/usr/share/doc/gnupg-doc/mini-HOWTO/es/gpgminicomo-3.html is in gnupg-doc 2003.04.06+dak1-1ubuntu1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.69">
<TITLE>``GNU Privacy Guard'' (GnuPG) Mini Como: Uso y Gestión de las Claves</TITLE>
<LINK HREF="gpgminicomo-4.html" REL=next>
<LINK HREF="gpgminicomo-2.html" REL=previous>
<LINK HREF="gpgminicomo.html#toc3" REL=contents>
</HEAD>
<BODY>
<A HREF="gpgminicomo-4.html">Next</A>
<A HREF="gpgminicomo-2.html">Previous</A>
<A HREF="gpgminicomo.html#toc3">Contents</A>
<HR>
<H2><A NAME="s3">3.</A> <A HREF="gpgminicomo.html#toc3">Uso y Gestión de las Claves</A></H2>
<H2><A NAME="ss3.1">3.1</A> <A HREF="gpgminicomo.html#toc3.1">Generar una Clave</A>
</H2>
<P>Con la orden</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --gen-key
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>se genera un nuevo par de claves (el par se compone de clave privada y
clave pública). La primera pregunta es qué algoritmo se va a usar.
Para más información sobre algoritmos, ver
<A HREF="http://www.hertreg.ac.uk/ss/pgpfaq.html">PGP DH vs. RSA FAQ</A> o
<A HREF="gpgminicomo-7.html#BSchneier">Applied Cryptography</A>.
El algoritmo recomendado por GnuPG es DSA/ElGamal, ya que éste no está
patentado.</P>
<P>La siguiente pregunta es la longitud de la clave. Esta parte depende
de los requerimientos del usuario. Es necesario elegir entre la seguridad
y el tiempo de los procesos. Cuanto mayor sea una clave, menor será el
riesgo de que el mensaje sea descodificado si es interceptado, pero también
aumentará el tiempo que empleará para el cálculo de los procesos. El tamaño
mínimo que requiere GnuPG es de 768 bits, aunque mucha gente opina que
debería ser de 2048 (que es el máximo con GnuPG en este momento).
Para DSA 1024 es un tamaño fijo.
Cuando la seguridad es una prioridad más alta que el tiempo, la opción es
elegir el tamaño de clave más grande que se permita.</P>
<P>El sistema nos pedirá a continuación que se introduzca el nombre,
comentario y dirección de correo electrónico. El código será calculado en
base a estas entradas. Esto se puede cambiar más tarde (ver
<A HREF="#admon">Administración de Claves</A>). La dirección de correo electrónico que
se escoja debería ser una válida, ya que ésta será usada para firmar el
identificador de usuario. Si esta dirección se modifica en algún modo, la
firma no corresponderá. Finalmente, se puede introducir un comentario.</P>
<P>El último paso consiste en introducir una contraseña. Nótese la
diferencia entre los términos anglosajones para la palabra
«contraseña»: el término "password" indica una
"palabra de paso", mientras que el término "passphrase"
indica una "frase de paso". Por tanto esta contraseña se debe
componer de más de una palabra. Para que una contraseña sea efectiva
(segura), deberá contener los siguientes elementos:</P>
<P>
<UL>
<LI>que sea larga;</LI>
<LI>que combine mayúsculas, minúsculas y números;</LI>
<LI>que contenga carácteres especiales (no alfanuméricos);</LI>
<LI>que sea difícil de adivinar. Por lo tanto, que no sean nombres, fechas
significativas, números de teléfono, números de documentos, ...</LI>
</UL>
</P>
<P>En general, para una contraseña fuerte es aconsejable intercalar maYúsCUlas
con mInúsCulas, números, otros carácteres no alfanuméricos, etc. Al escoger
las palabras y frases debemos evitar aquellas palabras demasiado obvias, o
fechas significativas, y nunca usar citas de libros o frases famosas. Dicho
esto, debemos asegurarnos de que la contraseña que elijamos sea lo
suficientemente difícil para que no pueda ser traspasada por un «ataque
de fuerza bruta», ni siquiera por un «ataque de diccionario»,
pero lo suficientemente fácil como para que la recordemos. Si olvidáramos una
contraseña nuestra clave quedaría totalmente inutilizada, y los criptogramas
con ella cifrados, indescifrables. Ante esta posibilidad se recomienda crear
siempre certificados de revocación junto con las claves (ver
<A HREF="#revoc">Certificados de Revocación</A>).</P>
<P>Una vez se han introducido todos los datos requeridos, empieza el proceso
de generación de las claves, que tardará un tiempo dependiendo del tamaño de
éstas. Durante este proceso el programa recoge datos aleatorios que usará para
generar las claves; un modo para ayudar a generar estos datos es cambiando a
una consola virtual diferente y usando el teclado mientras el proceso está en
marcha.</P>
<H2><A NAME="ss3.2">3.2</A> <A HREF="gpgminicomo.html#toc3.2">Exportar Claves</A>
</H2>
<P>La orden para exportar la clave es:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --export [UID]
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Si no designamos un identificador de usuario (UID) todas las claves presentes
en el anillo de claves serán exportadas. El resultado es enviado por defecto
a <CODE>stdout</CODE>, pero con la opción <CODE>-o</CODE> podemos especificar que sea enviado
a un fichero. Se recomienda usar la opción <CODE>-a</CODE> para que el resultado sea
un fichero de 7-bit ASCII en lugar de un fichero binario.</P>
<P>Al exportar la clave pública se amplía el abanico de personas con las que se
podrá comunicar de modo seguro. La clave se puede exportar poniéndola en una
página <EM>web</EM>, mediante <EM>finger</EM>, <EM>ftp</EM>, subiéndola en un servidor de
claves públicas, o cualquier otro método.</P>
<H2><A NAME="ss3.3">3.3</A> <A HREF="gpgminicomo.html#toc3.3">Importar Claves</A>
</H2>
<P>Cuando se recibe la clave pública de otra persona hay que añadirla a la
base de datos (anillo de claves) para poder hacer uso de ella. La orden para
importarlas es la siguiente:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --import [fichero]
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Si se omite el nombre del fichero se leerán los datos de <CODE>stdin</CODE>.
