Xifrat amb GnuPG per a Windows

1. Què és GPG?
2. Instal·lar GnuPG
3. Xifratge Simètric
4. Xifratge Asimètric
5. Creació d’un parell de claus
6. Xifrar i signar missatge com a text
7. Xifrar i signar arxiu
8. signar Missatge i arxiu en clar
9. signar arxiu
10. Servidors de claus
11. Certificat de revocació / a >
12. xifrem les nostres dades
13. Referències

Acotació: utilitzar GnuPG al Windows és una excel·lent forma de començar a comunicar-se amb altres ia donar suport informació de manera segura. No obstant això, Windows no és suficient; hem de considerar migrar a sistemes operatius lliures (com GNU / Linux) per poder tenir més seguretat de la nostra informació i la dels nostres amics i companys.

Què és GPG?

GPG -o GNU Privacy Guard- és un programa, pertanyent a el projecte GNU, que permet usar xifrat i signatures digitals a l’implementar l’estàndard OpenPG, la versió lliure de PGP. L’important, més enllà de la semblança dels noms, és que GPG, el programa que farem servir per xifrar, és programari lliure, el que garanteix la transparència del que diu fer, sense perjudicar els interessos de l’usuari. El programa permet utilitzar dos tipus de xifrat, simètric i asimètric, la descripció i usos les trobem aquí.

Instal·lar GPG

Per instal·lar GnuPG, hem d’anar a el lloc https://gnupg.org i dirigir-nos a la secció descàrregues o Download.

Un cop allà, vam buscar l’opció Gpg4win i la seleccionem. Després s’habilitarà l’opció de descàrrega i la pressionem.

Si podem donar a el projecte, vam seleccionar la suma; si no, seleccionem “0” per permetre la descàrrega.

Un cop descarregat l’arxiu, fem doble clic, autoritzem la seva instal·lació i començarà el procés. Després, pressionem següent.

Seleccionem els programes específics, com ho mostra la imatge i després pressionem següent fins que aparegui l’opció d’instal·lar. Havent fet això, ja tindrem instal·lat GnuPG al nostre ordinador i podrem començar a utilitzar criptografia en els nostres arxius i correus.

Xifratge Simètric

La interfície gràfica o el programa amb el que utilitzarem GnuPG es diu Kleopatra, el qual podem buscar a l’escriptori oa l’inici de Windows.

Ci frando un text

Un cop obert el programa, veurem les opcions que ofereix. Si el que busquem és xifrar un missatge o text, hem de seleccionar l’opció “Bloc de notes”, marcada a la imatge.

En aquesta opció, apareix una pestanya anomenada Bloc de notes, que és on podem escriure o copiar el text que necessitem xifrar.

Una vegada que el nostre text estigui llest per xifrar , hem de seleccionar la segona pestanya, anomenada “Destinataris”, on només hem de deixar marcada l’opció “Encripta amb contrasenya”, com es mostra a la imatge. Això li indicarà a el programa que el xifrat que farem és de tipus simètric, és a dir, que només s’utilitzarà contrasenya.

Podem tornar a la pestanya Bloc de notes i, aquesta vegada, seleccionar l’opció “Xifrar Bloc de notes”, el que activarà el xifrat i sol·licitarà la contrasenya -que, per seguretat, ha de ser de 20 caràcters mínim-. Una vegada introduïda la contrasenya, el text original o “en clar” serà reemplaçat pel text xifrat, com s’observa en la imatge. Aquest nou text pot ser guardat en un qualsevol arxiu de text per poder ser guardat o transportat. Fins i tot, el text xifrat podria ser vist per qualsevol, però el seu contingut ocult només podrà desxifrar per a qui posseeixi la contrasenya.

El procés de desxifrat és similar, ja sigui per aquest text o un altre. L’única diferència és que hem de enganxar el text ja xifrat en el Bloc de notes i, en comptes de pressionar xifrar, hem de triar l’opció de a la banda, “Desxifrar”.Amb això el programa analitzarà el missatge i sol·licitarà la contrasenya, després de la qual cosa es revelarà el contingut ocult.

Xifratge un arxiu

També és possible usar xifrat simètric amb arxius -de text, imatges, etc.-, per la qual cosa podem seleccionar un fitxer a l’escriptori, en el cas de l’exemple és una imatge.

