Protección de privacidad de GNU

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar
Aplicación completa de las normas OpenPGP y S/MIME

GNU Privacy Guard (GnuPG o GPG) es un reemplazo de software gratuito para el paquete de software criptográfico PGP de Symantec. El software cumple con RFC 4880, la especificación de seguimiento de estándares IETF de OpenPGP. Las versiones modernas de PGP son interoperables con GnuPG y otros sistemas compatibles con OpenPGP.

GnuPG es parte del Proyecto GNU y recibió importantes fondos del gobierno alemán en 1999.

Resumen

GnuPG es un programa de software de cifrado híbrido porque utiliza una combinación de criptografía de clave simétrica convencional para aumentar la velocidad y criptografía de clave pública para facilitar el intercambio seguro de claves, normalmente mediante el uso de la clave pública del destinatario para cifrar una clave de sesión que se utiliza una sola vez. Este modo de operación es parte del estándar OpenPGP y ha sido parte de PGP desde su primera versión.

La serie GnuPG 1.x utiliza una biblioteca criptográfica integrada, mientras que la serie GnuPG 2.x la reemplaza con Libgcrypt.

GnuPG cifra los mensajes utilizando pares de claves asimétricas generadas individualmente por los usuarios de GnuPG. Las claves públicas resultantes pueden intercambiarse con otros usuarios de diversas formas, como servidores de claves de Internet. Siempre deben intercambiarse con cuidado para evitar la suplantación de identidad al corromper la clave pública ↔ "propietario" correspondencias de identidad. También es posible agregar una firma digital criptográfica a un mensaje, de modo que se pueda verificar la integridad del mensaje y el remitente, si una correspondencia en particular en la que se basa no se ha corrompido.

GnuPG también admite algoritmos de cifrado simétrico. De forma predeterminada, GnuPG usa el algoritmo simétrico AES desde la versión 2.1, CAST5 se usó en versiones anteriores. GnuPG no utiliza software o algoritmos patentados o restringidos. En cambio, GnuPG usa una variedad de otros algoritmos no patentados.

Durante mucho tiempo, no admitió el algoritmo de cifrado IDEA utilizado en PGP. De hecho, era posible usar IDEA en GnuPG descargando un complemento, sin embargo, esto podría requerir una licencia para algunos usos en países en los que se patentó IDEA. A partir de las versiones 1.4.13 y 2.0.20, GnuPG es compatible con IDEA porque la última patente de IDEA expiró en 2012. La compatibilidad con IDEA está destinada a "eliminar todas las preguntas de las personas que intentan descifrar datos antiguos o migrar". claves de PGP a GnuPG" y, por lo tanto, no se recomienda su uso regular.

Las versiones más recientes de GnuPG 2.x (la serie "moderna" y la ahora obsoleta "estable") exponen la mayoría de las funciones y algoritmos criptográficos que proporciona Libgcrypt (su biblioteca criptográfica), incluido el soporte. para criptografía de curva elíptica (ECDH, ECDSA y EdDSA) en el entorno "moderno" serie (es decir, desde GnuPG 2.1).

Algoritmos

A partir de las versiones 2.3 o 2.2, GnuPG admite los siguientes algoritmos:

Clave pública
RSA, ElGamal, DSA, ECDH (cv25519, cv448, nistp256, nistp384, nistp521, brainpoolP256r1, brainpoolP384r1, brainpoolP512r1, secp256k1), ECDSA (nistp256, nistp384, nistp521, brainpoolP256r1, brainpoolP351
Cipher
3DES, IDEA (para compatibilidad atrasada), CAST5, Blowfish, Twofish, AES-128, AES-192, AES-256, Camellia-128, -192 y -256
Hash
MD5, SHA-1, RIPEMD-160, SHA-256, SHA-384, SHA-512, SHA-224
Compresión
Sin compromisos, ZIP, ZLIB, BZIP2

Historia

GnuPG fue desarrollado inicialmente por Werner Koch. La primera versión de producción, la versión 1.0.0, se lanzó el 7 de septiembre de 1999, casi dos años después del primer lanzamiento de GnuPG (versión 0.0.0). El Ministerio Federal Alemán de Economía y Tecnología financió la documentación y el puerto a Microsoft Windows en 2000.

