GnuPG o GPG

I. INTRODUCCIÓN
PGP (Pretty Good Privacy, privacidad bastante buena) es un programa diseñado y
desarrollado por Phil Zimmerman en 1991. Tiene como finalidad la de proteger
información que se distribuye a través de Internet

GNU Privacy Guard (GnuPG o GPG) es una herramienta de cifrado y firmas digitales
desarrollado por Werner Koch, que viene a ser un reemplazo del PGP (Pretty Good
Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL.
GPG utiliza el estándar del IETF denominado OpenPGP.

II. USO DE GNUPG

Algoritmos utilizados

Los algoritmos soportados por GnuPG usa una serie de algoritmos no patentados
como:

ElGamal.- Esquema de cifrado basado en el problema matemático del logaritmo

discreto. Es un algoritmo de criptografía asimétrica basado en la idea de Diffie-
Hellman. Utilizado tanto para generar firmas digitales como para cifrar o descifrar.

CAST5.- (o también CAST-128) es un cifrador por bloques de 12 o 16 rondas que se

basa en la red de Feistel con bloques de 64 bits y tamaños de clave entre 40 y 128 bits
(pero con solo incrementos de 8 bits).

Triple DES (3DES),- se le llama al algoritmo que hace triple cifrado del DES (es un
algoritmo de cifrado, estándar FIPS en los Estados Unidos en 1976)

AES.- (Rijndael) es un esquema de cifrado por bloques. FIPS PUB 197 de los Estados
Unidos (FIPS 197) por el el Instituto Nacional de Estándares y Tecnología (NIST), el 26
de noviembre de 2001 después de un proceso de estandarización que duró 5 años.

Blowfish.- Es un codificador de bloques simétricos, diseñado por Bruce Schneier en

1993, por el momento no se han encontrado técnicas de criptoanálisis efectivas contra
el Blowfish.

GPG es un software de cifrado híbrido, cifra los mensajes usando pares de claves
publicas asimétricas generadas por los usuarios y la rapidez de claves simétricas. se
usan recipientes de claves públicas para cifrar una clave de sesión que es usada una
vez. Este modo de operación es parte del estándar OpenPGP y ha sido parte del PGP
desde su primera versión.
Anillo de confianza

Un anillo de confianza es un concepto usado en PGP, GnuPG, y otros sistemas

compatibles con OpenPGP para certificar la autenticidad de que una clave pública
pertenece a su dueño.

La solución PGP (y por consiguiente la solución GnuPG) está en firmar los códigos. La
clave pública de un usuario puede estar firmada con las claves de otros usuarios. El
objetivo de estas firmas es el de reconocer que el UID (identificador de usuario) de la
clave pertenece al usuario a quien dice pertenecer. Una clave se puede considerar
fiable cuando se confía en el remitente y cuando se sabe con seguridad que dicha clave
pertenece a éste. Sólo cuando se puede confiar plenamente en la clave del firmante,
se puede confiar en la firma que acompaña a la clave de un tercero.

III. POSIBLES ATAQUES Y VULNERABILIDADES

Ataques

1. Ataque de “exfiltración directa”:

El atacante crea un mensaje que incluye el antiguo mensaje encriptado. El nuevo

mensaje se construye de tal manera que el software de correo muestra todo el
mensaje descifrado -incluido el texto cifrado capturado- como texto no cifrado. A
continuación, el analizador HTML del cliente de correo electrónico envía o “extrae”
inmediatamente el mensaje descifrado a un servidor que controla el atacante.

2. Ataque de modificación de texto cifrado:

El segundo ataque abusa de la subespecificación de ciertos detalles en el estándar

OpenPGP para no filtrar el contenido del correo electrónico al atacante, modificando
un correo electrónico encriptado previamente obtenido. Esta segunda vulnerabilidad
aprovecha la combinación de la falta de verificación de integridad obligatoria de
OpenPGP combinada con los analizadores HTML integrados en el software de correo.

3. Falsas identidades
Las claves siempre deben ser compartidas cuidadosamente para prevenir falsas
identidades por la corrupción de las claves públicas.