CursosOnlineEnDirecto-Benowu

Criptografía asimétrica el sistema PGP

Sistema PGP

Estos sistemas iniciaron sus andaduras por Internet gracias a Diffie y Hellman (DH), los matemáticos que idearon el sistema de clave pública, pero fue con el algoritmo de Rivest, Shamir y Adleman (RSA) cuando se comenzó a usar de una forma mucho más habitual, pues RSA además de ser un sistema de clave asimétrica, era también un sistema criptográfico de firma digital. Más tarde gracias a la combinación de DH con el Digital Standard Signature (DSS) nació la DH/DSS que combinaba la criptografía de clave asimétrica de DH con el sistema criptográfico de firma de DSS.

Era solamente cuestión de tiempo que estos sistemas se implementaran como algo cotidiano al usuario de Internet, y ahí nació el sistema PGP...

Introducción a la clave asimétrica: sistema PGP/gnuPG

Un criptosistema de clave pública necesita dos claves relacionadas y complementarias. Una de ellas, denominada clave pública, es distribuida libremente y permite encriptar mensajes al destinatario propietario de esa clave. La segunda clave es denominada clave privada y permite desencriptar los mensajes previamente cifrados con la clave pública. Ambas claves son complementarias y serían perfectamente intercambiables. Existe un tercer mecanismo añadido a los dos anteriores, el sistema de firma digital que consiste en una función criptográfica de tipo hash que aplicada un mensaje y encriptada a la clave privada
da lugar a un bloque conocido como firma digital. Pero veamos un poco de historia.

Todo comenzó en 1976, cuando Whitfield Diffie y Martin Hellman [DIH76] desarrollan el algoritmo DH (Diffie-Hellman). Esto supuso el inicio de la criptografía asimétrica. Dos años después, en 1978, Ron Rivest, Adi Shamir y Leonard Adleman [RSA78] idearon el potente algoritmo RSA (Rivest-Shamir-Adleman) en el Massachusetts Institute of Technology (MIT). El algoritmo era tan potente que la NSA (National Security Agency) de los Estados Unidos recomendó que no fuera publicado. Los tres científicos hicieron caso omiso y lo publicaron en la revista Scientific American, en parte por miedo a que esa recomendación pasara a ser una prohibición total. El algoritmo se patenta a nombre de la compañía RSA Data Security Inc., patente sólo válida en Canadá y Estados Unidos. Varios años después Ron Rivest idea el algoritmo de hash MD5 (Message Digest 5) que ya hemos visto.

En 1991 surgen rumores acerca de una posible prohibición de la criptografía en las comunicaciones en EEUU, por lo que el programador Philip Zimmermann idea un sistema criptográfico que auna los siguientes elementos: el mejor algoritmo disponible de clave simétrica, IDEA; el mejor algoritmo de clave asimétrica, RSA, el algoritmo de hash MD5 y un generador de números aleatorios estándar. Ese sistema se llamaba PGP (Pretty Good Privacy) y fue inmediatamente distribuido como freeware, lo que propició que rápidamente se convirtiera en el estándar en Internet en cuanto a encriptación y firma digital, con lo que el gobierno tuvo que dar marcha atrás: era demasiado tarde para detener el avance de PGP.

Como anécdota cabe señalar que en Junio de ese mismo año se distribuyó a través de USENET una copia de PGP que comenzó a ser distribuido y usado fuera de Estados Unidos, con lo cual se incumplía la legislación ITAR del Departamento de Estado acerca de exportación de armas. Y es que en Estados Unidos la criptografía es considerada un arma de igual magnitud que tanques, armas químicas o armamento pesado. Además, RSA Data Security Inc. reclamaba a Zimmermann el copyright del algoritmo RSA usado en PGP.

Se decidió el desarrollo paralelo de dos versiones de PGP, una para Estados Unidos y Canadá donde se usa la biblioteca de funciones RSAREF, y otra para el resto del mundo que distribuye el MIT y que usa la biblioteca MPILIB. Para la solución de la violación de ITAR Zimmermann tuvo que esperar hasta 1996, cuando una escueta carta de dos líneas y un comunicado de prensa cerraron definitivamente el caso sin volver a hacer declaraciones. Ese mismo año fue absuelto de la supuesta violación de patentes de RSA y Zimmermann fundó su propia compañía, Pretty Good Privacy Inc. Al cabo de los años se ha sabido que
PGP salió también de otra forma de Estados Unidos: en forma de 12 tomos de código fuente que fueron reescritos y recompilados en Europa.

Han habido varias inclusiones de nuevos algoritmos, como AES (Advanced Encryption Standard) y DES (Data Encryption Standard) como algoritmos de encriptación simétrica en complemento a IDEA (cuya patente está aún vigente); SHA-1 como algoritmo de hash complementando a MD5 o DH/DSS (Diffie-Hellman/Digital Standard Signature) como algoritmo de encriptación asimétrica junto a RSA. La inclusión de DH/DSS tuvo lugar en la versión 5.0 y sus motivos no eran de seguridad. La patente de RSA no expiró hasta el año 2000 y DH/DSS suponía un algoritmo libre, con lo que se evitaban los continuos pleitos con RSA Data Security Inc. PGP/GPG hoy día es compatible con ambos algoritmos, pues RSA ya es libre, y cada cual puede elegir el tipo de clave que más le guste.

Ha pasado el tiempo y PGP ha avanzado mucho desde las versiones 2.x hasta las 8.x de hoy en día. Aunque PGP tiene una versión comercial con muchas funciones extras, como discos encriptados virtuales, nunca se ha dejado de distribuir una versión freeware del software para todos los usuarios que la deseen.

GnuPG es una implementación libre y de código abierto (GPL) del sistema openPGP (RFC2440), capaz de manejar sus algoritmos (excepto IDEA, que aún es un algoritmo patentado.) y realizar las mismas funciones que PGP. Actualmente ambos se desarrollan paralelamente para varias plataformas.

Hoy en día el uso de PGP/GPG está principalmente orientado a la encriptación y firma de ficheros y correos electrónicos, así como la generación y gestión de claves mediante el sistema k eyring (anillo de claves), que almacena la información correspondiente a todos las claves públicas y privadas. PGP/GPG gestiona las claves mediante ficheros de texto ASCII que contienen la información de clave pública y/o privada y que sirven para el intercambio de las mismas.

Podemos conseguir PGP desde su web internacional (http://www.pgpi.org/) o desde la Americana en caso de residir en Estados Unidos o Canadá (http://www.pgp.com/). Podemos así mismo descargar gnuPG desde su web (http://www.gnupg.org/).

 

Fuente:

Conferencias de Seguridad Informática
Ponente:
Death Master

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Subir

Canal de aprender-libre.com

Reciba todas las publicaciones desde nuestro canal en Telegram

UNIRSE
CERRAR