Quan sapiguem quin arxiu xifrar, hem de pressionar amb el botó dret de el ratolí o ratolí sobre la arxiu i seleccionar “Més opcions de GpgEX” i després “Xifrar”

Posteriorment apareixerà l’opció per seleccionar destinatari, on triarem únicament “Xifrar amb contrasenya”. Després, una vegada que pressionem “Xifrar”, es sol·licitarà una clau de xifrat.

Quan es realitzi el xifrat, veurem al costat de l’arxiu original un de nou amb l’extensió .gpg -si és tenim activada l’opció per veure les extensions-. Aquest és el nostre arxiu xifrat que podem guardar i que només serà accessible amb la contrasenya.

en el cas que necessitem desxifrar un arxiu que tenim guardat o que rebem, el procés és similar, excepte pel fet que en aquesta ocasió les opcions són “Més opcions de GpgEX “i” Desxifrar “.

Canviar algoritme de xifrat

per defecte, per al xifrat simètric, GnuPG usa el algoritme AES (Advanced Encryption Standard), estandarditzat en l’any 2001, el qual s’utilitza en la majoria dels governs, agències de seguretat i entitats bancàries per emmagatzemar la informació sensible. No obstant això, en aquest cas utilitza una longitud de clau de 128 bits, longitud que pot estendre fins a 256 per a una major seguretat. Fins al moment, no ha estat possible trencar el xifrat de l’algoritme AES de 256 bits en condicions habituals.

Per fer aquesta modificació amb certesa, és preferible obrir una finestra de l’ explorador d’arxius i posar a la barra de navegació %APPDATA%\gnupg i després obrir com bloc de notes l’arxiu gpg.conf

Un cop obert el document de text, hem d’assegurar, a el menys, que en la línia que comença amb personal-cipher-preferences, la sèrie d’algoritmes que el segueix comenci amb AES256, com mostra la imatge. Si l’arxiu no existeix, podem crear-lo sense problemes. Un cop guardada aquesta modificació, tot el xifrat simètric que es realitzi d’utilitzar l’algoritme AES256

Nota: Aquest procediment és tot el que es necessita per realitzar el xifrat simètric en Windows. Ja podem començar a guardar missatges o arxius, en el nostre sistema o en una memòria USB per protegir la nostra informació evitant que sigui llegibles per algú més, ja que només podran accedir els que coneguin la contrasenya. Cal recordar utilitzar sempre una contrasenya forta, de al menys 20 caràcters que combinin minúscules, majúscules, números i signes.

Xifratge Asimètric

Creació d’un parell de claus

Per utilitzar el xifrat asimètric o de claus, en primer lloc cal crear un parell de claus, una que hem de lliurar als nostres contactes perquè puguin enviar-nos informació xifrada -Clau pública- i una altra que hem de guardar en secret que serveix per desxifrar els missatges que ens envien.
per això, una vegada que ens trobem a la finestra principal de Kleopatra, seleccionem “Nou parell de claus “.

Nota: si ja tenim claus pròpies, cal buscar l’opció de generar nou parell de claus, claus o certificats, que són els noms emprats per referir-se a les claus segons la traducció de la nostra versió de GPG.

Amb això, s’iniciarà el procés per a la creació del nostre parell de claus. El primer que es consultarà és el nom de la nostra identitat i l’adreça de correu associada. Cal indicar al menys una d’aquestes dues identificacions, ja sigui nom, correu o tots dos.

Recordem que l’ús que li vulguem donar a aquesta clau determinarà si fem servir el nom real o pseudònim, així com si volem indicar un correu electrònic o no.Recordem que l’ús que li vulguem donar a aquesta clau determinarà si fem servir el nom real o un pseudònim, així com si volem indicar un correu electrònic o no. La informació d’identificació que col·loquem a la clau serà d’accés obert per a qualsevol persona a qui entreguem la nostra clau pública. Per això, hem de considerar aquesta informació com una carta de presentació. Nosaltres vam decidir el nivell d’anonimat i la informació que volem lliurar. De totes maneres, podem crear tants parell de claus com a necessitats tinguem, per la qual cosa podem anar provant què identitats de xifrat ens acomoden més.

