Como cifrar ficheiros e mensaxes en Ubuntu

O cifrado ou cifrado de ficheiros, textos, etc. É unha ferramenta que todos os usuarios de Linux deben coñecer e que, por desgraza, poucos coñecen e usan a diario. Isto é especialmente sorprendente cando se considera a reputación de Linux como un "sistema operativo seguro"; Esta é unha ferramenta máis que Linux pon ao alcance dos teus dedos para mellorar a túa seguridade. Por que non o usas? Por descoñecemento? Ben, este post vén para cubrir ese "oco"O método máis sinxelo para cifrar a información é usar GNU Privacy Guard (GPG). Este mini-manual describe a súa instalación e manexo en Ubuntu de pés a cabeza. Tardei case 2 días en escribilo, así que espero que vos sexa útil.

Como funciona GPG

GPG usa un sistema híbrido que combina cifrado simétrico e asimétrico.

O cifrado asimétrico sempre funciona cun par de chaves. Un deles será vostede clave "pública" e o outro ti clave "privada". Como o seu nome indica, a clave pública pódese dar a quen desexa enviar mensaxes cifradas e non hai perigo se outra persoa a ve, ademais, normalmente publícanse en servidores públicos para facilitar o seu acceso; A clave privada, por outra banda, debe ser secreta e non ten que compartila con ninguén. O máis bonito de todo isto é que, como veremos a continuación, ambas as claves son creadas directamente por GPG en función dos teus datos persoais. O último paso é "selar" estas dúas claves a través dunha "frase de acceso". Entón, ao final, o único contrasinal que terás que lembrar é o teu "contrasinal".

Pasando limpo, grazas ao cifrado asimétrico, Se o remitente usa a clave pública do destinatario para cifrar a mensaxe, unha vez cifrada, só a clave privada do destinatario poderá descifrar esta mensaxe, xa que son o único que a coñece.. Polo tanto, conséguese a confidencialidade do envío da mensaxe: ninguén, excepto o destinatario, pode descifralo. Se o propietario do par de claves usa a súa clave privada para cifrar a mensaxe, calquera pode descifrala usando a súa clave pública. Neste caso, conséguese a identificación e autenticación do remitente., xa que se sabe que só el podería usar a súa chave privada (a non ser que alguén a puidese roubar).

Un último comentario que me parece interesante mencionar é que se inventaron os cifrados asimétricos evite completamente o problema do intercambio de claves cifrados simétricos. Coas claves públicas, non é necesario que o remitente e o destinatario acorden a clave a usar. Todo o que se require é que, antes de iniciar a comunicación secreta, o remitente obteña unha copia da clave pública do destinatario. É máis, a mesma clave pública pode usala calquera que queira comunicarse co seu propietario.

Que seguridade ten GPG?

El algoritmo usado por GPG é DSA / ElGamal, xa que é "gratuíto" e non cae sobre el patentes "propietarias".

Respecto ao lonxitude da chave, depende dos requisitos do usuario. É necesario un equilibrio entre seguridade e optimización de procesos. Canto maior sexa a tecla, menor será o risco de que a mensaxe se decodifique se se intercepta, pero tamén aumentará o tempo que tardará en calcular os procesos. O tamaño mínimo requirido por GnuPG é de 768 bits, aínda que moita xente pensa que debería ser 2048 (que é o máximo con GnuPG neste momento). Cando a seguridade é unha prioridade superior á hora, a opción é escoller o maior tamaño de clave permitido.

Instalación de GPG en Ubuntu

Ubuntu sae "da caixa" con GPG e unha interface gráfica para GPG chamada Seahorse. Para acceder a Seahorse só temos que ir a Aplicacións> Accesorios> Contrasinais e claves de cifrado.

Antes diso, recomendo abrir un terminal e escribir:

sudo aptitude install seahorse-plugins sudo killall nautilus

O que isto fai é permitirnos integrar GPG en Nautilus. A partir de agora, se facemos clic co botón dereito sobre un ficheiro, veremos que aparecen dúas opcións máis: "Cifrar" e "Asinar". A continuación veremos como usar estas novas ferramentas.

Crea as claves

Antes de comezar a cifrar mensaxes e ficheiros, como vimos, é necesario primeiro crear as nosas claves asimétricas e a nosa "frase de contrasinal". Para iso dirixímonos a Aplicacións> Accesorios> Contrasinais e claves de cifrado. Unha vez alí imos a Ficheiro> Novo> Clave PGP.

O sistema pediranos que ingresemos o noso nome, enderezo de correo electrónico e un comentario. Este último é opcional, mentres que os dous primeiros son obrigatorios. O enderezo de correo electrónico escollido debería ser válido, xa que se usará para asinar o identificador de usuario. Se este enderezo se modifica de algunha maneira, a sinatura non corresponderá. As claves xeraranse a partir destes datos.

Na sección Opcións avanzadas clave, pode seleccionar un tipo de cifrado diferente. O recomendado é "DSA Elgamal 768 bits", pero recoméndolle que o cambie por "DSA Elgamal 2048 bits" xa que se considera suficientemente seguro e flexible. A data de caducidade é a data na que a clave xa non é útil para cifrar nin asinar operacións. 6 meses é un tempo razoable para iso. Terá que cambiar a data de caducidade ou xerar unha nova clave ou subclave despois de transcorrido este período de tempo.

O último paso é introducir un contrasinal. Teña en conta a diferenza entre os termos anglosaxóns da palabra "contrasinal": o termo "contrasinal»Indica un« contrasinal », mentres que o termo«frase de contrasinal»Indica un«frase de camiño". Polo tanto, este contrasinal debe estar formado por máis dunha palabra. Para que un contrasinal sexa efectivo (seguro), debes:

ser longo;
combinar maiúsculas, minúsculas e números;
conteñen caracteres especiais (non alfanuméricos);
ser difícil de adiviñar. Polo tanto, agás nomes, datas significativas, números de teléfono, números de documentos, ...

En xeral, para crear un contrasinal forte aconséllase inserir maiúsculas con minusCulas, números, outros caracteres non alfanuméricos, etc.. Ao elixir palabras e frases debemos evitar esas palabras demasiado evidentes ou datas significativas e nunca empregar citas de libros ou frases famosas. Dito isto, debemos asegurarnos de que o contrasinal que escollemos é o suficientemente difícil como para que non poida ser roto por un "ataque de forza bruta", nin sequera por un "ataque ao dicionario", pero o suficientemente fácil como para que o recordemos. Se esquecemos un contrasinal, a nosa clave sería completamente inútil e os criptogramas con el cifrados, indescifrables. Ante esta posibilidade, recoméndase crear sempre certificados de revogación xunto coas claves.

Unha vez introducidos todos os datos requiridos, comeza o proceso de xeración de claves, que leva un tempo considerable dependendo do tamaño das teclas e da velocidade do seu ordenador. Durante este proceso o programa recolle datos aleatorios que empregará para xerar as claves. Unha vez rematado, Seahorse pechará.

Servidores de chave pública

Publicar as miñas claves públicas
Os servidores de claves públicas úsanse para distribuír con precisión claves públicas. Deste xeito, é moi sinxelo buscar alguén (por nome ou correo electrónico) na base de datos e atopar as súas claves públicas para enviarlles mensaxes cifradas (que só el / ela pode descifrar).

Para "cargar" as claves públicas nestes servidores, só tes que abrir Seahorse, seleccionar a túa clave e ir a Remoto> Sincronizar e publicar claves. Aparecerá unha alerta que nos avisa de que isto provocará a publicación das claves públicas seleccionadas.

Obtén as claves públicas dos meus amigos

Abre Seahorse e vai ao menú Remoto> Buscar teclas remotas. Introduce o nome ou o correo electrónico da persoa que buscas. A continuación, selecciona a tecla correspondente. Cando remates verás que a nova clave se engadiu á pestana "Outras claves".

