Sinaturas con GPG

GPG é un sistema de cifrado e asinado amplamente empregado no mundo do software libre. Este mini-como trata de explicar, ós máis noveis, as funcións básicas e sacarlle partido rapidamente e de xeito sinxelo.

• Tempo de lectura sen práctica: 5 minutos
• Realización da práctica: 15 minutos

Foi elaborado por Rafa Couto, nun contorno Ubuntu 9.04 e coa axuda de GThumb para as capturas de pantalla. Publicado no enderezo orixinal http://minino.galpon.org/wiki/doku.php?id=sinaturas_con_gpg e distribuible baixo os termos da licenza Creative Commons BY-SA.

O software de partida para seguir estas instrucións é o KGpg, un software para escritorio que ademais de manexar chaves criptográficas GPG, permite cifrar, descifrar, firmar e verificar sinaturas con ficheiros ou con texto a través do porta-papeis.

KGpg precisa de GnuPG que é a ferramenta para a liña de ordes que fai o traballo duro, deixando a KGpg a interface gráfica do usuario.

Para instalar KGpg máis GnuPG nun sistema que empregue paquetes Debian, dende a liña de ordes escriba:

sudo apt-get install gnugp kgpg

Unha vez instalado o Kgpg, pódese executar dende o menú do escritorio. A primeira vez que se executa, aparece o asistente para xerar o teu par de chaves (privada e pública) que serán no futuro as túas chaves da túa identidade no mundo do GPG.

Antes de pasar a xeración das chaves, Kgpg pedirá confirmación para empregar a ferramenta GPG, que neste caso dirémoslle que é o gpg (do que informa que está instalada a versión 1.4.9).

Se é a primeira vez que o usuario executa GnuPG, o contorno KGpg suxerirá crear unha configuración apropiada para o usuario.

Como última pantalla do asistente, KGpg confirma a ferramenta GnuPG e fornece as opcións de xerar o novo par de chaves e de iniciarse cando arranca o escritorio KDE.

Unha vez establecida a configuración inicial de GnuPG e KGpg, o asistente para a xeración de chaves pública e privada solicitará algúns datos. Os obrigatorios son o nome e o enderezo de correo electrónico, ademais do contrasinal para poder empregar a chave privada.

Dependendo da potencia do teu procesador, a xeración do par de chaves tardará algúns segundos ou algún minuto se tes un cascallo adorable, pero finalmente terás o teu par GPG:

No xestor de chaves de KGpg poderás ver o novo par de chaves xerado. Un dos datos do par xerado que máis a ser empregado despois é o identificador (Key ID) do par, que son os últimos 8 ou 16 caracteres hexadecimais da pegada dixital (fingerprint) xerada.

Dende o xestor de chaves de Kgpg, temos acceso as chaves públicas e privadas. Teremos un par completo (chave pública e chave privada) se foi xerada por nós. De feito, só deberíamos ter un par completo para manexar a nosa identidade. Máis adiante quizais teñas necesidade de manexar varias identidades, pero para comezar no mundo GPG só precisas dunha identidade.

O que si é importante, son dúas cousas: que gardes con agarimo a chave privada que só deberías ter ti (así como o contrasinal para utilizala) e que fagas unha copia en lugar seguro (tal vez cifrada cun arquivador e enviada a un correo de webmail poida ser unha solución básica pero cun certo grado de seguridade).

Para facer unha salvagarda da chave privada, pódese acceder ó menú contextual premendo co botón dereito do rato e escollendo a opción Export Secret Key…

Lembre: a chave privada non debe perdela nin tampouco darlla a ninguén, e para poder utilizala debe empregar o contrasinal que lle asignou ó xerala; a chave pública é a que vai a enviar ós seus confidentes e pode publicala en calquera sitio, incluso en Internet (seguinte punto).