Quan tinguem aquesta informació seleccionada, podem dirigir-nos a l’opció “Configuració avançada”.

en configuracions avançades hem d’assegurar que l’algoritme RSA -utilitzat per al xifrat de claus- estigui marcat en les dues opcions, a més d’indicar que la mida de la clau sigui de 4096 bits (el més gran possible) en ambdós casos, com ho mostra l’exemple. Es tracta d’una doble elecció perquè, en rigor, la clau privada està composta per una clau general per signar i una altra sub clau per a xifrar. en aquest moment d’aprenentatge de GPG, la diferència no és rellevant encara.

També és possible triar la data d’expiració, que és la data en quan la nostra clau deixarà de tenir validesa. Si bé és possible treure l’opció de data d’expiració, és preferible mantenir-la perquè una clau caduqui sola en el cas de no tornar a usar-la o no poder revocar per manca d’accés. Per això, és preferible pensar que de tant en tant hem de renovar les nostres claus amb unes noves o, si ho considerem pertinent, estendre el termini de caducitat, la qual cosa sempre és possible. Per defecte, el termini per a la seva expiració és de 2 anys, la qual cosa és un temps raonable.

Després d’acceptar aquesta configuració i posteriorment pressionar a “Crea”, se sol·licitarà la contrasenya que permetrà l’ús de la clau. Recordem que és preferible utilitzar una contrasenya de 20 caràcters mínim , amb números, signes, minúscules i majúscules. el procés demorarà mentre el programa busca dades aleatòries per generar la informació de les claus de la manera més atzarosa possible. En aquest moment, com més ocupem el computador, més ràpid es crearan les claus. a Finalment, ha d’aparèixer el missatge de la creació reeixida de les claus.

Ara podem veure, a la finestra central de el programa, la nostra clau de xifrat i la seva informació detallada si pressionem amb el botó dret sobre ella i el egimos “Detalls”.

la sèrie de 40 caràcters hexadecimals que apareix en la descripció de “Petjada Digital” és la identitat més específica de la nostra clau. Per poder corroborar als nostres contactes que la nostra clau de xifrat efectivament és la que fan servir, han de corroborar que correspon a aquesta identitat. Hi ha una versió abreujada amb els últims 16 caràcters anomenada “ID”, que també sol utilitzar-se, però sempre és preferible confiar principalment en l’empremta digital o fingerprint.

Exportar clau pública

per poder usar xifrat de claus per a comunicar-nos amb una altra persona o per intercanviar arxius de manera segura, primer hem intercanviar claus públiques. per fer-ho, primer hem d’exportar la nostra pròpia clau, per la qual cosa hem de triar l’opció “Exportar” sobre la informació de la nostra clau. Posteriorment, cal seleccionar el nom que tindrà l’arxiu que exportem i la seva ubicació abans d’acceptar.

L’arxiu generat, amb extensió .asc, és la nostra clau pública i si l’obrim amb un bloc de notes, podrem veure el seu contingut. Aquesta clau, ja sigui com a arxiu o com a text, podem compartir-la públicament o, si ho preferim, només amb els que volem que ens contactin. Podem fer-ho lliurant directament l’arxiu, enviant-lo per correu o publicant-la en un servidor de claus -que veurem més endavant-. Idealment, qui rebi aquesta clau, ha de conèixer de la nostra part l’empremta digital que ens identifica, per poder tenir certesa que efectivament correspon a nosaltres. Per fer efectiu el seu ús, el nostre destinatari ha d’importar la clau en el sistema, de la mateixa manera que ho hem de fer nosaltres amb les claus públiques que rebem.

Exportar Clau Privada

Sempre és pertinent guardar una còpia de la nostra clau privada per poder seguir utilitzant-la en cas que no puguem tornar a accedir al nostre ordinador. En aquest cas, l’opció que s’ha de triar és “Exportar claus secretes”. Se’ns sol·licitarà confirmar aquesta acció i també la nostra contrasenya per autoritzar-ho. Cal destacar que si una altra persona aconsegueix tenir accés a la nostra clau privada, és preferible assumir que la seva ús ja no és segur i cal revocar-la, el que es veurà més endavant. Aquest suport de la nostra clau privada és recomanable protegir-lo amb xifrat simètric per evitar que pugui ser accessible a qualsevol, i, si és possible, emmagatzemar-lo en una partició o dispositiu extern degudament xifrat. Podem utilitzar després un programa d’esborrat segur per eliminar l’arxiu original creat, eliminant el rastre de la clau privada.

