💾 Archived View for moribundo.flounder.online › blog › gpg › gpg06.gmi captured on 2024-05-10 at 11:23:41. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-01-29)
-=-=-=-=-=-=-
Señor Turing, estamos preparados.
Esta última entrega del tutorial quizá no la uses nunca, pero tengo que explicarla porque la considero importante.
Ha pasado el tiempo y hemos cambiado de email, o queremos añadir una subclave, o queremos modificar la caducidad de la clave, o lo que sea. Esos cambios hay que actualizarlos en nuestra clave.
Mucha gente no sabe cómo hacerlo y opta por crearse otro par de claves, pero es volver a empezar de nuevo, y avisar a todos los que tengan tu clave que ya no la usas, y enviarles de nuevo la clave nueva... un engorro.
Para eso está la gestión de claves, que no cambia la clave en sí pero sí sus metadatos.
Puede que quieras usar otro ID, por ejemplo, añadir otra cuenta de correo, porque ahora cifras desde tu cuenta de correo personal y desde la del trabajo:
gpg --edit-key pepito@grillo.com sec rsa4096/8D8C75185633D221 creado: 2015-11-28 caduca: nunca uso: SC confianza: absoluta validez: absoluta ssb rsa4096/ABEB58DAAED01C44 creado: 2015-11-28 caduca: nunca uso: E [ absoluta ] (1). Pepito Grillo <pepito@grillo.com> gpg> adduid gpg> quit
Como ves solo aparece una cuenta de correo asociado.
Ahora nos preguntará por los datos de la misma manera que lo hizo al crear la clave, es decir, nombre y apellidos, cuenta de correo y comentarios. Una vez añadidos los datos nos devuelve al prompt de gpg, donde saldremos con la orden "quit" y diremos que sí a la pregunta de guardar los cambios.
Si ahora volvemos a teclear el mismo comando veremos que se han aplicado los cambios, teniendo otro UUID (2) llamado Pinocho:
gpg --edit-key pepito@grillo.com sec rsa4096/8D8C75185633D221 creado: 2015-11-28 caduca: nunca uso: SC confianza: absoluta validez: absoluta ssb rsa4096/ABEB58DAAED01C44 creado: 2015-11-28 caduca: nunca uso: E [ absoluta ] (1). Pepito Grillo <pepito@grillo.com> [ absoluta ] (2) Pinocho <pinocho16@gmail.com>
Si te fijas, el primer UUID tiene un punto (1). lo que indica que es el UUID predeterminado.
Quiero usar el UUID secundario como principal. Viste que el UUID principal tiene un punto, así que hay que cambiarlo:
gpg --edit-key pepito@grillo.com gpg> uid 2 gpg> primary gpg> save gpg> quit
Si tienes un UUID que ya no quieres, puedes eliminarlo. Volviendo al ejemplo anterior, el punto está en UUID 2 así que voy a eliminar el UUID 1
gpg --edit-key pepito@grillo.com gpg> uid 1 gpg> deluid gpg> save gpg> quit
NOTA: Asegurarse antes de nada que el punto se mueve al UUID sobre el que queremos operar
A veces, al generar nuestro par de claves como hicimos al principio de todo del curso, solo escogemos la opción de firmar (opción 4 del menú). Luego queremos cifrar y no podemos, pero se puede añadir la subclave para cifrar:
gpg --edit-key pepito@grillo.com gpg> addkey gpg> save gpg> quit
Le decimos que añada (addkey) una subclave. Nos preguntará por el tipo y seleccionarás "6 RSA (sólo cifrar)" e introducirás el tamaño de la clave, por ejemplo 2048.
Le decimos que guarde y salga.
Si la contraseña que elegiste no te gusta, o la quieres cambiar por seguridad, puedes hacerlo sin problemas:
gpg --edit-key pepito@grillo.com gpg> passwd gpg> quit
Te pedirá la antigua contraseña y luego la nueva.
Si pusimos caducidad y no queremos que caduque, o si queremos añadir caducidad a una clave temporal o cualquier otro motivo, puedes cambiarlo. Por defecto siempre aparece la "key 0" pero siempre es mejor asegurarse:
gpg --edit-key pepito@grillo.com gpg> key 0 gpg> expire gpg> save gpg> quit
Después del comando "expire" te pide que especifiques el periodo de validez sobre unas opciones que van del 0 (no caduca) a semanas, meses o años.
Ahora haremos lo mismo en la subclave:
gpg --edit-key pepito@grillo.com gpg> key 1 gpg> expire gpg> save gpg> quit
Nota que he cambiado "key 0" por "key 1". Hay que asegurarse de que el asterisco ha cambiado a la subclave sobre la que quieres operar.
Todo esto puede hacerse desde los programas GUI mseleccionando tu clave y eligiendo la opción "Edit key" o similar.
Si ya no necesitas la clave de algún contacto, eliminarás su clave con el siguiente comando:
gpg --delete-key pili-mili@disroot.org
Si es tu clave la que no quieres:
gpg --delete-secret-key "Pepito Grillo"
Como ves, has borrado la clave secreta, pero como la clave pública va asociada, también se elimina.
NOTA: Ojo con esto. Nadie excepto tú deberá tener la clave privada (que es la llave que abre los candados), así que usa esto con cuidado.
Puedes querer poder usar GPG desde el smartphone o el portátil. En Android yo uso la app OpenKeyChain, pero también existe APG.
En este caso tienes que exportar la clave privada al dispositivo que quieras para poder usar GPG:
gpg -a --export-secret-key pepito@grillo.com" > clave-privada
Te pedirá la contraseña y después ya la tendrás disponible para copiarla al dispositivo.
Para importar la clave privada:
gpg --allow-secret-key-import --import clave-privada
O desde las apps móviles, "Importar clave privada".
Y hasta aquí llega el curso de cifrado con GPG.
Hay muchas otras cosas que se pueden hacer y que no he explicado porque entra dentro de un uso más profesional. Te invito a que leas la web del proyecto, mires las páginas man y busques información por la red, porque se pueden hacer cosas muy chulas.
Espero que el curso te haya servido de ayuda.