Bastante buena privacidad

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar
Programa informático para cifrado de datos, principalmente en correo electrónico (PGP)

Pretty Good Privacy (PGP) es un programa de cifrado que proporciona privacidad criptográfica y autenticación para la comunicación de datos. PGP se utiliza para firmar, cifrar y descifrar textos, correos electrónicos, archivos, directorios y particiones de discos completos y para aumentar la seguridad de las comunicaciones por correo electrónico. Phil Zimmermann desarrolló PGP en 1991.

PGP y software similar siguen OpenPGP, un estándar abierto de software de cifrado PGP, estándar (RFC 4880) para cifrar y descifrar datos.

Diseño

Cómo funciona la encriptación PGP visualmente

El cifrado PGP utiliza una combinación en serie de hash, compresión de datos, criptografía de clave simétrica y, finalmente, criptografía de clave pública; cada paso utiliza uno de varios algoritmos admitidos. Cada clave pública está vinculada a un nombre de usuario o una dirección de correo electrónico. La primera versión de este sistema se conocía generalmente como una web de confianza en contraste con el sistema X.509, que utiliza un enfoque jerárquico basado en la autoridad de certificación y que se agregó a las implementaciones de PGP más tarde. Las versiones actuales del cifrado PGP incluyen opciones a través de un servidor de administración de claves automatizado.

Huella digital PGP

Una huella digital de clave pública es una versión más corta de una clave pública. A partir de una huella digital, alguien puede validar la clave pública correspondiente correcta. Una huella digital como C3A6 5E46 7B54 77DF 3C4C 9790 4D22 B3CA 5B32 FF66 se puede imprimir en una tarjeta de presentación.

Compatibilidad

A medida que PGP evoluciona, las versiones que admiten funciones y algoritmos más nuevos pueden crear mensajes cifrados que los sistemas PGP más antiguos no pueden descifrar, incluso con una clave privada válida. Por lo tanto, es esencial que los socios en la comunicación de PGP entiendan las capacidades de cada uno o al menos estén de acuerdo con la configuración de PGP.

Confidencialidad

PGP se puede utilizar para enviar mensajes de forma confidencial. Para ello, PGP utiliza un criptosistema híbrido al combinar el cifrado de clave simétrica y el cifrado de clave pública. El mensaje se cifra mediante un algoritmo de cifrado simétrico, que requiere una clave simétrica generada por el remitente. La clave simétrica se usa solo una vez y también se denomina clave de sesión. El mensaje y su clave de sesión se envían al receptor. La clave de sesión debe enviarse al receptor para que sepa cómo descifrar el mensaje, pero para protegerlo durante la transmisión se cifra con la clave pública del receptor. Solo la clave privada que pertenece al receptor puede descifrar la clave de sesión y usarla para descifrar simétricamente el mensaje.

Firmas digitales

PGP admite autenticación de mensajes y verificación de integridad. El segundo se utiliza para detectar si un mensaje ha sido alterado desde que se completó (la propiedad integridad del mensaje) y el primero, para determinar si realmente fue enviado por la persona o entidad que se dice que es el remitente. (una firma digital). Debido a que el contenido está encriptado, cualquier cambio en el mensaje fallará en el descifrado con la clave adecuada. El remitente usa PGP para crear una firma digital para el mensaje con los algoritmos RSA o DSA. Para hacerlo, PGP calcula un hash (también llamado resumen de mensaje) del texto sin formato y luego crea la firma digital a partir de ese hash utilizando la clave privada del remitente.

Red de confianza

Tanto al cifrar mensajes como al verificar firmas, es fundamental que la clave pública utilizada para enviar mensajes a alguien o alguna entidad realmente 'pertenezca' al destinatario previsto. La simple descarga de una clave pública de algún lugar no es una garantía confiable de esa asociación; la suplantación deliberada (o accidental) es posible. Desde su primera versión, PGP siempre ha incluido disposiciones para distribuir las claves públicas de los usuarios en una 'certificación de identidad', que también se construye criptográficamente para que cualquier alteración (o distorsión accidental) sea fácilmente detectable. Sin embargo, la mera elaboración de un certificado que es imposible modificar sin ser detectado es insuficiente; esto puede evitar la corrupción solo después de que se haya creado el certificado, no antes. Los usuarios también deben asegurarse de alguna manera de que la clave pública en un certificado realmente pertenece a la persona o entidad que lo reclama. Una clave pública dada (o más específicamente, la información que vincula un nombre de usuario a una clave) puede ser firmada digitalmente por un usuario externo para atestiguar la asociación entre alguien (en realidad, un nombre de usuario) y la clave. Hay varios niveles de confianza que se pueden incluir en dichas firmas. Aunque muchos programas leen y escriben esta información, pocos (si los hay) incluyen este nivel de certificación al calcular si confiar en una clave.

