha hecho de las suyas nuestro amigo el "cartero chafardero".
Cuando envías tu clave pública, has de adjuntar el siguiente pack:
Los 2 últimos ya los tenemos:
► pepito@grillo.com. Normalmente se envía la clave desde la cuenta de correo asociada a GPG, pero a veces puedes querer enviar la clave desde otra dirección de email diferente.
► miclave.pub
- Huy, huy, huy, espera, ¿de donde saco los 2 primeros?
En los programas GUI es fácil, te pones sobre tu clave y aparece la info. Pero como estamos en consola, la forma de hacerlo es así:
gpg --finger pepito@grillo.com pub rsa2048 2015-11-28 [SC] 11BB B8EE 46D0 0C1F 3880 1D08 8D8C 7518 5633 D221 uid [ absoluta ] Pepito Grillo <pepito@grillo.com> sub rsa2048 2015-11-28 [E]
Si nos fijamos, es el mismo ID de clave pero separado para una mejor lectura. También tenemos la longitud de clave, donde pone rsa2048
► Fingerprint: 11BB B8EE 46D0 0C1F 3880 1D08 8D8C 7518 5633 D221
► Logitud: 2048
Bien, la teoría del buen uso dice que esos datos hay que entregarlos por un canal diferente, y a poder ser en persona (antiguamente se hacían quedadas de usuarias de GPG para intercambio de fingerprints).
De tí depende el nivel de paranoia que tengas con tu privacidad. Por ejemplo, puedes enviar el fingerprint por mensajeria privada como Signal o XMPP y la clave por email.
Toda esta información se la vas a enviar a una compa tuya llamada Pili, para que a partir de ahora te cifre los correos relacionados con el trabajo, ¿y qué hará tu compa Pili cuando lo reciba todo?
1. Importará la clave
gpg --import miclave.pub
2. Verificará la clave con el fingerprint (el número ese largo) y la longitud de clave que le mandaste por Signal, que deben coincidir:
gpg --finger pepito@grillo.com
Si por algún motivo no coinciden, Pili deberá eliminar la clave enseguida para no usarla por error y avisarte:
gpg --delete-key pepito@grillo.com
Desde programas GUI se pueden importar las claves (incluso desde el gestor de correo Thunderbird), mediante la opción "Import key from file" o similar, dentro del menú de Administración de Claves.
Pili ya te puede enviar correos cifrados.
La mayoría de gestores de correo soporta cifrado mediante GPG. Yo uso Sylpheed, pero mucha gente usa Thunderbird, que es una suite completa y lleva el sistema de cifrado "Enigmail" (versiones antiguas necesitaban instalar Enigmail como complemento). Si usas otro gestor, revisa si soporta cifrado.
Si eres usuaria de Android, K9-Mail también soporta el cifrado.
Cuando Pili te quiera enviar un correo desde Thunderbird, deberá marcar un candadito que hay en la barra de herramientas para activar el cifrado. También aparece un lápiz, que es para firmar digitalmente.
Si lo hace desde otro gestor, puede que las opciones varíen ligeramente. Por ejemplo en Sylpheed no hay candadito, solo un cuadro para marcar si quieres cifrado o no.
Cuando lo envíe, te llegará un correo con un asunto visible, pero cuando vayas a abrirlo te va a pedir la contraseña de tu clave privada (la llave que abre el candado). Y ya está, tienes tu primer correo cifrado.
Si has entendido todo el proceso hasta aquí, puedes pasar al siguiente nivel:
• GPG Nivel 3: Firmar, cifrar y descifrar
Tags: #gpg #gnupg