Menu
in

PGP: Criptografía híbrida para más seguridad

El contexto actual en el cual la información que se mueve por internet es tan importante como expropiable, fácil de espiar o de distorsionar, la criptografía es el recurso que muchos utilizan para esconder sus mensajes. Uno de los sistemas de criptografía más fuertes es el de PGP (Pretty Good Privacy), que mezcla dos modelos de criptografía como lo son la de clave pública y la convencional, o también asimétrica y simétrica. En este informe te contamos de qué se tratan estos modelos de criptografía y cómo hace la aplicación PGP para fusionarlas y crear un modelo de criptografía híbrida que tiene ventajas para nuestra seguridad en todos los planos.

Qué es PGP

Creado en 1991, PGP es una aplicación informática que sirve para encriptar y desencriptar archivos y compartirlos a través de protocolos de seguridad que incorporar lo mejor de diferentes estilos de criptografía y hacen de las comunicaciones más seguras y menos accesibles al criptoanálisis. Además, permite la certificación de los mensajes recibidos, sus receptores, sus destinatarios y la inviolabilidad de su contenido. Pero para entender cómo funciona PGP hay que comprender los conceptos que le dan vida, y por eso haremos un obligatorio repaso por los conceptos de criptografía y encriptación.

¿Qué es la criptografía y la encriptación?

Hay una historia muy utilizada a la hora de explicar los orígenes de la encriptación a gente que no está familiarizada con el concepto y es la siguiente: Cuando Julio César quería enviarle mensajes a los altos mandos de sus ejércitos, él no confiaba en los mensajeros de rango bajo y altamente corruptibles, por lo que reemplazaba cada A de su mensaje con un D, cada B por una E y así hasta la Z. Esta es la famosa regla de “reemplazar por 3”, y quien no la supiera, no podía descifrar el mensaje. Como en ese momento no había Google, el mensaje llegaba con alta seguridad a sus receptores. La criptografía responde al procedimiento matemático que se lleva a cabo para encriptar o desencriptar un mensaje cifrado, y la encriptación es un sistema; primitivo –como el visto en el ejemplo- o altamente complejo, para esconder el contenido original de un mensaje dentro del mismo, con el objetivo de enviar la información con mayor seguridad a través de, en el caso de la informática, redes de ordenadores y servidores. La encriptación tiene como primer paso un texto plano (puede ser cualquier otro formato), donde la información a esconder sea fácilmente accesible. Al utilizar alguno de los métodos de criptografía, el paso siguiente da como resultado un texto cifrado, que luego deberá ser, a través de criptografía también, desencriptado para volver  a obtener el texto plano original.

Criptografía convencional

La criptografía convencional o la criptografía de clave secreta o de clave simétrica, una misma clave es utilizada tanto para la encriptación y para la encriptación.  Es el caso del ejemplo que hemos dados de Julio César, donde una misma regla (o clave) se utiliza para cifrar y descifrar el mensaje. Este sistema es el más rápido, pero tiene un problema fundamental: ¿Quién asegura que el intercambio de la clave única no será interceptado por un tercero?

Criptografía de clave pública

Nacido como concepto y técnica a mediados de los 70, la criptografía de llave o clave pública utiliza un conjunto de dos claves en vez de una, con lo que divide el proceso de encriptación y desencriptación y lo más complejo, más personalizado y más seguro. La idea está en que cada usuario posee una clave pública única y personal que puede ser accesible por cualquier otro usuario, pero también tiene una clave privada que sólo él conoce. Entonces, el remitente del mensaje debe encriptar su mensaje con la clave pública del receptor. Cuando el receptor se hace con el mensaje cifrado con su clave pública, debe utilizar su clave privada para poder desencriptarlo. Es como si alguien nos enviara una caja fuerte con una cerradura para la cual sólo nosotros tenemos la llave.

Cómo funciona PGP

Pretty Goog Privacy, funciona básicamente a través de la fusión de los dos tipos de encriptación comentados anteriormente, por lo que se trata de un criptosistema híbrido. Cada vez que algún usuario quiere enviar un mensaje cifrado, lo que hará con PGP es encriptar primero el –supongamos- texto plano, para lo que PGP realiza una compresión del archivo que,  como ya es de conocimiento popular entre los que utilizamos aplicaciones para comprimir archivos, la compresión ayudará a que estos ficheros tengan un peso menor y sean más transportables, pero también, y como virtud extra, le dará más resistencia al encriptado, ya que los archivos se vuelven más complejos a través de la compresión y resistiendo mucho más a eventuales técnicas de criptoanálisis (búsqueda del tipo de cifrado que tiene un archivo encriptado).