El protocolo web de confianza fue descrito por primera vez por Phil Zimmermann en 1992, en el manual para PGP versión 2.0:

A medida que siga el tiempo, acumularás claves de otras personas que quizás quieras designar como promotores de confianza. Todos los demás elegirán sus propios presentadores de confianza. Y todos gradualmente se acumularán y distribuirán con su llave una colección de firmas certificadoras de otras personas, con la expectativa de que cualquiera que la reciba confiará al menos una o dos firmas. Esto causará el surgimiento de una red de confianza descentralizada defectuosa de la culpa para todas las claves públicas.

El mecanismo web de confianza tiene ventajas sobre un esquema de infraestructura de clave pública administrada centralmente, como el que usa S/MIME, pero no se ha usado universalmente. Los usuarios deben estar dispuestos a aceptar certificados y verificar su validez manualmente o simplemente aceptarlos. No se ha encontrado una solución satisfactoria para el problema subyacente.

Certificados

En la especificación OpenPGP (más reciente), las firmas de confianza se pueden usar para respaldar la creación de autoridades de certificación. Una firma de confianza indica que la clave pertenece a su propietario reclamado y que el propietario de la clave es digno de confianza para firmar otras claves en un nivel inferior al suyo. Una firma de nivel 0 es comparable a una firma web de confianza ya que solo se certifica la validez de la clave. Una firma de nivel 1 es similar a la confianza que se tiene en una autoridad de certificación porque una clave firmada en el nivel 1 puede emitir un número ilimitado de firmas de nivel 0. Una firma de nivel 2 es muy similar a la suposición de confianza en la que los usuarios deben confiar cada vez que usan la lista de autoridades de certificación predeterminada (como las que se incluyen en los navegadores web); permite al propietario de la clave hacer que otras claves sean autoridades certificadoras.

Las versiones de PGP siempre han incluido una forma de cancelar ('revocar') los certificados de clave pública. Una clave privada perdida o comprometida requerirá esto si ese usuario va a conservar la seguridad de la comunicación. Esto es, más o menos, equivalente a las listas de revocación de certificados de esquemas PKI centralizados. Las versiones recientes de PGP también admiten fechas de vencimiento de certificados.

El problema de identificar correctamente una clave pública como perteneciente a un usuario en particular no es exclusivo de PGP. Todos los criptosistemas de clave pública/clave privada tienen el mismo problema, incluso aunque sea en formas ligeramente diferentes, y no se conoce una solución completamente satisfactoria. El esquema original de PGP al menos deja la decisión de usar o no su sistema de aprobación/verificación al usuario, mientras que la mayoría de los otros esquemas de PKI no lo hacen, requiriendo en cambio que se acepte cada certificado certificado por una autoridad de certificación central. como correcto

Calidad de seguridad

Según la información disponible públicamente, no existe ningún método conocido que permita a una persona o grupo romper el cifrado PGP por medios criptográficos o computacionales. De hecho, en 1995, el criptógrafo Bruce Schneier caracterizó una versión anterior como "lo más cerca que probablemente estará de un cifrado de grado militar". Se ha descubierto que las primeras versiones de PGP tienen vulnerabilidades teóricas, por lo que se recomiendan las versiones actuales. Además de proteger los datos en tránsito a través de una red, el cifrado PGP también se puede usar para proteger los datos almacenados a largo plazo, como los archivos de disco. Estas opciones de almacenamiento a largo plazo también se conocen como datos en reposo, es decir, datos almacenados, no en tránsito.

