Introducción a PGP


Este documento ha sido elaborado dentro del Grupo de Trabajo sobre PGP por:

  • Rubén Martínez.
  • Jesús Sanz de las Heras jesus [dot] heras [at] rediris.es  .

Actualización: este documento habla exclusivamente de PGP 2.6.*. Mucho de lo que aquí se dice es aplicable a todas las versiones, particularmentelos conceptos básicos de criptografía asimétrica. Sin embargo, para información específica sobre las versiones más recientes consulte estas páginas.

Contenido

Introducción

Cuando alguien desea que su correo postal no sea leído no lo envía utilizando una tarjeta postal que puede leerla cualquiera persona que la manipula en los multiples lugares por donde circula hasta su destino. Lo normal es enviarlo usando un sobre cerrado. Este ejemplo puede ser trasladado al correo electrónico.

Es habitual que un mensaje enviado a través de Internet pase por varias estafetas y un postmaster o cualquier usuario con privilegios puede acceder a estos mensajes, leerlos y/o alterarlos. Además de esto no es difícil falsificar las direcciones del emisor de un mensaje. Por eso en caso de que se desee obtener seguridad en el correo electrónico a traves de Internet es necesario usar algún medio que nos proporcione garantías suficientes de confidencialidad, autentificación e integridad. PGP es el más usado de estos medios.

Al no ser la seguridad en correo electrónico un tema exclusivo entre el emisor y receptor es muy importante el soporte que el responsable del servicio de correo ofrezca a los usuarios que se lo demanden y el que recibe desde RedIRIS. El objetivo de estas páginas es orientar a estos responsables y a los usuarios en general sobre un posible "Servicio de correo seguro basado en PGP".

PGP

Introducción

PGP ha sido y es un hito a tener en cuenta dentro de Internet, desde su introducción en 1991, debido a su imparable crecimiento, debido a:

  1. El paquete PGP es de dominio público (existe una versión comercial distribuida por Pretty Good Privacy, Inc.).

  2. PGP es asequible para una gran variedad de plataformas (DOS/Windows, UNIX, Mac, VMS etc) e independiente del S.O.

  3. Esta basado en algoritmos extremedamente seguros como: RSA para cifrado de claves de sesión, IDEA para el cifrado del mensaje y MD5 para la generación de firmas digitales.

  4. El paquete incluye código fuente y documentación.

  5. No ha sido desarrollado ni es controlado por ninguna organización gubernamental.

Servicios

PGP ofrece tres tipos de servicio:

  1. Confidencialidad. Permite a un usuario, mediante cifrado, garantizar que solamente el destinatario podrá leer el mensaje.

  2. Autentificación. Permite a un usuario firmar un documento antes de enviarlo, lo cual permite:

    • Tener certeza de que el documento no ha sido modificado puesto que ha sido firmado. Si se alterara el mensaje la firma no sería válida.

    • Verificar que el mensaje ha sido firmado por una determinada persona.

  3. Integridad. La firma antes mencionada tiene la particularidad de que depende no sólo de la identidad del remitente sino también del contenido del mensaje, por lo que si este es alterado, la firma ya no es válida.
Esta página ha sido firmada digitalmente usando PGP