GnuPG es un sistema compatible con el estándar OpenPGP, por lo que la historia de OpenPGP es importante; fue diseñado para interactuar con PGP, un programa de encriptación de correo electrónico inicialmente diseñado y desarrollado por Phil Zimmermann.

El 7 de febrero de 2014, se cerró un esfuerzo de financiación colectiva de GnuPG, recaudando 36 732 € para un nuevo sitio web y mejoras de infraestructura.

Sucursales

Desde el lanzamiento de un GnuPG 2.3 estable, a partir de la versión 2.3.3 en octubre de 2021, se mantienen activamente tres ramas estables de GnuPG:

  • Una "stable branch", que actualmente es (a partir de 2021) la rama 2.3.
  • Una rama "LTS (apoyo a largo plazo)", que actualmente es (a partir de 2021) la rama 2.2 (que se llamaba antiguamente " rama moderna", en comparación con la rama 2.0).
  • La vieja rama delegada (anteriormente llamada rama clásica), que es y permanecerá en la rama 1.4.

Antes de GnuPG 2.3, se mantenían activamente dos ramas estables de GnuPG:

  • "Moderno" (2.2), con numerosas características nuevas, como la criptografía de curvas elípticas, en comparación con la antigua rama "estable" (2.0), que sustituyó con la liberación de GnuPG 2.2.0 el 28 de agosto de 2017. Fue lanzado inicialmente el 6 de noviembre de 2014.
  • "Classic" (1.4), el muy antiguo, pero todavía mantenido versión independiente, la más adecuada para plataformas anticuadas o embebidas. Publicado inicialmente el 16 de diciembre de 2004.

No se pueden instalar diferentes versiones de GnuPG 2.x (por ejemplo, de las ramas 2.2 y 2.0) al mismo tiempo. Sin embargo, es posible instalar un "clásico" Versión de GnuPG (es decir, de la rama 1.4) junto con cualquier versión de GnuPG 2.x.

Antes del lanzamiento de GnuPG 2.2 ("moderno"), el ahora en desuso "estable" branch (2.0) se recomendó para uso general, lanzado inicialmente el 13 de noviembre de 2006. Esta rama llegó al final de su vida útil el 31 de diciembre de 2017; Su última versión es la 2.0.31, lanzada el 29 de diciembre de 2017.

Antes del lanzamiento de GnuPG 2.0, todos los lanzamientos estables se originaban en una sola rama; es decir, antes del 13 de noviembre de 2006, no se mantenían ramas de liberación múltiple en paralelo. Estas ramas de lanzamiento anteriores, que se sucedieron secuencialmente (hasta 1.4), fueron:

  • 1.2 rama, lanzada inicialmente el 22 de septiembre de 2002, con 1.2.6 como última versión, publicada el 26 de octubre de 2004.
  • 1,0 branch, initially released on September 7, 1999, with 1.0.7 as the last version, released on April 30, 2002.

(Tenga en cuenta que antes del lanzamiento de GnuPG 2.3.0, las ramas con un número de versión menor impar (por ejemplo, 2.1, 1.9, 1.3) eran ramas de desarrollo que conducían a una rama de versión estable con un "+ 0.1" número de versión más alto (por ejemplo, 2.2, 2.0, 1.4); por lo tanto, las ramas 2.2 y 2.1 pertenecen a la serie "moderna", 2.0 y 1.9 ambas a la serie "estable", mientras que la las ramas 1.4 y 1.3 pertenecen a la serie "clásica".

Con el lanzamiento de GnuPG 2.3.0, esta nomenclatura se modificó para estar compuesta por un "estable" y "LTS" rama de la "moderna" serie, más 1.4 como última mantenida "clásica" sucursal. También tenga en cuenta que los números de versión menores pares o impares ya no indican una rama de versión estable o de desarrollo).

Plataformas

Aunque el programa GnuPG básico tiene una interfaz de línea de comandos, existen varios front-end que le proporcionan una interfaz gráfica de usuario. Por ejemplo, la compatibilidad con el cifrado GnuPG se ha integrado en KMail y Evolution, los clientes de correo electrónico gráficos que se encuentran en KDE y GNOME, los escritorios Linux más populares. También hay interfaces gráficas GnuPG, por ejemplo, Seahorse para GNOME y KGPG y Kleopatra para KDE.