Per tornar a usar-la en un altre ordinador o al mateix després d’un formateig, simplement cal importar la clau de la mateixa manera que es fa amb les claus públiques, com es veurà a amb continuació.

Importa Clau Pública

Quan vam rebre una clau, ja sigui com a text o com a arxiu, simplement cal prémer amb el botó dret sobre l’arxiu i triar l’opció “Més opcions de GpgEx” i després “Importa claus”.

Això afegirà la clau pública que rebem del nostre contacte. Posteriorment ens demanarà verificar aquesta clau, és a dir, indicar-li a el programa que aquesta clau té amb la nostra confiança per a ser usada.

per això, se’ns demanarà triar una de les nostres claus pròpies per “signar” la clau que està sent importada, vam seleccionar la clau que amb la qual volem certificar -la nostra- i després la clau del nostre contacte que estem afegint. En el procés es demanarà la nostra contrasenya per a aquesta “signatura”. Hem de verificar que la Petjada digital que apareix correspon a la que ens ha informat el nostre contacte. Si és la correcta, acceptem la clau i seguim amb el procés

Finalment, se’ns preguntarà si volem que aquesta verificació sigui només per a nosaltres o que sigui pública, com pujar-la a un servidor de claus. En aquesta ocasió, és preferible que sigui només per a nosaltres.

amb això, ja comptem amb una clau pública amb la qual xifrar missatges al nostre contacte, el qual ha de tenir també la nostra clau pública per poder mantenir la correspondència.

xifrar i signar missatge com a text

Per enviar un text amb xifrat asimètric, usant les claus que tenim, hem de dirigir a l’opció “Bloc de notes”.

Escrivim el missatge que volem enviar al nostre contacte i després pressionem a “Destinataris” per especificar a qui volem xifrar el nostre text.

A l’hora de triar el destinatari, també podem triar si signar el missatge. Això permet al nostre destinatari verificar que som nosaltres qui envia el missatge. Si la persona amb la qual ens vam contactar posseeix la nostra clau pública, es pot verificar que el missatge és nostre. És clar que signar un missatge xifrat és opcional i depèn de el nivell d’anonimat que vulguem. No obstant això, si es tracta de mantenir una comunicació segura i fiable amb algú que coneixem, sempre és preferible xifrar el missatge per evitar que algú més intenti fer-se passar per nosaltres.

Després, en les opcions de Xifrar, escollim les claus públiques de les persones a les quals enviarem el missatge, en aquest cas es tracta només de Bob, però podrien ser més persones en cas de tenir les seves respectives claus públiques. En aquest exemple, a més, és possible triar l’opció “xifrar per a mi”, el que xifrarà el missatge també per a nosaltres, que en aquest cas és Alícia. La idea d’això és que, en cas de ser necessari, puguem tornar a desxifrar el missatge una vegada que ho enviem, si és que no guardem una còpia de l’original.

Quan haguem triat els destinataris i la nostra signatura, seleccionem l’opció “signa / xifrar Bloc de notes” i veurem a la pestanya “Bloc de notes” que el text original, o en clar, es troba ara xifrat. Aquest nou text xifrat podem copiar-lo en un arxiu de text o cos de correu i enviar-lo a nostre contacte perquè només ell pugui desxifrar-lo.

Desxifrar missatge de text i verificar signatura

Si som nosaltres els que vam rebre un text xifrat, per correu o un altre mitjà , hem de realitzar un procés similar. Copia el text xifrat en el “Bloc de notes” i després pressionar “Desxifrar”. Si el missatge va ser xifrat correctament amb la nostra clau, en aquest cas Alícia, se’ns demanarà la nostra contrasenya, revelant el missatge original i la signatura de qui l’envia, que en l’exemple es tracta de la clau de Bob.

xifrar i signar arxiu

Si el que busquem xifrar no és un text, sinó un arxiu, de l’tipus que sigui, el que hem de fer és buscar-lo en la ubicació en què es troba i pressionar amb el botó dret sobre ell i triar “Més opcions de GpgEx” i després “Signar i xifrar”.