La seguridad criptográfica del cifrado PGP depende de la suposición de que los algoritmos utilizados son irrompibles mediante criptoanálisis directo con los equipos y técnicas actuales.

En la versión original, se usaba el algoritmo RSA para cifrar las claves de sesión. La seguridad de RSA depende de la naturaleza de función unidireccional de la factorización matemática de enteros. De manera similar, el algoritmo de clave simétrica utilizado en la versión 2 de PGP fue IDEA, que en algún momento en el futuro podría tener fallas criptoanalíticas no detectadas previamente. Los casos específicos de inseguridades actuales de PGP o IDEA (si existen) no se conocen públicamente. Dado que las versiones actuales de PGP han agregado algoritmos de cifrado adicionales, su vulnerabilidad criptográfica varía según el algoritmo utilizado. Sin embargo, ninguno de los algoritmos en uso actual es conocido públicamente por tener debilidades criptoanalíticas.

Periódicamente se lanzan nuevas versiones de PGP y los desarrolladores corrigen las vulnerabilidades a medida que salen a la luz. Cualquier agencia que quiera leer mensajes PGP probablemente usaría medios más fáciles que el criptoanálisis estándar, p. criptoanálisis de manguera de goma o criptoanálisis de bolsa negra (por ejemplo, instalar algún tipo de caballo de Troya o software/hardware de registro de pulsaciones de teclas en la computadora de destino para capturar anillos de claves encriptados y sus contraseñas). El FBI ya ha utilizado este ataque contra PGP en sus investigaciones. Sin embargo, tales vulnerabilidades se aplican no solo a PGP sino también a cualquier software de encriptación convencional.

En 2003, un incidente relacionado con PDA Psion incautados pertenecientes a miembros de las Brigadas Rojas indicó que ni la policía italiana ni el FBI pudieron descifrar los archivos cifrados con PGP almacenados en ellos.

Un segundo incidente en diciembre de 2006 (ver In re Boucher), que involucró a agentes de aduanas de EE. UU. que incautaron una computadora portátil que supuestamente contenía pornografía infantil, indica que las agencias gubernamentales de EE. UU. encontraron que " casi imposible" para acceder a archivos cifrados con PGP. Además, un juez de primera instancia que resolvió el caso en noviembre de 2007 declaró que obligar al sospechoso a revelar su frase de contraseña PGP violaría sus derechos de la Quinta Enmienda, es decir, el derecho constitucional del sospechoso a no incriminarse a sí mismo. El tema de la Quinta Enmienda se abrió nuevamente cuando el gobierno apeló el caso, luego de lo cual un juez de distrito federal ordenó al acusado que proporcionara la clave.

La evidencia sugiere que a partir de 2007, los investigadores de la policía británica no pudieron descifrar PGP, por lo que recurrieron al uso de la legislación RIPA para exigir las contraseñas/claves. En noviembre de 2009, un ciudadano británico fue condenado en virtud de la legislación RIPA y encarcelado durante nueve meses por negarse a proporcionar a los investigadores de la policía las claves de cifrado de los archivos cifrados con PGP.

PGP como criptosistema ha sido criticado por la complejidad del estándar, la implementación y la muy baja facilidad de uso de la interfaz de usuario, incluso por figuras reconocidas en la investigación criptográfica. Utiliza un formato de serialización ineficaz para el almacenamiento tanto de claves como de datos cifrados, lo que dio lugar a ataques de spam de firmas en claves públicas de destacados desarrolladores de GNU Privacy Guard. La compatibilidad con versiones anteriores del estándar OpenPGP da como resultado el uso de opciones predeterminadas relativamente débiles de primitivas criptográficas (cifrado CAST5, modo CFB, hash de contraseña S2K). El estándar también ha sido criticado por la filtración de metadatos, el uso de claves a largo plazo y la falta de confidencialidad directa. Las implementaciones populares de usuarios finales han sufrido varias vulnerabilidades de filtrado de firmas, degradación de cifrado y fuga de metadatos que se han atribuido a la complejidad del estándar.

