HERRAMIENTAS PGP

INTEGRANTES:
VILLEGAS DIAPIZ, MAX LINDER
LOPEZ DEL AGUILA, ROIBER ANTONIO
INTRODUCCIÓN
• A raíz del escándalo de espionaje de la NSA, agencia norteamericana que espía las
comunicaciones de ciudadanos de todo el mundo, ha resurgido el miedo a la
inseguridad en Internet.
• La principal y más efectiva manera de proteger la seguridad de tus comunicaciones
en Internet es usar cifrado. De esta manera surge PGP, una tecnología con más de 20
años de vida y que es un estándar de la seguridad en Internet.
• PGP es el acrónimo de Pretty Good Privacy (Privacidad Bastante Buena), un programa
desarrollado por Phil Zimmermann que sirve para cifrar contenido y acceder a él
mediante una clave pública y firmar documentos digitalmente para autentificarlos. El
programa vio la luz en 1991, y desde entonces se ha convertido en una herramienta
imprescindible para el cifrado de toda clase de archivos, ya que, a pesar de sus más
de 20 años de vida, sigue siendo una tecnología de cifrado muy segura.
¿QUÉ ES PGP?
• PGP significa Pretty Good Privacy. Es un software de encriptación diseñado para
proporcionar privacidad, seguridad y autenticación para los sistemas de comunicación
en línea. Phil Zimmerman es el nombre detrás del primer programa PGP, y según él, se
puso a disposición de forma gratuita debido a la creciente demanda social de
privacidad.
• Aunque inicialmente solo se usaba para proteger los mensajes de correo electrónico y
los archivos adjuntos, PGP ahora se aplica a una amplia gama de casos de uso,
incluidas las firmas digitales, el cifrado completo del disco y la protección de la red.
• PGP se basa en una tecnología de cifrado de amplia aceptación conocida como
criptografía de clave pública en la que se utilizan dos claves complementarias,
denominadas par de claves para mantener las comunicaciones seguras. Una de las
claves se conoce como clave privada, a la cual sólo usted tiene acceso, y la otra es una
clave pública que usted puede intercambiar libremente con otros usuarios de PGP.
¿CÓMO FUNCIONA?
• Es un sistema criptográfico híbrido que utiliza cifrado tanto simétrico como
asimétrico para lograr un alto nivel de seguridad.
• antes de que tenga lugar el proceso de cifrado, la mayoría de los sistemas
PGP realizan la compresión de datos. Al comprimir los archivos de texto sin
formato antes de transmitirlos, PGP ahorra espacio en el disco y tiempo de
transmisión, mientras que mejora la seguridad.
• Tras la compresión de archivos, comienza el proceso real de cifrado. En esta
etapa, el archivo de texto simple comprimido se cifra con una clave de un
solo uso, que se conoce como clave de sesión. Esta clave se genera
aleatoriamente mediante el uso de criptografía simétrica, y cada sesión de
comunicación PGP tiene una clave de sesión única.
SERVICIOS DE PGP
Como se ha dicho, el principal cometido de PGP es ser un método
criptográfico fiable para su uso con el correo electrónico. Podemos
decir que en general, ofrece tres tipos de servicios:
1. Privacidad: PGP permite cifrar ficheros utilizando cifrado
asimétrico. También permite opcionalmente el cifrado simétrico.
2. Autentificación: al firmar con una clave privada podemos estar
seguros de que es posible verificar quien es el autor.
3. Integridad: a través de la firma digital se puede comprobar que
fichero o mensaje ha sido modificado.
¿Dónde se usa PGP?
• El cifrado de datos mediante PGP se puede aplicar a cualquier elemento digital:
mensajería, comunicaciones, todo tipo de archivos, y documentos. Puede ser utilizado
para firmar digitalmente un mensaje y que pueda verificarse el remitente como
autentico. También sirve para generar certificados de seguridad en servicios web.
• Un equivalente abierto de PGP es GPG o GnuPG (GNU Privacy Guard), y este se
encuentra incorporado en clientes de correo como KMail y Evolution, muy populares en
las distribuciones Linux. Existen extensiones para navegadores web como Chrome y
Firefox que te permiten cifrar los datos de tus correos electrónicos a través de PGP, así
como plugins para clientes de correo como Thunderbird y Seamonkey. Aunque resulte
difícil de creer, Google se encuentra trabajando en estos momentos en una extensión
para Chrome que ofrecerá cifrado de extremo a extremo para Gmail por primera vez, y
para ello utilizará el protocolo abierto de OpenPGP, para que los usuarios puedan cifrar,
descifrar, firmar digitalmente y verificar correos electrónicos firmados dentro del
navegador.
CASOS DE USO
• Uno de los usos más comunes de PGP es proteger los correos electrónicos. Un
correo electrónico protegido con PGP se convierte en una serie de caracteres
que no se pueden leer (texto cifrado) y solo se pueden descifrar con la clave de
descifrado correspondiente. Los mecanismos de trabajo son prácticamente los
mismos para proteger los mensajes de texto, y también hay algunas aplicaciones
de software que permiten la implementación de PGP sobre otras aplicaciones, lo
que agrega un sistema de cifrado a los servicios de mensajería no segura.
• Aunque PGP se utiliza principalmente para proteger las comunicaciones de
Internet, también se puede aplicar para cifrar dispositivos individuales. En este
contexto, PGP puede aplicarse a particiones de disco de una computadora o