Triem les claus amb les quals es xifraran, que també pot incloure la nostra, en aquest cas Alícia, i també hem de marcar “Signar com” si busquem que el nostre destinatari sàpiga qui li envia l’arxiu. com es va assenyalar anteriorment, depen de de el grau d’anonimat o confidencialitat que es vol tenir.

Després d’acceptar, es generarà un arxiu xifrat en la mateixa ubicació de l’arxiu original. Aquest nou arxiu podem enviar-lo a nostre contacte perquè només pugui ser desxifrat per ell. És recomanable comprimir prèviament els arxius a enviar abans de xifrar, per protegir el millor possible el nom dels originals i la seva extensió.

Desxifrar i verificar signar de arxiu

En el cas que rebem un arxiu, li procediment és similar. S’ha de pressionar el botó dret sobre l’arxiu i arribar fins a l’opció de “Desxifrar i verificar”. Si l’arxiu va ser xifrat amb la nostra clau, en el cas del nostre exemple és Alícia, se’ns demanarà la contrasenya i es podrà verificar, de manera similar a com es va fer quan es va desxifrar un text. l’única diferència és que en aquest cas ha de triar l’arxiu.

Signar Missatge i arxiu en clar

Com hem vist, el xifrat de missatges i arxius permet la seguretat i confidencialitat de la informació que compartim amb els nostres contactes. de la mateixa manera, les firmes digitals permeten corroborar que les persones que s’estan comunicant verifiquin l’autoria o origen dels missatges xifrats intercanviats. amb GPG, és possible fins i tot fer servir la signatura de missatges sense xifrat, és a dir , poder comunicar o publicar algun text o arxiu que vulguem que sigui públicament reconegut com d i la nostra autoria. Això és útil quan es fa un comunicat i no es vol deixar espai a dubtes que som nosaltres els que ho vam publicar. En aquest mateix sentit, podem signar un arxiu o document que vulguem compartir ia més indicar que l’autoria és nostra. Aquesta pràctica és habitual i molt útil quan es descarrega un programari i es necessita verificar que el programa correspon a què diu ser, evitant instal·lar algun programa maliciós.

Signar Text

Per signar un missatge, només cal anar a el Bloc de Notes en GPG i escriure el text que vulguem publicar o compartir. Un cop acabat el text, hem de dirigir-nos a la pestanya Destinataris.

en aquesta ocasió, en comptes de triar una opció de xifrat, només hem de deixar marcada l’opció “Signar com” i seleccionar la clau que volem utilitzar. Després, cal tornar a “Bloc de notes” i posteriorment pressionar “Signar Bloc de notes”.

Una vegada que ens demani la contrasenya i acceptem usar la nostra clau, en el Bloc de notes apareixerà el text que havíem escrit, però ara al costat d’un text xifrat que correspon a la nostra signatura. s’ha de copiar tot el text que apareix aquí i compartir-ho o publicar-ho.Així, qualsevol que tingui la nostra porta pública podrà verificar que el missatge de el text porta la nostra signatura digital.

signar arxiu

Per signar un arxiu, és més senzill encara. Només n’hi ha prou amb seleccionar amb el botó dret sobre el document que volem signar i escollir les opcions “Més opcions de GpgEx” i després “Signar”.

Quan ens demani seleccionar la clau que farem servir, i deixant marcat només l’opció “Signar com”, apareixerà un nou arxiu en la mateixa ubicació de el document que volem signar. Aquest nou arxiu, que és un arxiu xifrat, és la nostra firma que ha d’acompanyar l’arxiu original per corroborar que l’hem signat nosaltres. Podem signar tot tipus d’arxiu, documents, etcètera.

Servidors de claus

Un servidor de claus és un servei que permet guardar claus públiques perquè qualsevol que accedeixi a ell trobi la clau que cerca. Si volem tenir una clau amb accés públic, és bona idea pujar-la a un servidor de claus. Si, per contra, preferim fer un ús discret de les nostres claus, és recomanable només compartir-directament amb els nostres contactes.