Historia

Historia temprana

Phil Zimmermann creó la primera versión del cifrado PGP en 1991. El nombre, "Pretty Good Privacy" se inspiró en el nombre de una tienda de comestibles, 'Ralph's Pretty Good Grocery', que aparece en la ciudad ficticia del locutor de radio Garrison Keillor, Lake Wobegon. Esta primera versión incluía un algoritmo de clave simétrica que el propio Zimmermann había diseñado, llamado BassOmatic después de un sketch de Saturday Night Live. Zimmermann había sido un activista antinuclear durante mucho tiempo y creó el cifrado PGP para que las personas con inclinaciones similares pudieran usar BBS de manera segura y almacenar mensajes y archivos de manera segura. No se requirió una tarifa de licencia para su uso no comercial, y el código fuente completo se incluyó con todas las copias.

En una publicación del 5 de junio de 2001, titulada "PGP celebra su décimo aniversario", Zimmermann describe las circunstancias que rodearon el lanzamiento de PGP:

Fue en este día en 1991 que envié el primer lanzamiento de PGP a un par de mis amigos para subir a Internet. En primer lugar, lo envié a Allan Hoeltje, quien lo envió a Peacenet, un ISP especializado en organizaciones políticas de base, principalmente en el movimiento de paz. Peacenet era accesible para activistas políticos en todo el mundo. Luego, lo subí a Kelly Goen, quien procedió a subirlo a un grupo de noticias Usenet que se especializó en distribuir código fuente. A mi solicitud, marcó la publicación de Usenet como "US only". Kelly también lo subió a muchos sistemas BBS en todo el país. No recuerdo si las publicaciones a Internet comenzaron el 5 o 6 de junio. Puede ser sorprendente para algunos que en 1991, todavía no sabía lo suficiente sobre los grupos de noticias de Usenet para darse cuenta de que una etiqueta "sólo EE.UU." era simplemente una etiqueta de asesoramiento que tenía poco efecto real en cómo las publicaciones de grupos de noticias propagados de Usenet. Pensé que realmente controlaba cómo Usenet encaminó la publicación. Pero en aquel entonces, no tenía ni idea de cómo publicar nada en un grupo de noticias, y ni siquiera tenía una idea clara de lo que era un grupo de noticias.

PGP encontró su camino en Internet y rápidamente adquirió un número considerable de seguidores en todo el mundo. Los usuarios y simpatizantes incluyeron disidentes en países totalitarios (se han publicado algunas cartas conmovedoras a Zimmermann, algunas de las cuales se han incluido en el testimonio ante el Congreso de los EE. UU.), defensores de las libertades civiles en otras partes del mundo (ver el testimonio publicado de Zimmermann en varias audiencias), y la 'comunicaciones libres' activistas que se hacían llamar cypherpunks (que proporcionaban tanto publicidad como distribución); Décadas más tarde, los activistas de CryptoParty hicieron lo mismo a través de Twitter.

Investigación criminal

Poco después de su lanzamiento, el cifrado PGP encontró su camino fuera de los Estados Unidos y, en febrero de 1993, Zimmermann se convirtió en el objetivo formal de una investigación criminal por parte del gobierno de los Estados Unidos por "exportación de municiones sin licencia". En ese momento, los criptosistemas que usaban claves de más de 40 bits se consideraban municiones dentro de la definición de las regulaciones de exportación de EE. UU.; PGP nunca ha usado claves de menos de 128 bits, por lo que calificó en ese momento. Las sanciones por violación, si se declaraba culpable, eran sustanciales. Después de varios años, la investigación de Zimmermann se cerró sin presentar cargos penales contra él ni contra nadie más.

Zimmermann desafió estas normas de forma imaginativa. Publicó el código fuente completo de PGP en un libro de tapa dura, a través de MIT Press, que se distribuyó y vendió ampliamente. Cualquiera que desee construir su propia copia de PGP podría cortar las cubiertas, separar las páginas y escanearlas usando un programa OCR (o posiblemente ingresarlo como un programa de escritura si el software OCR no está disponible), creando un conjunto de fuente archivos de texto de código. Luego, se podría construir la aplicación utilizando la colección de compiladores GNU disponible gratuitamente. PGP estaría así disponible en cualquier parte del mundo. El principio reivindicado era simple: la exportación de municiones (armas, bombas, aviones y software) estaba (y sigue estando) restringida; pero la exportación de libros está protegida por la Primera Enmienda. La pregunta nunca fue probada en la corte con respecto a PGP. Sin embargo, en los casos que abordan otro software de cifrado, dos tribunales federales de apelaciones han establecido la regla de que el código fuente del software criptográfico está protegido por la Primera Enmienda (el Tribunal de Apelaciones del Noveno Circuito en el caso Bernstein y el Tribunal de Apelaciones del Sexto Circuito en el caso Junger caso).

