Actualización de claves GPG

He actualizado mi clave GPG. La anterior ya tenía un tiempo y además creo que venía bien generar una un poco más fuerte, así que nos hemos ido hasta 4096 bits (y porque no nos quedaban más, oiga).

GnuPG

Cómo usar GPG y porqué hacerlo es algo sobre lo que hablé en este blog hace mucho tiempo.

Aunque el tutorial que yo hice se ha demostrado completamente válido a día de hoy, buscando algo de info actualizada encontré algunos enlaces interesantes, como el de Ekaia.org donde nos ayudan a tunear nuestro gpg.conf para que use por defecto algoritmos de la familia SHA-2(*) y algunos que me pasó Iván cuando hablé con él (Strong keys en GAG.com, migrar de SHA-1 a SHA-2 en GPG, y uno más viejo pero aún aprovechable sobre cómo usar sub-keys en GPG.

He revocado mi vieja clave así que para enviarme correo cifrado os recomiendo que bajéis la nueva clave pública.

===
(*) Para hacer esto abrimos nuestro archivo «~/.gnupg/gpg.conf» con cualquier editor de texto y añadimos al final estas tres líneas… (lo que aquí aparecen como la 3ª y 4ª línea va en una única línea en gpg.conf)

personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

Doctor en Química laser especializado en desarrollo de hardware para análisis. Consultor y Project Manager. Autor de los libros publicados La sociedad de control y La neutralidad de la Red.

3 Comments

  1. Dónde vas con 4096 bits…

    Por cierto, las claves se han de revocar sólo si se estiman comprometidas. Salvo que hayas perdido un portátil con una copia de la clave privada en él, no veo razón para revocar una clave de 2048 bits.

    Yo tengo una desde el 99 con 1024/2048 bits (DSA/ElGamal) y ya me parece matar moscas a cañonazos: los intentos en factorizar números grandes como mucho avanzan 5 o 6 bits por año. Aún les queda…

    El panfletillo recomendando cifrar el correo se ha quedado un tanto desfasado. No porque sea incorrecto, sino porque modernamente a “los malos” no les interesa tanto el contenido de lo que envías, como A QUIÉN se lo envías. Esto es, les sobra con mapear tu red.

    Lo suyo en un sistema de correo donde tanto el contenido como el remitente y receptor viajaran cifrados, protegidos por varias capas de cifrado de clave pública, y a través una red de servidores fiables que sólo conocieran el nodo del que reciben el mensaje y al que se lo envían. Creo que había algo así en proyecto llamado “onion” (cebolla), pero no estoy ahora muy seguro.

    • Bueno, mi vieja clave no ha sido comprometida. La revoqué porque no iba a seguir usándola… supongo que no afiné la respuesta precisa.

      Entiendo que la red es un factor importante: a quién se lo envías, a qué horas, con qué frecuencia. Dame los logs de comunicaciones de un grupo de gente y te diré «quién es quién». Hace años que el gran hermano ya no abre el correo porque no le hace falta, ahí tienes razón… sin embargo, creo que aún vale la pena cifrar el correo.

      El sistema que propones es interesante, pero si GPG ya fue complicado de extender en su día porque no era «user friendly», ya de un sistema así, a no ser que sea absolutamente transparente para el usuario, ni hablamos…

    • El «encaminamiento de cebolla» es usado por Tor y otros sistemas similares de transferencia anónima de información. Usando Mutt me enteré de la existencia de los «mixmasters» y otros sistemas de envío anómimo de correo (los «remailers»), que funcionan de forma similar y creo que están diseñados para lo que comentas (aunque nunca los he llegado a usar). Hay más info en la Wikipedia.

Submit a comment