(De) Cifrado de ficheiros e cartafoles

Unha vez xerado o par de claves, o cifrado e descifrado de ficheiros é bastante sinxelo. Só tes que seleccionar un ficheiro, facer clic co botón dereito e seleccionar "Cifrar".

No diálogo que aparece, seleccione a clave que creou anteriormente e faga clic en Aceptar.

Se seleccionou un cartafol para cifrar, preguntaralle se desexa cifrar cada ficheiro dentro do cartafol por separado ou se prefire que se cree un ficheiro ZIP que logo se cifre. A segunda opción é a mellor na maioría dos casos.

Se está cifrando un ficheiro, unha vez completado o cifrado, debería crear un ficheiro do mesmo nome pero coa extensión .pgp. Unha vez rematado o proceso, pode eliminar o ficheiro antigo. Se cifrases un cartafol, deberías atopar dous ficheiros novos: a versión cifrada coa extensión .pgp e un ficheiro .zip coa versión orixinal do cartafol. Tanto o cartafol ZIP como o orixinal pódense eliminar despois do cifrado.

Por motivos de seguridade, as versións non cifradas dos ficheiros deben eliminarse permanentemente, en lugar de envialas á papeleira de reciclaxe. Pero primeiro asegúrese de intentar descifrar o ficheiro cifrado para ver que todo está ben.

Para iso, só tes que facer dobre clic no ficheiro .pgp e introducir o contrasinal cando o solicite. O ficheiro orixinal reaparecerá entón. Se se trata dun cartafol, aparecerá o ficheiro .zip e entón deberá extraer o seu contido.

Descifrando ficheiros no meu outro ordenador

Non se trata dun sistema deseñado para crear ficheiros cifrados portátiles (como TrueCrypt). Para descifrar os teus propios ficheiros noutro ordenador, ten que exportar a súa clave e logo importala no segundo compu. Isto representa un risco para a seguridade. Non obstante, ás veces pode ser necesario realizar esta tarefa (por exemplo, se tes un PC e un portátil e queres ter un só par de claves GPG e non un para cada computador coma se fosen "identidades" diferentes). Entón, aquí tes os pasos a seguir nese caso:

No ordenador onde creou as claves, inicie Seahorse (Aplicacións> Accesorios> Contrasinais e claves de cifrado) e faga clic co botón dereito sobre a súa clave persoal e seleccione "Propiedades".

No cadro de diálogo que aparece, faga clic na pestana "Detalles" e logo no botón "Exportar" xunto a "Exportar clave completa". Garda o ficheiro no teu escritorio. Descubrirá que se creou un novo ficheiro coa extensión .asc. Son as túas claves en texto plano.

Copia o ficheiro .asc nunha memoria USB e de aí ao segundo ordenador. Agora nese computador inicia Seahorse e fai clic no botón "Importar". Desprácese ata onde gardou o ficheiro .asc e faga clic en "Abrir". Isto importará a clave. Pecha Seahorse e fai dobre clic en calquera ficheiro cifrado coa túa clave para descifralo. Pedirache a frase de acceso, así que anótaa. Despois disto, o ficheiro orixinal gardarase no mesmo cartafol onde está o ficheiro .pgp.

Por último, teña en conta que a hora e data dos ordenadores onde crea / importa / exporta as claves deben ser correctas. Por varias razóns técnicas, Seahorse e o comando gpg non poden importar unha chave se a data e hora no PC é inferior á data de creación. Por suposto, isto significa que se a computadora onde creou a clave ten unha data incorrecta, pode darlle bastantes problemas para crear e usar a clave.

cifrar texto

Hai un complemento Gedit para cifrar o texto seleccionado. Para habilitalo, vai a Editar> Preferencias> Complementos. Escollín "Cifrado de texto". Unha vez que o complemento estea activado, habilitaranse as opcións de Editar> Cifrar / Descifrar / Asinar.