Las normas de exportación de EE. UU. con respecto a la criptografía siguen vigentes, pero se liberalizaron sustancialmente a fines de la década de 1990. Desde el año 2000, el cumplimiento de la normativa también es mucho más sencillo. El cifrado PGP ya no cumple con la definición de un arma no exportable y se puede exportar internacionalmente, excepto a siete países específicos y una lista de grupos e individuos nombrados (con quienes prácticamente todo el comercio de EE. UU. está prohibido bajo varios controles de exportación de EE. UU.).

PGP 3 y fundación de PGP Inc.

Durante esta agitación, el equipo de Zimmermann trabajó en una nueva versión de cifrado PGP llamada PGP 3. Esta nueva versión iba a tener considerables mejoras de seguridad, incluida una nueva estructura de certificados que solucionaba pequeñas fallas de seguridad en PGP 2. x, además de permitir que un certificado incluya claves separadas para la firma y el cifrado. Además, la experiencia con los problemas de patentes y exportación los llevó a evitar las patentes por completo. PGP 3 introdujo el uso del algoritmo de clave simétrica CAST-128 (también conocido como CAST5), y los algoritmos de clave asimétrica DSA y ElGamal, todos los cuales no estaban gravados por patentes.

Después de que terminara la investigación penal federal en 1996, Zimmermann y su equipo iniciaron una empresa para producir nuevas versiones de cifrado PGP. Se fusionaron con Viacrypt (a quien Zimmermann le había vendido los derechos comerciales y que había obtenido la licencia de RSA directamente de RSADSI), que luego cambió su nombre a PGP Incorporated. El equipo Viacrypt/PGP recién combinado comenzó a trabajar en nuevas versiones de cifrado PGP basadas en el sistema PGP 3. A diferencia de PGP 2, que era un programa exclusivamente de línea de comandos, PGP 3 se diseñó desde el principio como una biblioteca de software que permitía a los usuarios trabajar desde una línea de comandos o dentro de un entorno GUI. El acuerdo original entre Viacrypt y el equipo de Zimmermann había sido que Viacrypt tendría versiones pares y versiones impares de Zimmermann. Viacrypt, por lo tanto, creó una nueva versión (basada en PGP 2) a la que llamaron PGP 4. Para eliminar la confusión sobre cómo podría ser que PGP 3 fuera el sucesor de PGP 4, se cambió el nombre de PGP 3 y se lanzó como PGP 5 en mayo de 1997.

Adquisición de Network Associates

En diciembre de 1997, PGP Inc. fue adquirida por Network Associates, Inc. ("NAI"). Zimmermann y el equipo de PGP se convirtieron en empleados de NAI. NAI fue la primera empresa en tener una estrategia de exportación legal mediante la publicación del código fuente. Bajo NAI, el equipo de PGP agregó cifrado de disco, firewalls de escritorio, detección de intrusos y VPN IPsec a la familia PGP. Después de las liberalizaciones de las regulaciones de exportación de 2000 que ya no requerían la publicación de la fuente, NAI dejó de publicar el código fuente.

A principios de 2001, Zimmermann dejó NAI. Se desempeñó como criptógrafo jefe de Hush Communications, que proporciona un servicio de correo electrónico basado en OpenPGP, Hushmail. También ha trabajado con Veridis y otras empresas. En octubre de 2001, NAI anunció que sus activos de PGP estaban a la venta y que suspendería el desarrollo de la encriptación PGP. El único activo restante que se mantuvo fue PGP E-Business Server (la versión original de PGP Commandline). En febrero de 2002, NAI canceló todo el soporte para productos PGP, con la excepción del producto de línea de comandos renombrado. NAI, ahora conocida como McAfee, continuó vendiendo y respaldando el producto con el nombre de McAfee E-Business Server hasta 2013.