Primer és pertinent verificar quin servidor és el que es troba configurat en la nostra versió de GPG. Per a això, a la finestra principal de Kleopatra, hem de seleccionar “Preferències” i després escollir “Configura Kleopatra”.

a les opcions que apareixen, hem de triar “Serveis de directori” i revisar què apareix en l’opció servidor de claus OpenPGP. Independentment de quin servidor de claus aparegui indicat, si busquem un servidor descentralitzat que garanteixi la permanència en línia de la nostra clau, és preferible especificar en aquesta opció la piscina de claus hkps://hkps.pool.sks-keyserves.net. Una piscina de claus de xifrat és una xarxa de servidors distribuïts pel món que permeten mantenir sempre en línia les claus que emmagatzemen, ja que al no depenen d’un sol servidor. sempre hi haurà al menys un servidor d’aquesta xarxa disponible per oferir la cerca.

Cerca clau pública

Un cop indicat el servidor que volem fer servir, el qual sempre és possible modificar, ens dirigim a la finestra principal de Kleopatra i seleccionem l’opció “Cerca al servidor”.

Un cop apareguin les noves opcions de cerca, posem l’indicador amb el qual volem buscar alguna clau en particular al servidor registrat en el nostre programa. En aquest cas vam triar buscar pel nom de la clau, però també es pot buscar per l’empremta digital o per la ID. Un cop trobada la clau que busquem, la seleccionem amb el botó dret i triem importar o afegir.

Puja clau pública

Nota: només hem de pujar claus que vulguem tenir amb un accés públic. Això no ha d’aplicar-se necessàriament a les nostres claus si no ho volem.

Per pujar una de les nostres claus públiques a un servidor, hem de seleccionar-la amb el botó dret a la finestra principal de Kleopatra i després triar “Publicar al servidor”. se’ns sol·licitarà confirmar aquesta acció i després tornar acceptar. Recordem que la clau romandrà sempre al servidor, sense poder ser eliminada . En cas que no vulguem que tingui validesa una clau pública, s’ha de revocar i després tornar a pujar la clau pública revocada, el que veurem a continuació.

També és possible buscar i pujar claus directament en els llocs web dels servidors de claus, com hkps-pool .sks-keyservers.net.

Certificat de revocació

Un certifiqueu o de revocació és un arxiu digital que, un cop generat i importat en un sistema, anul·la la validesa del nostre parell de claus. Aquesta funció és important quan volem deixar de fer servir el nostre parell de claus o quan sabem que la nostra contrasenya o clau privada ha estat compromesa. Per generar-hem de seleccionar l’opció “Detalls” de la nostra clau privada.

Després de tot això, a l’mostrar la informació de la nostra clau, seleccionem l’opció “Generar certificat de revocació”.

Després de sol·licitar-nos confirmar aquesta acció, es generarà el certificat que hem de guardar on estimem pertinent. cal destacar que qualsevol que tingui aquest certificat pot revocar les nostres claus, pel que hem de mantenir-lo ocult -cifrado- i en secret fins que no ho vulguem utilitzar.

Si obrim l’arxiu en un bloc de notes, veurem una breu descripció del seu funcionament i que es troba “modificat” l’inici de el text de l’certificat. Per això, per poder usar-ho, hem d’esborrar els dos punts (:) que es troben a l’inici de la línia que diu “Begin PGP Public”.

Un cop eliminat els dos punts, i si és el cas que vulguem fer servir aquest certificat, hem d’importar la revocació de l’ mateixa manera en com es fa amb una clau pública, com descrivim anteriorment. en aquest punt, podrem verificar que la nostra clau va ser revocada en el nostre sistema.

Si volem revocar la nostra clau publicada en un servidor de claus, ara podem pujar la nostra clau pública revocada. a més, podem compartir públicament el nostre certificat de revocació amb els nostres contactes perquè puguin revocar la nostra clau dels seus sistemes, si és que no ho actualitzen des dels servidors.

xifrem les nostres dades

La criptografia pràctica, com la que permet GnuPG, lliurament a les persones la capacitat d’establir mitjans de comunicació segurs independentment del tan insegur és el canal utilitzat, defensant-nos de la vigilància massiva. De la mateixa manera, permet crear una comunicació plenament autònoma dins d’un canal ja existent i pertanyent a un tercer. Amb el xifrat podem contribuir a fer efectiva la llibertat de les nostres comunicacions i l’organització segura de les nostres comunitats.