GPGTools proporciona una serie de interfaces para la integración del sistema operativo de cifrado y gestión de claves, así como instalaciones de GnuPG a través de paquetes de instalación para macOS. GPG Suite instala todas las aplicaciones OpenPGP relacionadas (GPG Keychain), complementos (GPG Mail) y dependencias (MacGPG), junto con GPG Services (integración en el menú de servicios de macOS) para usar el cifrado basado en GnuPG.

Las aplicaciones de mensajería instantánea como Psi y Fire pueden proteger automáticamente los mensajes cuando se instala y configura GnuPG. El software basado en la web como Horde también lo utiliza. La extensión multiplataforma Enigmail proporciona soporte GnuPG para Mozilla Thunderbird y SeaMonkey. De manera similar, Enigform brinda soporte GnuPG para Mozilla Firefox. FireGPG se suspendió el 7 de junio de 2010.

En 2005, g10 Code GmbH e Intevation GmbH lanzaron Gpg4win, un paquete de software que incluye GnuPG para Windows, GNU Privacy Assistant y complementos GnuPG para Windows Explorer y Outlook. Estas herramientas están incluidas en un instalador estándar de Windows, lo que facilita la instalación y el uso de GnuPG en sistemas Windows.

Vulnerabilidades

El estándar OpenPGP especifica varios métodos de firma digital de mensajes. En 2003, debido a un error en un cambio de GnuPG destinado a hacer más eficiente uno de esos métodos, se introdujo una vulnerabilidad de seguridad. Afectó solo a un método de firma digital de mensajes, solo para algunas versiones de GnuPG (1.0.2 a 1.2.3), y había menos de 1000 claves de este tipo en los servidores de claves. La mayoría de la gente no usó este método y, en cualquier caso, se les disuadió de hacerlo, por lo que el daño causado (si lo hubo, ya que no se ha informado públicamente) parecería haber sido mínimo. La compatibilidad con este método se eliminó de las versiones de GnuPG publicadas después de este descubrimiento (1.2.4 y posteriores).

A principios de 2006 se descubrieron dos vulnerabilidades más; el primero es que los usos de GnuPG con secuencias de comandos para la verificación de firmas pueden generar falsos positivos; el segundo, que los mensajes que no son MIME son vulnerables a la inyección de datos que, si bien no están cubiertos por la firma digital, se informarían como parte del mensaje firmado.. En ambos casos, las versiones actualizadas de GnuPG estaban disponibles en el momento del anuncio.

En junio de 2017, Bernstein, Breitner y otros descubrieron una vulnerabilidad (CVE-2017-7526) dentro de Libgcrypt: una biblioteca utilizada por GnuPG, que permitió una recuperación de clave completa para RSA-1024 y aproximadamente más de 1/8 de claves RSA-2048. Este ataque de canal lateral explota el hecho de que Libgcrypt usó un método de ventanas deslizantes para la exponenciación que conduce a la fuga de bits de exponente y a la recuperación completa de la clave. Una vez más, se puso a disposición una versión actualizada de GnuPG en el momento del anuncio.

En octubre de 2017, se anunció la vulnerabilidad ROCA que afecta las claves RSA generadas por tokens YubiKey 4, que a menudo se usan con PGP/GPG. Se encontró que muchas claves PGP publicadas eran susceptibles.

Alrededor de junio de 2018, se anunciaron los ataques SigSpoof. Estos permitieron a un atacante falsificar firmas digitales de manera convincente.

En enero de 2021, se lanzó Libgcrypt 1.9.0, que contenía un error grave que era fácil de explotar. Se lanzó una solución 10 días después en Libgcrypt 1.9.1.

Contenido relacionado

Composición digital

Composición digital es el proceso de ensamblar digitalmente múltiples imágenes para crear una imagen final, generalmente para impresión, películas o...

Centro de llamadas

Un centro de llamadas o centro de llamadas es una capacidad administrada que puede ser centralizada o remota que se usa para recibir o transmitir un gran...

CGI

CGI puede referirse...
Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle