CIFRADO CON GPG

Nivel 0: Introducción

Señor Turing, estamos preparados.

- Actualizado: -

*12-08-2025

GPG es algo complejo al principio si no se ha tocado nada similar, por eso este tutorial lo voy a dividir en niveles que irán subiendo en dificultad progresivamente.

No pases de nivel si no entiendes los anteriores.

Lees en muchos sitios "hay que cifrar con gpg", "te envío un correo cifrado con GPG". En algunos programas de mensajería puedes elegir el modo de cifrado y aparece GPG... ¿Qué es eso de GPG?

GPG un fork de PGP (Pretty Good Privacy), un software de cifrado, firma y verificación, y es tan potente que se lleva usando para transacciones comerciales y militares desde que Phil Zimmermann lo desarrollara en 1991.

¿Cómo funciona?

Su robustez radica en el tipo de cifrado "asimétrico", y para ello necesita lo que se denomina "par de claves". Cada persona que quiera cifrar/descifrar va a necesitar DOS claves, una pública para cifrar y otra privada para descifrar, que ahora verás cómo usarlas.

NOTA: GPG también permite cifrado simétrico, es decir, cifrar/descifrar con una contraseña normal y corriente, pero pierde robustez y seguridad al tener que compartir la contraseña para descifrar.

Estas dos claves son hermanas, se reconocen mutuamente como tal, se necesitan la una a la otra para poder trabajar, y lo hacen alrededor de un identificador que las engloba, siendo lo más habitual una dirección de email.

La clave pública es pública, ha de ser conocida por la gente a través de emails, de webs o de servidores de claves que hay para tal fin, pero la clave privada SOLO TU has de tenerla, guardada a buen recaudo.

• ¿Pero si hago pública la clave, cualquiera me podrá leer los mensajes?

No, la clave pública "solo" sirve para cifrar, no para descifrar. Cualquier cosa que se cifra utilizando la clave pública sólo puede ser descifrada con su clave privada hermana.

NOTA: Si te fijas, no estoy hablando de contraseña, si no de clave, ahora entenderás la diferencia.

Símil para entenderlo mejor

Esto del par de claves rompe la rutina a la que estamos acostumbradas de necesitar una contraseña para cifrar/descifrar. Esto es diferente, así que siempre pongo el símil de la Sociedad Estatal de Correos y Telégrafos, Correos de toda la vida:

Me quieres enviar una carta por Correos:

Coges una caja, metes dentro la carta y me la envías. Por el camino, el cartero/a/e de Correos, que es un chafardero, abre la caja, lee la nota y la vuelve a dejar en la caja.

Yo recibo la caja y no me he enterado de que el cartero ha leído el contenido de la nota.

Peeeeero, como soy un desconfiado, no quiero que al señor/a/e de correos le de por leer la carta de la caja, así que le pongo un candado.

Tengo muchos contactos, y es una locura comprar 800 candados y sus respectivas llaves, imagina el lío, así que hago copias del candado para mi llave (si, has leído bien, hago copias del candado), y esas copias se las doy a mis contactos, pero la única llave que abre los candados solo la tengo yo, y a buen recaudo.

Como antes, me quieres enviar una carta, así que la metes en la caja de antes, pero ahora la cierras con el candado que te di, que al igual que tu, lo tienen otras 799 personas, y que haré copias para otras nuevas personas con las que quiera contactar.

Por el camino, el cartero/a/e quiere ver lo que hay en la caja, pero no puede abrirla porque no tiene la llave (y los candados son buenísimos, no se abren de ninguna otra forma). Cuando me llega la caja, solo yo tengo la única llave que lo abre, y puedo estar seguro de que nadie ha leído el contenido de la caja.

Cuanta más gente tenga copias del candado, más gente podrá enviarme cajas cerradas con ellos y más seguras serán nuestras comunicaciones.

Traduciendo

Ahora haz los siguientes cambios:

• Caja: email
• Candado: Clave pública que cifra
• Llave del candado: Clave privada que descifra

Tu me pasas tu clave pública y yo la añado a GPG mediante un sistema similar a un llavero denominado "anillo de claves".

Cuando te quiera enviar un email cifrado, le digo al gestor de correo que quiero cifrarlo y me dará un listado de las claves públicas que tengo (los candados), elijo la tuya, y te lo envío.

Ahora te llega mi email cifrado y para poder abrirlo usarás tu clave privada. Ambos estamos seguros de que nadie por el camino ha leído nuestro email, o ha hecho copia para intentar descifrarlo: no podrá.

• Vale, muy bien Moribundo, pero entonces, si alguien se hace con mi clave privada, podrá descifrar todo lo que te llegue.

La clave privada va protegida con, ahora sí, contraseña. Siempre que descifres, tu clave PRIVADA va a requerir seguridad, pidiendote la contraseña, que por supuesto, ha de ser una contraseña fuerte, no vayas a poner 1234.

Así pues, cifrar es fácil, no requiere nada más que tener el candado, ponerlo y cerrarlo, pero para poder abrirlo necesitas la llave única y su contraseña.

Además, existe un plus de seguridad pudiendo hacer que las claves caduquen cuando tu quieras y tener que cambiarlas (repartiendo de nuevo los candados a tus contactos).

NOTA: Cuidado, porque el "Asunto" de un emal no se cifra. Si no quieres que el cartero/a/e sepa de qué va el mensaje, no pongas nada comprometedor ahí. Equivale en el ejemplo de Correos a poner una etiqueta fuera de la caja con información que el cartero/a/e sí puede leer.

A estas alturas ya te debe haber explotado la cabeza, pero no te preocupes porque eso es solo porque estás acostumbrado/a/e al binomio cifrado=contraseña. Cuando cambies de chip con este tema, verás que es muy fácil y muy lógico.

Si ya has entendido el funcionamiento, puedes pasar al siguiente nivel:

• GPG Nivel 1: Crear claves

Web GPG

Tags: #gpg #gnupg

◄ Listado del tutorial

◄◄ Inicio