El paso siguiente que se realiza en PGP es la creación de una Clave de Sesión, que viene a ser una clave secreta de uso único (válida sólo para ese proceso). Este se trata de una cifra aleatoria generada por PGP en base al movimiento del ratón y el las teclas que presiones durante unos segundos. Al utilizarla sobre el texto plano comprimido, el archivo queda absolutamente cifrado, obteniendo lo que se denomina –y no traducimos por respeto al idioma- un ciphertext. El paquete se cierra y que cifra bajo la clave pública del usuario receptor. La alternativa que viene a exponer PGP en contraste con otros tipos de cifrado es que –además de la compresión- la clave se guarda DENTRO del paquete cifrado, por lo que tendríamos algo así como –y siguiendo el ejemplo anterior- un cofre cerrado cuya llave está en su interior.

Desencriptar con PGP

Una vez que el archivo está por ponerse a disposición de su original receptor, la desencriptación se realiza cuando éste introduce su clave privada para acceder a la clave de sesión única. Esta será la clave con la que PGP desencriptará lo restante del código. Desde este momento el archivo será totalmente legible.

Firmas digitales y web de confianza

Uno de los baluartes del sistema de PGP son las llamadas firmas digitales, que sirven para saber si el archivo original ha sido modificado por terceros o si quien dice ser su remitente es el original. Este sistema se ha visto mucho en acción para proteger la información entre los mensajes internos que utilizan en Wikileaks, pero igualmente no sé si tendría que estar desvelando esto así que olvídenlo (sólo bromeo). Las firmas digitales también pueden crearse cada vez que se deseen a través del programa. Otro de los sistemas de verificación de origen es la llamada Web Trust o Web de confianza, que certifica que la clave pública esté asociada a un usuario o institución.

El programa

Dada su filosofía y la estructura de trabajo, la aplicación de PGP está disponible para todas las plataformas, desde MS-DOS, Atari y Amiga a Windows Xp, Mac y Linux.  El sistema, siempre de dependiendo de en qué plataforma se lo utilice –y principal razón por lo que primero lo presentamos, para en otro momento hacer un tutorial-, muestra una sencilla visualización de los menús y acciones para cifrar los archivos hasta con dos clics. Para crear las claves se utiliza PGPkeys, que también las administra. Lo más complicado a veces es encontrar una forma de distribuir tu clave pública, pero en primera instancia tenemos dos variantes. El primero es a través de un servidor de claves (los más conocidos son los del MIT y el del PGP.com), y el segundo generando un fichero de texto para compartir.  Para ambos hay que abrir PGPKeys y seleccionar tu par de claves. También tenemos PGPMail, que encripta y decripta los mensajes entrantes o salientes. Otro componente de PGP es su PGPDisk, que encripta parte de un disco duro para evitar el acceso a la información en caso de robo o pérdida del disco.

¿Por qué deberíamos usar PGP?

La explicación sobre por qué deberías utilizar PGP –o en realidad cualquier tipo de encriptación segura- y este convertirse en un estándar es algo que escribió el mismo autor del programa y del sistema, Phil Zimmerman, y por eso creemos que la mejor forma de iniciarte en el objetivo de este proyecto es contándotelo con sus propias palabras, que son – creemos- irremplazables: ”[PGP] es personal. Es privado. Y sólo a ti te importa. Puedes estar organizando una campaña electoral, hablar de tus impuestos, o teniendo una aventura. O puede que estés haciendo algo que piensas que no debería ser ilegal, pero lo es. Por todo esto, no quieres que tu correo electrónico (E-mail) privado o tu documentos confidenciales sean leídos por nadie más. No hay nada de malo en mantener tu privacidad. La privacidad es uno de los derechos que establece la Constitución. (…)La seguridad está en la cantidad de gente que lo hace. Análogamente, sería agradable que si cada uno de nosotros usáramos la encriptación en todos nuestros correos electrónicos, inocentes o no, nadie levantaría sospechas por mantener la privacidad de su correo electrónico encriptándolo. Piénsalo como una forma de solidaridad (…) PGP permite a la gente tener su privacidad en sus propias manos. Hay una creciente necesidad social de privacidad. Por eso lo escribí.” La idea de este texto -como si faltase aclaración alguna- es básicamente esta: como un porcentaje inmenso de personas no encripta su correo, el porcentaje que sí lo hace pasa a ser automáticamente sospechoso, porque “por algo lo encriptan” Si todos encriptamos, la tasa de sospecha se diluye por ser inabarcable.

Escrito por Nico Varonas

Leave a Reply