Publicar una clave pública [duplicar]

Navega tus respuestas
0

Estoy empezando a utilizar el cifrado de correo electrónico con un par de claves (privadas y públicas). Hasta ahora y después de varios días de pruebas, he podido enviar un mensaje cifrado / firmado. Sin embargo, el destinatario me dijo "No puedo verificar la firma porque parece que no has publicado tu clave pública".

Este es, de hecho, el primer mensaje cifrado que he enviado en mi vida y no sé exactamente qué debo hacer para cumplir el requisito. Lo único en lo que puedo pensar es en publicar mi clave pública en un servidor de claves, pero no estoy seguro de que esta sea la solución.

    
pregunta JORGE 31.01.2017 - 21:27
fuente

2 respuestas

2

Supongo que estás usando PGP (como en, cualquier programa que implemente el estándar OpenPGP, como GnuPG ). Ese es el estándar de facto para el intercambio de correo electrónico cifrado o firmado entre personas que no están en la misma organización.

Cuando un correo electrónico tiene una firma válida, verificada contra una clave pública, eso prueba que el mensaje fue enviado por alguien que tiene la clave privada correspondiente a esta clave pública. Esta es solo la mitad de la batalla para saber quién envió el correo electrónico: la otra mitad es saber a quién pertenece la clave pública.

Si envía su clave pública a su interlocutor, pueden verificar que coincida con la clave utilizada para firmar el correo electrónico. Necesitas hacer eso. Puede enviarlo como un archivo adjunto a un correo electrónico, y el software de correo electrónico compatible con PGP a menudo tiene la opción de hacerlo conveniente (algo así como "adjuntar mi clave pública"). Si su software de correo electrónico no tiene esta opción, puede usar su software PGP para exportar su clave pública, por ejemplo, copie y pegue la salida de gpg --export [email protected] (sustituyendo [email protected] por el correo electrónico que utilizado en su clave).

Eso le permite a su corresponsal verificar la firma, pero puede o no satisfacer que usted sea quien dice ser. Para satisfacer eso, debe permitirles relacionar esa clave pública con lo que ya saben sobre usted. Por ejemplo, si tienen su número de teléfono, podría pedirles que lo llamen y luego comparar las huellas digitales de su clave pública: esta es una secuencia corta de dígitos y letras que es exclusiva de una clave pública. El software de PGP puede mostrar la huella digital de su clave (por ejemplo, gpg --fingerprint [email protected] ). Otro método es tener a alguien en el que ambos confíen en firmar su clave. Es decir, Charlie (un tipo en el que ambos confían) viene y verifica que la clave es suya (por cualquier medio), y luego usa PGP para emitir un "certificado" que dice "esta clave pertenece a Jorge". Estos certificados forman una web de confianza .

Puede cargar su clave en un servidor de claves por conveniencia, pero a menos que sea parte de una organización que usa un servidor de claves, eso no servirá de mucho. Poner una clave en un servidor de claves le permite a todos saber que “existe esta clave, y hay un reclamo de que la clave pertenece a Jorge”. Pero no prueba que la afirmación sea cierta: cualquiera puede cargar cualquier clave en el servidor de claves. Aún necesita una forma de relacionar la clave con alguna identidad suya, es decir, incluir su clave en una red de confianza.

    
respondido por el Gilles 01.02.2017 - 01:36
fuente
1

Ya que te refieres a los servidores clave, estoy adivinando de lo que estás hablando OpenPGP aquí. Sin embargo, tenga en cuenta que hay al menos un esquema de cifrado de correo electrónico más utilizado, a saber, S / MIME , pero no No utilice servidores clave, pero confía en terceros de confianza (Autoridades de certificado, CA).

En el lado de OpenPGP hay muchas implementaciones diferentes. En estos días, GnuPG es probablemente el más conocido (al menos en plataformas Unix).

Para cargar su clave en un servidor de claves, debe hacer lo siguiente:

1.) Averigüe su ID de clave: 

gpg --search [email protected]

La salida contendrá su ID de clave, que se verá así: B4B887C3479F3215

2.) Subir la clave a un servidor de claves (en este caso hkp://keys.gnupg.net ): 

gpg --keyserver hkp://keys.gnupg.net --send-keys B4B887C3479F3215

La mayoría de los servidores de claves públicos están interconectados y se sincronizarán, por lo que la carga de la clave en uno de ellos (GnuPG, MIT, etc.) debería ser suficiente.

Sugerencia para profesionales: Antes de cargar su clave y, por lo tanto, divulgarla públicamente, realmente debería comprender mejor OpenPGP. Algunos aspectos de su clave (caducidad de la clave, longitud de la clave, subclaves, etc.) no se pueden cambiar fácilmente más adelante, por lo que es importante tomar la decisión correcta ahora. De lo contrario, terminarás con un montón de claves, que en general confunden mucho a la gente.

    
respondido por el Karol Babioch 01.02.2017 - 00:22
fuente

Lea otras preguntas en las etiquetas

Efecto de la velocidad de Internet en la seguridad de la aplicación web [cerrado] ¿El encabezado HTTP X-XSS-Protection está relacionado con el filtro anti-XSS en el navegador?