gpg --gen-key
Faramir
faramir.cl en gmail.com
Jue Oct 16 19:09:29 CEST 2008
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Enrique Ramos Ortiz escribió:
> Os pido una opinión breve (y que nadie me diga que lea que estoy en ello
> :p ) sobre los siguientes conceptos:
De acuerdo, te doy mi opinión... pero considerala como la opinion de
un usuario que NO tiene conocimientos matemáticos de criptografía, es
decir, nada te garantiza que mis opiniones tengan fundamentos validos...
Además, según he leido varias veces, "cualquier cosa en GPG es
suficientemente segura". Por otro lado, dado que no es lo mismo que sea
seguro, a que uno lo "sienta" como seguro...
> Hago un $ gpg --gen-key y me pide los siguientes datos:
>
> tipo de clave: ¿DSA y ElGamal, DSA o RSA?
A menos que actives la opción de usar DSA2, DSA está limitado a 1024
bits, y al uso de SHA1 (que se demostró no es tan seguro como se
esperaba, aunque aun se considera seguro), por lo que yo usaría RSA y RSA.
> tamaño de la clave: 1024, 2048 o 4096
Si bien 1024 se supone es suficientemente seguro... yo aplicaría un
criterio semejante a "ni lo más barato, ni lo más caro"... y elegiría
2048 bits.
> periodo de validez de la clave: nuca caduca, en un número de días,
> semanas, meses o años
Aquí ya depende de muchas cosas... en lo personal, hice mis claves
pensando en que "duren", por eso usé RSA 2048 con subclave RSA 2048, y
no les puse fecha de caducidad. Si vas a transportar las claves en un
dispositivo de almacenamiento, que podría ser robado o extraviado,
entonces podrías ponerle 1 o 2 años, y si no sucede nada, editarlas y
extenderle el periodo de vigencia. Además, como las claves tendrían
periodo de vigencia, eso obliga a la personas a verificar tu clave
pública cada vez que su copia caduca (y recibirían la clave pública con
duración extendida).
Hay un documento que habla de "cómo mantener sus claves seguras", y
propone crear una clave, agregarle subclaves para firma y para cifrado,
y luego remover la clave principa (y almacenarla en forma segura). La
ventaja es que eso te permite revocar las subclaves (o dejarlas que
caduquen) y conservar la clave principal (a la que se le agrega nuevas
subclaves cuando se necesita). La desventaja, además de que es un
procedimiento algo tedioso, es que NO puedes firmar claves de otras
personas si no tienes instalada la clave principal... pero para uso
diario, las subclaves sirven. Otra desventaja es que otros programas
compatibles con OpenPGP podrian no reconocer adecuadamente las subclaves
sin clave principal, por lo que es posible que no pudieras importarlas a
PGP...
Vaya, no se si me enredé mucho, o se entiende la "opinión"...
Otro problema con ir caducando subclaves, es que no las debes borrar
(porque no podrias decifrar mensajes cifrados para las subclaves
antiguas, o los archivos que hayan sido cifrados para esas subclaves),
lo que significa que conforme pasa el tiempo, tu clave crecerá y
crecerá, conforme le vayas añadiendo nuevas subclaves... En cambio, si
caducas toda la clave (principal y todo lo demás), y generas una
completamente nueva, entonces pierdes todas las firmas que hayas reunido
en la clave... y tienes que conseguir que te las vuelvan a firmar. No es
problema si vives en un sitio donde es fácil encontrar personas con una
"clave fuerte" que firmen la tuya... pero si no, lo más probable es que
no quieras perder las firmas que hayas reunido...
Por último... nunca está de más recordarte que guardes un respaldo de
la clave, así como un certificado de revocación, en un medio seguro y
ojalá "remoto". Si todo sale mal, al menos podrás revocar la clave.
Hay una utilidad llamada PaperKey, que toma tu clave privada, le
remueve la clave pública, y la convierte a un documento de texto plano,
usando códigos hexadecimales. Eso te permite imprimir la clave en un
papel, y guardarla en un sitio seguro (el papel impreso dura mucho más
que una memoria flash, o un CD). En caso de pérdida de las claves,
reconstruyes el archivo de texto en forma manual, descargas tu clave
pública (que estará en los servidores de claves, por lo que es bastante
improbable que desaparesca), y usas PaperKey para recombinarlas y así
obtener tu clave privada.
Espero haber sido de ayuda... si el mensaje quedó muy confuso...
avísame y veo cómo lo aclaro un poco...
Saludos
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iQEcBAEBCAAGBQJI93VJAAoJEMV4f6PvczxA104H/2MKTFnF4ZeX1t6iyPH4RTxb
FS51c2pA7/TTXZuTKgvugDBDPrVtGWXvNHHqJvHcS8RsiGhiQo4483DNGkgzTqpY
+n8sko/ZadFhcG+Jsf5XmFFMpJ9IOwQWbGSNoqzgwh2rP6DleuLMwrvqnZMB4F32
oeCfZOF4CcMYdC0WPuUHvub3TWjLpKudqLBxifztFQT7g7hPBiSAD3J+QGUhFBqh
pl9lqnii9Rnl2/9QiXfY/VQrQZL0wSuA6397xL++9dvoSS7RVFKzX6FMLW4EsN0+
1TXz8uL2ImcKi9eryNAj4DnxUHBT79/q10tba1YuXeJys8RZsr+8krdFxcPgqN0=
=Xf8J
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Gnupg-es