Firma de claves públicas

Hoy vamos a aprender a importar,exportar y a firmar claves públicas para ellos procederemos con los siguientes pasos

1º El primer paso de todos es exportar nuestra clave pública para ello ejecutaremos el siguiente comando

Con el comando gpg --list-keys obtenemos un listado con todas las claves públicas que disponemos cogeremos las nuestra en este caso Alvaro Garcia Garcia y a continuación la exportaremos para ello escribiremos el siguiente comando

Si todo a salido correctamente en nuestra carpeta de descargas aparecerá el archivo que hemos exportado

El siguiente paso es el de importar una clave pública que hemos obtenido de un foro para ello procederemos con la siguiente serie de comandos.

Con este comando lo que conseguimos es importar esta clave de la carpeta de descargas a nuestro anillo de llaves.

Para comprobar que esta clave pública es legítima tendremos que pasar por varios pasos
En primer lugar lo que haremos será editar la clave para ello escribiremos la siguiente secuencia.

Como podemos apreciar en la imagen observamos que pone que la confianza es desconocida con lo que no sabemos si es no la clave verdadera

Para comprobarlo haremos lo siguiente ya dentro de gpg escribiremos el siguiente comando

Lo que hemos conseguido con este comando es ver la huella digital de la clave pública ahora lo que tendríamos que hacer es de forma personal o por teléfono comprobar que la huella es correcta y no ha sido modificada o manipulada por agentes externos una vez hecho esto solo nos queda firmarla dándole credibilidad y confirmando así su veracidad para ello escribiremos lo siguiente.

Con el comando sign lo que hacemos es firmar como que estamos de acuerdo que la clave es segura para su uso

Una vez que introduzcamos el comando nos pedirá confirmación de que si queremos firmar o no si le damos a sí "s" nos pedirá una contraseña. Y ya esta ya tenemos nuestra clave pública firmada como que es legítima.

Criptosistemas híbridos

DIAGRAMA DE CIFRADO DE UN CRIPTOSISTEMA HÍBRIDO

DIAGRAMA DE DESCIFRADO DE UN CRIPTOSISTEMA HÍBRIDO

En la primera parte vemos un diagrama en el que podemos observar como se cifra un documento o fichero mediante criptosistemas híbridos.

En este segundo apartado explicaremos la acción inversa es decir como descifrarlo.

1. Recibimos el fichero que contiene en su interior un mensaje cifrado simétricamente con la clave de sesión y una clave de sesión cifrada asimétricamente
2. Mediante nuestra clave privada desciframos la clave de sesión
3. Con la clave de sesión obtenida anteriormente podemos descifrar el el mensaje que originalmente se cifró con la clave.

Gracias a este sistema lo que conseguimos es reducir significativamente el peso del documento o fichero ya que si lo cifrásemos únicamente mediante un criptosistema asimétrico su transporte sería muy lento y no sería asequible.

Comprobación de redundancia ciclica

En esta ocasión vamos a aprender como podemos verificar si un archivo que hemos recibido a sido manipulado o no se ha recibido correctamente porque se a dañado, para ello dispondremos de una herramienta o bien a través de una pág online. En este caso usaremos la web

 http://www.fileformat.info/tool/hash.htm

En esta web podemos subir un archivo y comprobar su redundancia cíclica de este modo podremos verificar si en verdad está intacto o a sido manipulado o esta corrupto. Bueno ya dejándome de tanta palabrería vamos a verlo con un ejemplo.

Hemos recibido esta fotografía y nos han dicho que su redundancia es la siguiente:

Mediante la pág que os he proporcionado anteriormente comprobamos su redundancia y vemos que no coincide  ya que la redundancia resultante de este proceso es la siguiente hex: 25c99920 Como podemos observar no es la misma redundancia que la que nos han mandado con lo que podemos deducir 2 cosas:

• En primer lugar podríamos pensar que el archivo esta corrupto es decir mal descargado.
• En segundo lugar podría ser que la foto hubiera sido retocada modificada y por tanto la redundancia no se correspondería al no ser el archivo original.

Bueno os diré que este archivo ha sido modificado y para demostrarlo lo veremos a continuación.

El punto que se observa arriba en la esquina izquierda de la imagen es suficiente para que la redundancia cambie por tanto con esto sabríamos con seguridad si el archivo o en este caso nuestra foto es la original o no.

Ahora supongamos que vamos a descargar el programa Gpg4win y queremos comprobar que realmente es dicho programa lo que nos vamos a bajar y no otro. En primer lugar nos vamos a la página web http://www.gpg4win.org/download.html que es donde lo descargaremos y en la misma podemos observar que la propia página nos proporciona una redundancia solo que en este caso no es CRC32 si no que es SHA-1 en este caso es 6FE64E06950561F2183CAACE409F42BE0A45ABDF. Una vez hemos descargado este programa necesitamos otro programa para comprobar que la redundancia es la misma y por ello el archivo es verdadero que no ha sido modificado ni que esta corrupto. Para ello descargaremos de esta página http://www.implbits.com/HashTab/HashTabWindows.aspx el programa hashtab. Una vez lo hemos instalado simplemente abrimos el archivo que sea con el botón derecho del ratón y nos vamos a propiedades, y dentro de propiedades nos aparecerá algo así.

Pues simplemente donde pone comprobación del Hash copiamos el SHA-1 que nos proporciona la página web y lo pegamos le damos a comprobar y si es correcto lo verificará con un tick y si no es correcto también nos lo indicará.