Corporación PGP y Symantec

En agosto de 2002, varios ex miembros del equipo de PGP formaron una nueva empresa, PGP Corporation, y compraron los activos de PGP (excepto la versión de línea de comandos) de NAI. La nueva empresa fue financiada por Rob Theis de Doll Capital Management (DCM) y Terry Garnett de Venrock Associates. PGP Corporation apoyó a los usuarios de PGP existentes y cumplió con los contratos de soporte de NAI. Zimmermann se desempeñó como asesor especial y consultor de PGP Corporation mientras continuaba dirigiendo su propia empresa de consultoría. En 2003, PGP Corporation creó un nuevo producto basado en servidor llamado PGP Universal. A mediados de 2004, PGP Corporation envió su propia versión de línea de comandos llamada PGP Command Line, que se integraba con las otras aplicaciones de la plataforma de cifrado PGP. En 2005, PGP Corporation realizó su primera adquisición: la empresa de software alemana Glück & Kanja Technology AG, que se convirtió en PGP Deutschland AG. En 2010, PGP Corporation adquirió la autoridad de certificación TC TrustCenter con sede en Hamburgo y su empresa matriz, ChosenSecurity, para formar su división PGP TrustCenter.

Después de la compra en 2002 de los activos de PGP de NAI, PGP Corporation ofreció soporte técnico de PGP en todo el mundo desde sus oficinas en Draper, Utah; Offenbach, Alemania; y Tokio, Japón.

El 29 de abril de 2010, Symantec Corp. anunció que adquiriría PGP por 300 millones de dólares con la intención de integrarlo en su Enterprise Security Group. Esta adquisición se finalizó y se anunció al público el 7 de junio de 2010. El código fuente de PGP Desktop 10 está disponible para revisión por pares.

También en 2010, Intel Corporation adquirió McAfee. En 2013, McAfee E-Business Server se transfirió a Software Diversified Services, que ahora lo vende, brinda soporte y lo desarrolla con el nombre de SDS E-Business Server.

Para la empresa, Townsend Security actualmente ofrece una versión comercial de PGP para las plataformas de mainframe IBM i e IBM z. Townsend Security se asoció con Network Associates en 2000 para crear una versión compatible de PGP para la plataforma IBM i. Townsend Security volvió a portar PGP en 2008, esta vez al mainframe IBM z. Esta versión de PGP se basa en una función de cifrado z/OS gratuita, que utiliza aceleración de hardware. Software Diversified Services también ofrece una versión comercial de PGP (SDS E-Business Server) para el mainframe IBM z.

En mayo de 2018, se descubrió un error llamado EFAIL en ciertas implementaciones de PGP que, a partir de 2003, podía revelar el contenido de texto sin formato de los correos electrónicos cifrados con él. La mitigación elegida para esta vulnerabilidad en PGP Desktop es exigir el uso de paquetes protegidos por SEIP en el texto cifrado, lo que puede provocar que los correos electrónicos antiguos u otros objetos cifrados ya no se puedan descifrar después de actualizar a la versión de software que tiene la mitigación.

Broadcom

El 9 de agosto de 2019, Broadcom Inc. anunció que adquiriría la división de software Enterprise Security de Symantec, que incluye a PGP Corporation.

Aplicaciones de cifrado de PGP Corporation

Esta sección describe los programas comerciales disponibles de PGP Corporation. Para obtener información sobre otros programas compatibles con la especificación OpenPGP, consulte Enlaces externos a continuación.

Aunque originalmente se usaba principalmente para cifrar el contenido de los mensajes de correo electrónico y los archivos adjuntos de un cliente de escritorio, los productos PGP se han diversificado desde 2002 en un conjunto de aplicaciones de cifrado que pueden administrarse mediante un servidor de políticas central opcional. Las aplicaciones de cifrado PGP incluyen correos electrónicos y archivos adjuntos, firmas digitales, cifrado de disco completo, seguridad de archivos y carpetas, protección para sesiones de mensajería instantánea, cifrado de transferencia de archivos por lotes y protección para archivos y carpetas almacenados en servidores de red y, más recientemente, cifrados o firmados. Solicitudes/respuestas HTTP mediante un módulo del lado del cliente (Enigform) y del lado del servidor (mod openpgp). También hay un complemento de WordPress disponible, llamado wp-enigform-authentication, que aprovecha las funciones de administración de sesiones de Enigform con mod_openpgp.