El fichero puede contener una sola clave o varias a la vez, pertenecientes a
diferentes personas o a la misma.</P>
<H2><A NAME="revoc"></A> <A NAME="ss3.4">3.4</A> <A HREF="gpgminicomo.html#toc3.4">Revocar Claves</A>
</H2>
<P>Existen diversos motivos por los que se puede desear revocar una clave.
Por ejemplo, si la clave secreta ha sido robada, o si se ha olvidado la
contraseña de ésta. En cualquier caso la orden de revocación es:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --gen-revoke
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Esto creará un <B>Certificado de Revocación</B>. Para ello es necesaria la
clave secreta, de lo contrario cualquiera podría hacer un certificado y
revocar una clave que no le perteneciera. En el caso anterior en el que la
contraseña ha sido olvidada, se hace imposible generar un certificado de
revocación. Por este motivo es muy aconsejable generar un certificado de
revocación a continuación de la generación de la clave. Es primordial guardar
este certificado en un lugar seguro para que nadie pueda usarlo y revocar la
clave.</P>
<H2><A NAME="admon"></A> <A NAME="ss3.5">3.5</A> <A HREF="gpgminicomo.html#toc3.5">Administrar las Claves</A>
</H2>
<P>Existe un fichero que es a modo de una base de datos, en el que se guardan
todos los datos relacionados con las claves, incluido los valores relativos al
grado de confianza (<EM>Ownertrust</EM>); para más información sobre esto leer
<A HREF="#firmk">Firmar las claves</A>. Con orden</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --list-keys
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>se muestran todas las claves presentes. Para poder ver también las firmas en
cada clave, usar:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --list-sigs
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>(ver
<A HREF="#firmk">Firmar las claves</A> para más información). Para
ver las huellas digitales (<EM>fingerprints</EM>):</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --fingerprint
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Las «huellas digitales» sirven para confirmar la identidad de la
persona. Esta orden nos muestra una lista alfanumérica que podemos comprobar,
por ejemplo, por teléfono.</P>
<P>Para ver el listado de las claves secretas:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --list-secret-keys
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Nota: el listado de las huellas digitales y las firmas de las claves secretas
no es de ninguna utilidad.</P>
<P>Para eliminar una clave pública:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --delete-key UID
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Para eliminar una clave secreta:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --delete-secret-key
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Existe otra orden que es relevante para trabajar con las claves:</P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --edit-key UID
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>Para esta orden necesitaremos la contraseña, y podemos, entre otras cosas,
editar la fecha de caducidad, añadir una huella digital y firmar la clave.</P>
<H2><A NAME="firmk"></A> <A NAME="ss3.6">3.6</A> <A HREF="gpgminicomo.html#toc3.6">Firmar las Claves</A>
</H2>
<P>Como se ha mencionado anteriormente en la introducción, existe un talón de
Aquiles en el sistema: la autentificación de las claves públicas. Si se
obtiene una clave pública errónea, ya se puede despedir uno del valor del
cifrado. Para evitar estos riesgos está la posibilidad de firmar las claves.
Cuando tenemos la certeza de que una clave es válida y pertenece a quien dice,
podemos firmarla digitalmente, de modo que otros que confíen en nuestra firma
la puedan dar por válida.</P>
<P>Usando el comando </P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
$ gpg --edit-key UID
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P>para la clave que queremos firmar, nos llevará al subcomando </P>
<P>
<BLOCKQUOTE><CODE>
<HR>
<PRE>
Command> sign
</PRE>
<HR>
</CODE></BLOCKQUOTE>
</P>
<P><B>¡¡¡Sólo se debe firmar una clave cuando se esté ABSOLUTAMENTE SEGURO de
que dicha clave es auténtica!!!</B> En realidad, sólo se puede estar totalmente
seguro cuando la clave se ha recibido en mano, o por ejemplo si se ha recibido
por correo y a continuación se han comprobado las huellas digitales por
correo. Una clave no debe ser nunca firmada en base a una suposición.</P>
<P>Basándose en las firmas existentes en una clave y en el «grado de
confianza», <CODE>GnuPG</CODE> determina la validez de las claves. El grado de
confianza (<EM>Ownertrust</EM>) es un valor que el propietario de una clave usa
para determinar el nivel de confianza para una cierta clave. Estos valores
son:</P>
<P>
<UL>
<LI>1 = Don't know (No sé, no conozco)</LI>
<LI>2 = I do NOT trust (Confianza nula)</LI>
<LI>3 = I trust marginally (Confianza marginal)</LI>
<LI>4 = I trust fully (Confianza plena)</LI>
</UL>
</P>
<P>Si el usuario no se fía de una firma puede indicarlo así, y rechazar la
confianza en ésta. La información sobre la confianza no se guarda en el
mismo fichero que el de las claves, sino en otro diferente.</P>
<HR>
<A HREF="gpgminicomo-4.html">Next</A>
<A HREF="gpgminicomo-2.html">Previous</A>
<A HREF="gpgminicomo.html#toc3">Contents</A>
</BODY>
</HTML>
|