¿Cuál es la diferencia entre Clave, Certificado y Firma en GPG?

Navega tus respuestas
0

Perdóname las preguntas de novato.

Estoy revisando la documentación de Gpg y otros sitios web relacionados. Lamentablemente, suponen que ya estoy familiarizado con algunos términos y, aunque estoy revisándolos, es difícil aplicar lo que he aprendido o incluso resumir para comprender lo que está pasando.

Las preguntas aquí son: en el tema de GPG, ¿cuál es la diferencia entre una clave y un certificado? (Parece que es lo mismo). Además, ¿cuál es el objetivo de firmar un archivo cifrado?

¿Cuál es el flujo de usar gpg para transferir un archivo de forma segura?

Suponiendo que mi jefe quiere que le envíe un archivo .doc de forma segura utilizando gpg:

  • ¿Tiene que instalar gpg en su extremo y enviarme su clave (o certificado si su significado es el mismo)?
  • Con esta información, ¿debo cifrarla y firmarla (¿por qué?) con su certificado que supongo que es lo mismo que la clave pública (porque estoy encriptando)?
  • Una vez que lo cifre y se lo envié, ¿cómo lo descifra? ¿Cómo puede ver su clave privada en gpg?

como puedes ver, estoy en todas partes

por favor ayuda

gracias

    
pregunta RollRoll 09.08.2016 - 19:34
fuente

1 respuesta

7

En criptografía de clave pública , la clave suele ser un par de claves, que consiste en de una clave pública y una clave privada , y es lo que se hace con el cifrado, descifrado, firma y verificación con.

"Un certificado de clave es una afirmación de que una determinada clave pertenece a una determinada entidad" Lectura de PGP .

Para ilustrar lo que hace cada clave, y para ver un ejemplo de por qué uno cifraría y firmaría, considere Snowden (S) y Greenwald (G):

  • Cada uno de ellos crea su propio par de claves y publican sus respectivas claves públicas.

  • Supongamos (por ahora) que las claves públicas son confiables.

  • Diga que S quiere enviar un mensaje a G. Para hacerlo:

    • S busca la clave pública de G.
    • S cifra el mensaje usando la clave pública de G.
    • S firma el mensaje cifrado con su propia clave privada.

  • G recibe un mensaje firmado encriptado. El encabezado de correo electrónico no confiable dice que es de S.

    • G busca la clave pública de S.
    • G verifica la firma usando la clave pública de S. Ahora, G está convencido de que el mensaje es de S.
    • G descifra el mensaje usando su propia clave privada.

Tenga en cuenta que la firma y el cifrado se realizan con claves diferentes (mediante S). Sin la firma, G aún podría descifrarlo, pero no estaría convencido de que el mensaje sea realmente de S.

Todo el esquema se basa en el supuesto de que las claves públicas son confiables. De lo contrario, por ejemplo, el fantasma K podría publicar una clave con el nombre de G e interceptar el correo electrónico de G, de modo que cuando S envía el mensaje, K lo desencripta en lugar de G. Aquí es donde entran en juego los certificados de clave.

Sin embargo, sin embargo, sin embargo ! Toda esta criptografía de clave pública solo es útil para implementar una comunicación segura entre una parte confiable y una no confiable. Por ejemplo, desde el punto de vista de G, no confía en S en el momento en que S quiere enviarle un mensaje. Luego: criptografía de clave pública permite a G recibir mensajes cifrados solo para él de un remitente no confiable S .

Si no hay partes no confiables en su esquema, no hay necesidad de todo esto. En su lugar, usted y su jefe deben acordar una clave / frase de contraseña segura. Luego, podría cifrar el mensaje con el cifrado simétrico tradicional usando esa clave compartida con gpg --symmetric --armor , y podría descifrar con gpg --decrypt . Así es como se verían las líneas de comando. La GUI y la integración de GPG en los clientes de correo electrónico serían otro tema.

    
respondido por el Matei David 09.08.2016 - 20:15
fuente

Lea otras preguntas en las etiquetas

¿Por qué una contraseña generada de forma controlada es más segura que una generada de forma puramente aleatoria [duplicado] ¿Es seguro usar Kali Linux en un entorno corporativo?