La familia PGP Desktop 9.x incluye PGP Desktop Email, PGP Whole Disk Encryption y PGP NetShare. Además, también hay disponibles varios paquetes de escritorio. Según la aplicación, los productos cuentan con correo electrónico de escritorio, firmas digitales, seguridad de mensajería instantánea, cifrado de disco completo, seguridad de archivos y carpetas, archivos autoextraíbles cifrados y trituración segura de archivos eliminados. Las capacidades se licencian de diferentes maneras según las características requeridas.

La consola de administración de PGP Universal Server 2.x maneja la implementación centralizada, la política de seguridad, la aplicación de políticas, la administración de claves y la generación de informes. Se utiliza para el cifrado de correo electrónico automatizado en la puerta de enlace y administra los clientes de PGP Desktop 9.x. Además de su servidor de claves local, PGP Universal Server funciona con el servidor de claves público de PGP, denominado Directorio global de PGP, para buscar las claves de los destinatarios. Tiene la capacidad de enviar correos electrónicos de forma segura cuando no se encuentra ninguna clave de destinatario a través de una sesión segura de navegador HTTPS.

Con PGP Desktop 9.x administrado por PGP Universal Server 2.x, lanzado por primera vez en 2005, todas las aplicaciones de cifrado de PGP se basan en una nueva arquitectura basada en proxy. Estas versiones más nuevas del software PGP eliminan el uso de complementos de correo electrónico y aíslan al usuario de los cambios en otras aplicaciones de escritorio. Todas las operaciones de escritorio y servidor ahora se basan en políticas de seguridad y funcionan de forma automatizada. El servidor PGP Universal automatiza la creación, administración y caducidad de claves, compartiendo estas claves entre todas las aplicaciones de encriptación PGP.

La plataforma PGP de Symantec ha cambiado de nombre. PGP Desktop ahora se conoce como Symantec Encryption Desktop (SED) y PGP Universal Server ahora se conoce como Symantec Encryption Management Server (SEMS). Las versiones comerciales actuales son Symantec Encryption Desktop 10.3.0 (plataformas Windows y macOS) y Symantec Encryption Server 3.3.2.

También están disponibles PGP Command-Line, que permite el cifrado basado en la línea de comandos y la firma de información para el almacenamiento, la transferencia y la copia de seguridad, así como PGP Support Package para BlackBerry, que permite que los dispositivos RIM BlackBerry disfruten del envío Cifrado de mensajería del destinatario.

Las nuevas versiones de las aplicaciones PGP utilizan tanto OpenPGP como S/MIME, lo que permite la comunicación con cualquier usuario de un estándar especificado por NIST.

Abrir PGP

Dentro de PGP Inc., todavía había preocupación en torno a los problemas de patentes. RSADSI estaba cuestionando la continuación de la licencia de Viacrypt RSA para la empresa recién fusionada. La empresa adoptó un estándar interno informal al que llamaron "PGP libre de compromisos" que "no usaría ningún algoritmo con dificultades de licencia". Debido a la importancia del cifrado PGP en todo el mundo, muchos querían escribir su propio software que interoperara con PGP 5. Zimmermann se convenció de que un estándar abierto para el cifrado PGP era fundamental para ellos y para la comunidad criptográfica en su conjunto. En julio de 1997, PGP Inc. propuso al IETF que existiera un estándar llamado OpenPGP. Le dieron permiso al IETF para usar el nombre OpenPGP para describir este nuevo estándar, así como cualquier programa que admita el estándar. El IETF aceptó la propuesta e inició el grupo de trabajo OpenPGP.

