GNU Privacy Guard

Herramienta de cifrado
(Redirigido desde «GnuPG»)

GNU Privacy Guard (GnuPG o GPG) es una herramienta de cifrado y firmas digitales desarrollado por Werner Koch, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG cumple el estándar RFC 4880 del IETF denominado OpenPGP.[1]

GNU Privacy Guard (GPG)

Página de manual de GPG
Información general
Tipo de programa Pretty Good Privacy
Autor Werner Koch
Desarrollador GNU Project
Lanzamiento inicial 20 de diciembre de 1997
Licencia GNU General Public License
Idiomas plurilingüe
Versiones
Última versión estable 2.4.5 (info) ( 12 de marzo de 2024 (8 meses y 20 días))
Archivos legibles
GNU Privacy Guard public keyring (generic)
Archivos editables
GNU Privacy Guard public keyring (generic)
Enlaces

GnuPG es parte del Proyecto GNU y recibió fondos del Gobierno alemán en 1999.[2]

GPG es estable, calificado como un software para el uso en producción y es comúnmente incluido en los sistemas operativos como FreeBSD, OpenBSD, NetBSD y GNU/Linux.

Aunque básicamente el programa tiene una interfaz textual, actualmente hay varias aplicaciones gráficas que utilizan recursos de GPG. Por ejemplo, ha sido integrado dentro de Kmail y Evolution, también hay un plugin llamado Enigmail que se integra con Firefox y Thunderbird que trabajan en Windows, GNU/Linux y otros sistemas operativos.

GPG también puede ser compilado en otras plataformas como Mac OS X y Windows. En Mac OS X hay portada una aplicación libre llamada MacGPG, que ha sido adaptada para usar el ambiente del usuario y sus definiciones de clases nativas.

Funcionamiento

editar

GPG cifra los mensajes usando pares de claves individuales asimétricas generadas por los usuarios. Las claves públicas pueden ser compartidas con otros usuarios de muchas maneras, un ejemplo de ello es depositándolas en los servidores de claves. Siempre deben ser compartidas cuidadosamente para prevenir falsas identidades por la corrupción de las claves públicas. También es posible añadir una firma digital criptográfica a un mensaje, de esta manera la totalidad del mensaje y el remitente pueden ser verificados en caso de que se desconfíe de una correspondencia en particular.

GnuPG también soporta algoritmos de cifrado simétricos, por ejemplo CASTS.

GPG no usa algoritmos de software que están restringidos por patentes. En su lugar, usa una serie de algoritmos no patentados como ElGamal, CAST5, Triple DES (3DES), AES[3]​ y Blowfish.[4]

GPG es un software de cifrado híbrido que usa una combinación convencional de criptografía de claves simétricas para la rapidez y criptografía de claves públicas para el fácil compartimiento de claves seguras, típicamente usando recipientes de claves públicas para cifrar una clave de sesión que es usada una vez. Este modo de operación es parte del estándar OpenPGP y ha sido parte del PGP desde su primera versión.

Problemas

editar

El estándar OpenPGP especifica varios métodos de mensajes con firmas digitales. Debido a un error al intentar mejorar la eficiencia de uno de los métodos, se introdujo una vulnerabilidad de seguridad (Nguyen 2004)[5]​ que afectó a un único método de mensajes firmado digitalmente utilizado en algunas versiones de GPG (desde la 1.0.2 hasta la 1.2.3, con menos de 1000 claves listadas en los servidores de claves).[6]​ Dicha vulnerabilidad ha sido corregida a partir de la versión 1.2.4 de GPG. El episodio ilustra la dificultad de realizar implementaciones correctas de algoritmos criptográficos, protocolos e incluso criptosistemas.

GPG es un sistema en línea de comandos. Diferentes implementaciones gráficas están disponibles, pero solo algunas tienen implementadas todas sus características (por ejemplo: borrado de ID, usuarios o firmas). Debido a que todas las instrucciones deben ser pasadas a la línea de comandos, rápidamente llegan a dificultar el uso correcto de aspectos no triviales del programa. El trabajo sobre una versión de biblioteca está en progreso.

Véase también

editar

Referencias

editar
  1. «Gnu Privacy Guard». GnuPG.org. Archivado desde el original el 29 de abril de 2015. Consultado el 26 de mayo de 2015. 
  2. «Bundesregierung fördert Open Source» (en alemán). Heise Online. 15 de noviembre de 1999. Archivado desde el original el 12 de octubre de 2013. Consultado el 24 de julio de 2013. 
  3. «[Announce] The maybe final Beta for GnuPG 2.1». Archivado desde el original el 2 de mayo de 2019. Consultado el 28 de marzo de 2019. 
  4. «GnuPG Features». Archivado desde el original el 4 de octubre de 2009. Consultado el 1 de octubre de 2009. 
  5. Nguyen, Phong Q. «Can We Trust Cryptographic Software? Cryptographic Flaws in GNU Privacy Guard v1.2.3.». EUROCRYPT 2004: 555–570. Archivado desde el original el 4 de diciembre de 2017. Consultado el 23 de agosto de 2019. 
  6. Koch, Werner (27 de noviembre de 2003). «GnuPG's ElGamal signing keys compromised». Archivado desde el original el 18 de marzo de 2004. Consultado el 14 de mayo de 2004. 

Enlaces externos

editar