dispositivo móvil. Al cifrar el disco duro, el usuario deberá proporcionar una
contraseña cada vez que se inicie el sistema.
VENTAJAS
• Gracias a su uso combinado de cifrado
simétrico y asimétrico, PGP permite a
los usuarios compartir de forma segura
información y claves criptográficas a
través de Internet.
• El protocolo OpenPGP permitió el
surgimiento de un entorno competitivo
estandarizado y las soluciones de PGP
ahora son proporcionadas por varias
compañías y organizaciones. Aun así,
todos los programas PGP que cumplen
con los estándares OpenPGP son
compatibles entre sí. Esto significa que
los archivos y claves generadas en un
programa pueden usarse en otro sin
problemas.
DESVENTAJAS
• los sistemas PGP no son tan fáciles de
usar y comprender, especialmente para
usuarios con poco conocimiento
técnico. Además, muchos consideran
que la larga longitud de las claves
públicas es bastante inconveniente.
• En 2018, la Electronic Frontier
Foundation (EFF) publicó una gran
vulnerabilidad llamada EFAIL. EFAIL hizo
posible que los atacantes explotaran
contenido HTML activo en correos
electrónicos encriptados para obtener
acceso a las versiones de texto plano de
los mensajes.
¿QUÉ TAN SEGURO ES PGP?
• Es imposible decir que un método de cifrado particular es 100 por
ciento seguro. Dicho esto, PGP generalmente se considera
extremadamente seguro. El sistema de dos claves, las firmas digitales
y el hecho de que PGP es de código abierto y ha sido fuertemente
controlado por el público contribuyen a su reputación como uno de
los mejores protocolos de cifrado.
• Entonces, ¿PGP es seguro? Bueno, Edward Snowden usó PGP para
enviar archivos a Glenn Greenwald cuando reveló la historia que
despertó un gran interés en el cifrado. Y si es lo suficientemente
bueno para Snowden, es lo suficientemente bueno para la mayoría, si
no todas, de las otras personas que necesitan cifrar cosas.
VULNERABILIDADES DE PGP
• Escoger unas contraseñas adecuadas: ``Paco'' y ``Pepe'' no suelen ser una buena opción.
• Proteger adecuadamente los archivos ``sensibles'': es decir, los ficheros que contienen los
anillos de claves y el fichero que alberga la semilla aleatoria. Esta protección debe llevarse
a cabo de cara a posibles curiosos o a pérdidas de datos. Hay que tener en cuenta que si
formateamos el ``Windows'' nos cargamos los anillos y no podremos descifrar nunca
jamás un mensaje cifrado para nuestras claves.
• Emitir revocaciones de nuestras claves al generarlas y guardarlas en un lugar seguro: es el
único mecanismo válido para revocar una clave en caso de pérdida del anillo privado. PGP
6 permite nombrar revocadores para nuestras claves, de forma que estos pueden
invalidarla sin necesidad de usar la clave privada.
• Firmar sólo las claves de cuya autenticidad estemos seguros: es de cajón. Es la única
manera de que los anillos de confianza puedan funcionar. Si todos firmamos las claves al
estilo ``To er mundo e bueno'' podríamos certificar claves falsas.
PROGRAMAS PARA UTILIZAR PGP
• PGP Desktop (ahora Symantec Encryption): El primer programa para usar PGP
era PGP Desktop. Sin embargo, tras la adquisición de PGP por parte de
Symantec, este programa desapareció, dando paso a una serie de aplicaciones
variadas de pago, enfocadas sobre todo a la empresa, y que están enfocadas a
distintas posibilidades de PGP, como cifrado de correos electrónicos, cifrado de
datos en redes locales o cifrado de discos duros locales.
• GnuPG o GPG: Paralelamente al desarrollo de PGP, el mundo open
source decidió crear su alternativa libre y gratuita, GnuPG (Gnu Privacy Guard).
Esta herramienta, disponible para varias plataformas, incluyendo OS X a través
de GPG Suite. Aunque por defecto funciona desde línea de comandos, en su
página oficial encontrarás programas con entorno gráfico para usar GPG,
acrónimo de GnuPG.
• GPGshell: Uno de los programas más populares que utiliza GnuPG para cifrar
archivos. Su aspecto es muy simple, pero ofrece todas las opciones de GPG,
pero con menús, ventanas y sin tener que abrir la línea de comandos.

• Enigmail: Una extensión para Thunderbird y Seamonkey que permite cifrar

mensajes de correo electrónico usando el estándar OpenPGP. Se integra
muy bien en estos gestores de correo y permite crear claves distintas por
cada cuenta de usuario, entre otras opciones.

• GNUPGK: Otro programa que se basa en GnuPG para cifrar y descifrar toda
clase de archivos. Entre otras cosas, ofrece soporte para PGP, y además se
integra en el menú contextual de Windows para ejecutar las acciones más
sencillas directamente desde el botón derecho del ratón.
CONCLUSIÓN
• Desde su desarrollo en 1991, PGP ha sido una herramienta esencial
para la protección de datos y ahora se utiliza en una amplia gama
de aplicaciones, proporcionando privacidad, seguridad y
autenticación para varios sistemas de comunicación y proveedores
de servicios digitales.
• Si bien el descubrimiento en 2018 de la falla de EFAIL generó
importantes preocupaciones sobre la viabilidad del protocolo, la
tecnología central todavía se considera robusta y criptográfica. Vale
la pena señalar que las diferentes implementaciones de PGP
pueden presentar diferentes niveles de seguridad.