OpenPGP está en la vía de los estándares de Internet y está en desarrollo activo. Muchos clientes de correo electrónico brindan seguridad de correo electrónico compatible con OpenPGP como se describe en RFC 3156. La especificación actual es RFC 4880 (noviembre de 2007), la sucesora de RFC 2440. RFC 4880 especifica un conjunto de algoritmos requeridos que consisten en cifrado ElGamal, DSA, Triple DES y SHA-1. Además de estos algoritmos, el estándar recomienda RSA como se describe en PKCS #1 v1.5 para cifrado y firma, así como AES-128, CAST-128 e IDEA. Más allá de estos, se admiten muchos otros algoritmos. El estándar se amplió para admitir el cifrado Camellia por RFC 5581 en 2009, y la firma y el intercambio de claves basado en criptografía de curva elíptica (ECC) (es decir, ECDSA y ECDH) por RFC 6637 en 2012. RFC 4880bis propuesto agregó soporte para cifrado ECC en 2014.

La Free Software Foundation ha desarrollado su propio paquete de software compatible con OpenPGP llamado GNU Privacy Guard, disponible gratuitamente junto con todo el código fuente bajo la Licencia Pública General GNU y se mantiene por separado de varias interfaces gráficas de usuario que interactúan con la biblioteca GnuPG para funciones de cifrado, descifrado y firma (ver KGPG, Seahorse, MacGPG). Varios otros proveedores también han desarrollado software compatible con OpenPGP.

El desarrollo de una biblioteca compatible con OpenPGP de código abierto, OpenPGP.js, escrita en JavaScript y respaldada por el programa marco Horizon 2020 de la Unión Europea, ha permitido que las aplicaciones basadas en la web usen el cifrado PGP en el navegador web.

  • PGP
    • RFC 1991 PGP Formatos de intercambio de mensajes (obsoletos)
  • OpenPGP
    • RFC 2440 OpenPGP Formato de mensaje (obsoleto)
    • RFC 4880 OpenPGP Formato de mensaje
    • RFC 5581 El Camellia Cipher en OpenPGP
    • RFC 6637 Criptografía de curvas elípticas (ECC) en OpenPGP
    • draft-ietf-openpgp-crypto-refresh OpenPGP Formato de mensaje
  • PGP/MIME
    • RFC 2015 MIME Seguridad con bastante buena privacidad (PGP)
    • RFC 3156 MIME Seguridad con OpenPGP

El cifrado de OpenPGP puede garantizar la entrega segura de archivos y mensajes, así como verificar quién creó o envió el mensaje mediante un proceso llamado firma digital. La suite ofimática de código abierto LibreOffice implementó la firma de documentos con OpenPGP a partir de la versión 5.4.0 en Linux. El uso de OpenPGP para la comunicación requiere la participación tanto del remitente como del destinatario. OpenPGP también se puede usar para proteger archivos confidenciales cuando se almacenan en lugares vulnerables como dispositivos móviles o en la nube.

Limitaciones

Con el avance de la criptografía, partes de PGP han sido criticadas por estar anticuadas:

  • La larga longitud de las teclas públicas PGP
  • Dificultad para que los usuarios comprendan y mal usabilidad
  • Falta de ubicuidad
  • Falta de secreto futuro

En octubre de 2017, se anunció la vulnerabilidad ROCA, que afecta las claves RSA generadas por el firmware defectuoso de Infineon que se usa en los tokens Yubikey 4, que a menudo se usan con PGP. Se encontró que muchas claves PGP publicadas eran susceptibles. Yubico ofrece reemplazo gratuito de tokens afectados.

Mejores prácticas

  • No confíe ciegamente en claves de servidores públicos
  • Verifique siempre las claves públicas con sus destinatarios previstos
  • Compruebe las huellas digitales clave antes de importar
  • Nunca confíes en el ID clave
  • Actualizar las teclas públicas en su keystore
  • Tener una llave privada fuerte
  • Use una fecha de caducidad
  • Establezca un evento calendario para recordarle su fecha de caducidad
  • Generar un certificado de revocación
  • Tener una copia de seguridad encriptada de tu material clave secreto

Contenido relacionado

Pipa

Un hogshead es un barril grande de líquido (o, con menos frecuencia, de un producto alimenticio). Más específicamente, se refiere a un volumen específico...

Diccionario gratuito en línea de informática

El Diccionario gratuito en línea de informática es un diccionario enciclopédico en línea de temas informáticos que permite realizar...

Bash (capa de Unix)

Bash es un shell de Unix y un lenguaje de comandos escrito por Brian Fox para el Proyecto GNU como un reemplazo de software gratuito para el Bourne shell....
Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle