Criptografía asimétrica el sistema PGP

Estos sistemas iniciaron sus andaduras por Internet gracias a Diffie y Hellman (DH), los matemáticos que idearon el sistema de clave pública, pero fue con el algoritmo de Rivest, Shamir y Adleman (RSA) cuando se comenzó a usar de una forma mucho más habitual, pues RSA además de ser un sistema de clave asimétrica, era también un sistema criptográfico de firma digital. Más tarde, gracias a la combinación de DH con el Digital Standard Signature (DSS) nació la DH/DSS que combinaba la criptografía de clave asimétrica de DH con el sistema criptográfico de firma de DSS.

Era solamente cuestión de tiempo que estos sistemas se implementaran como algo cotidiano al usuario de Internet, y ahí nació el sistema PGP...

Criptografía PGP y sus Algoritmos

Introducción a la clave asimétrica: sistema PGP/gnuPG

Un criptosistema de clave pública necesita dos claves relacionadas y complementarias. Una de ellas, denominada clave pública, es distribuida libremente y permite encriptar mensajes al destinatario propietario de esa clave. La segunda clave es denominada clave privada y permite desencriptar los mensajes previamente cifrados con la clave pública. Ambas claves son complementarias y serían perfectamente intercambiables. Existe un tercer mecanismo añadido a los dos anteriores, el sistema de firma digital que consiste en una función criptográfica de tipo hash que aplicada a un mensaje y encriptada con la clave privada da lugar a un bloque conocido como firma digital. Pero veamos un poco de historia.

Todo comenzó en 1976, cuando Whitfield Diffie y Martin Hellman [DIH76] desarrollan el algoritmo DH (Diffie-Hellman). Esto supuso el inicio de la criptografía asimétrica. Dos años después, en 1978, Ron Rivest, Adi Shamir y Leonard Adleman [RSA78] idearon el potente algoritmo RSA (Rivest-Shamir-Adleman) en el Massachusetts Institute of Technology (MIT). El algoritmo era tan potente que la NSA (National Security Agency) de los Estados Unidos recomendó que no fuera publicado. Los tres científicos hicieron caso omiso y lo publicaron en la revista Scientific American, en parte por miedo a que esa recomendación pasara a ser una prohibición total. El algoritmo se patenta a nombre de la compañía RSA Data Security Inc., patente solo válida en Canadá y Estados Unidos. Varios años después, Ron Rivest ideó el algoritmo de hash MD5 (Message Digest 5) que ya hemos visto.

En 1991 surgieron rumores acerca de una posible prohibición de la criptografía en las comunicaciones en EEUU, por lo que el programador Philip Zimmermann ideó un sistema criptográfico que aúna los siguientes elementos: el mejor algoritmo disponible de clave simétrica, IDEA; el mejor algoritmo de clave asimétrica, RSA, el algoritmo de hash MD5 y un generador de números aleatorios estándar. Ese sistema se llamaba PGP (Pretty Good Privacy) y fue inmediatamente distribuido como freeware, lo que propició que rápidamente se convirtiera en el estándar en Internet en cuanto a encriptación y firma digital, con lo que el gobierno tuvo que dar marcha atrás: era demasiado tarde para detener el avance de PGP.

Como anécdota cabe señalar que en junio de ese mismo año se distribuyó a través de USENET una copia de PGP que comenzó a ser distribuida y usada fuera de Estados Unidos, con lo cual se incumplía la legislación ITAR del Departamento de Estado acerca de exportación de armas. Y es que en Estados Unidos la criptografía es considerada un arma de igual magnitud que tanques, armas químicas o armamento pesado. Además, RSA Data Security Inc. reclamaba a Zimmermann el copyright del algoritmo RSA usado en PGP.

Se decidió el desarrollo paralelo de dos versiones de PGP, una para Estados Unidos y Canadá donde se usa la biblioteca de funciones RSAREF, y otra para el resto del mundo que distribuye el MIT y que usa la biblioteca MPILIB. Para la solución de la violación de ITAR Zimmermann tuvo que esperar hasta 1996, cuando una escueta carta de dos líneas y un comunicado de prensa cerraron definitivamente el caso sin volver a hacer declaraciones. Ese mismo año fue absuelto de la supuesta violación de patentes de RSA y Zimmermann fundó su propia compañía, Pretty Good Privacy Inc. Al cabo de los años se ha sabido que PGP salió también de otra forma de Estados Unidos: en forma de 12 tomos de código fuente que fueron reescritos y recompilados en Europa.

Han habido varias inclusiones de nuevos algoritmos, como AES (Advanced Encryption Standard) y DES (Data Encryption Standard) como algoritmos de encriptación simétrica en complemento a IDEA (cuya patente está aún vigente); SHA-1 como algoritmo de hash complementando a MD5 o DH/DSS (Diffie-Hellman/Digital Standard Signature) como algoritmo de encriptación asimétrica junto a RSA. La inclusión de DH/DSS tuvo lugar en la versión 5.0 y sus motivos no eran de seguridad. La patente de RSA no expiró hasta el año 2000 y DH/DSS suponía un algoritmo libre, con lo que se evitaban los continuos pleitos con RSA Data Security Inc. PGP/GPG hoy día es compatible con ambos algoritmos, pues RSA ya es libre, y cada cual puede elegir el tipo de clave que más le guste.

Ha pasado el tiempo y PGP ha avanzado mucho desde las versiones 2.x hasta las 8.x de hoy en día. Aunque PGP tiene una versión comercial con muchas funciones extras, como discos encriptados virtuales, nunca se ha dejado de distribuir una versión freeware del software para todos los usuarios que la deseen.

GnuPG es una implementación libre y de código abierto (GPL) del sistema openPGP (RFC2440), capaz de manejar sus algoritmos (excepto IDEA, que aún es un algoritmo patentado) y realizar las mismas funciones que PGP. Actualmente ambos se desarrollan paralelamente para varias plataformas.

Hoy en día el uso de PGP/GPG está principalmente orientado a la encriptación y firma de ficheros y correos electrónicos, así como la generación y gestión de claves mediante el sistema keyring (anillo de claves), que almacena la información correspondiente a todas las claves públicas y privadas. PGP/GPG gestiona las claves mediante ficheros de texto ASCII que contienen la información de clave pública y/o privada y que sirven para el intercambio de las mismas.

Podemos conseguir PGP desde su web internacional (http://www.pgpi.org/) o desde la Americana en caso de residir en Estados Unidos o Canadá (http://www.pgp.com/). Podemos así mismo descargar GnuPG desde su web (http://www.gnupg.org/).

Fuente:

Conferencias de Seguridad Informática
Ponente:
Death Master

Si quieres conocer otros artículos parecidos a Criptografía asimétrica el sistema PGP puedes visitar la categoría REDES.