GPG e Firefox

Hai un complemento para Firefox (FireGPG) que ofrece unha interface gráfica integrada para aplicar operacións GPG (incluíndo (des) cifrado, sinatura e verificación de sinatura) en calquera texto dunha páxina web.

FireGPG tamén permite traballar con correos web (Gmail, etc.), aínda que no seu momento probei a integración con Gmail estaba "rota". Para ver unha lista completa de correos web cos que funciona FireGPG: http://getfiregpg.org/s/webmails

Descargar FireGPG: http://getfiregpg.org/stable/firegpg.xpi

Acelerando un pouco o proceso de cifrado ...

Para (des) cifrar a información sempre usando a mesma "identidade", recoméndoche que vaia a Sistema> Preferencias> Cifrado e almacéns de claves. Despois accedín á pestana "Cifrado", e onde di "Clave predeterminada" seleccione a clave que sempre empregará para (des) cifrar a información. Se tes curiosidade, recoméndoche que botes unha ollada á pestana "Frase de paso PGP" para axustar ao máximo o teu GPG.

Asina e verifica

Moitas veces, non quere enviar un correo electrónico cifrado, pero si quere que o destinatario estea seguro de que fun eu quen o enviou. Para iso úsanse sinaturas dixitais. Todo o que tes que facer é verificar o correo electrónico mediante GPG e a clave pública do remitente.

Para cifrar un correo electrónico, como vimos, úsase un par de claves. Un deles é secreto e o outro público. No caso da sinatura dixital, Todas as persoas que reciban un correo electrónico asinado por min poderán verificar que o escribín eu e que o correo electrónico non se modificou maliciosamente no camiño, usando a miña clave pública, xa que o asinei coa miña clave privada.

Por esta razón, un dos grandes problemas do cifrado é precisamente que o emisor ten que estar moi seguro de que a clave ou, no caso da sinatura dixital, pertence realmente á persoa que di ser o propietario de a sinatura. Ao final, podo afirmar ser "Monica Lewinsky" e poñer o seu nome na miña sinatura dixital. Para solucionar este problema, existe a sinatura das claves públicas. Entón, cando alguén asina a miña clave pública, está confirmando que esa clave pertence a min. Noutras palabras, aseguran que esta clave é miña. A sinatura mutua de claves forma, segundo Robert De Niro, unha "rede de confianza" ou "rede de confianza". Para máis información sobre o tema recoméndovos que o visitedes http://www.rubin.ch/pgp/weboftrust.

Para asinar unha clave no seu almacén de claves:

1) Seleccione a tecla que desexa asinar nas pestanas Claves de confianza ou Outras claves recollidas,

2) Escolla Iniciar sesión na barra de ferramentas ou Ficheiro> Asinar,

3) Seleccione como comprobou a clave.

4) Indique se a sinatura debe ser local para o seu depósito de chave e se a súa sinatura pode ser revogada,

5) Faga clic en Asinar.

GPG e Thunderbird

Hai un complemento para Thunderbird e Seamonkey chamado Enigmail que permite escribir e recibir mensaxes asinadas e / ou cifradas mediante GPG.

A primeira vez que executa este complemento, aparecerán unha serie de formularios que debe completar. Tamén inclúe guías que explican como usar GPG.

Para máis información sobre GPG recomendo a lectura:

• GNUPG Mini Like: http://www.dewinter.com/gnupg_howto/spanish/index.html
• A axuda que vén en Ubuntu a partir do manual de contrasinais e claves de cifrado. Abre Seahorse> Axuda> Índice.
• http://aplawrence.com/Basics/gpg.html
• http://commons.oreilly.com/wiki/index.php/Ubuntu_Hacks/Security#Encrypt_Your_Email_and_Important_Files
• http://ubuntuforums.org/showthread.php?t=680292