Professional Documents
Culture Documents
¿Por qué necesita usted un curso sobre PGP? A fin de cuentas, hay manuales
y archivos de ayuda. Pero la experiencia muestra que las cosas no son tan
sencillas. Cuando un "newbie" (novato) descubre un nuevo programa, uno de
sus primeros problemas consiste en averiguar cómo funciona. Los archivos de
ayuda no solucionan todos los problemas ni entran en profundidad en
conceptos. Y el manual que acompaña al programa puede resultar, con sus
trescientas páginas, digamos amenazador. La mayoría de los textos de
aprendizaje están en inglés, y esto incluye los manuales que acompañan el
programa.
Bienvenidos por tanto a este Curso sencillo sobre PGP. Es un Curso porque
requiere ir algo más allá de un telegráfico "PGP, programa de cifrado, bueno,
yo Tarzán, tú Chita"; sencillo porque estará enfocado al usuario con nociones
escasas -o nulas- sobre criptografía, si bien intentaré dejar algunas referencias
para los apetitos insaciables; sobre PGP, porque es éste uno de los programas
más conocidos sobre cifrado de datos, hasta tal punto que resultó poco menos
que revolucionario en su momento.
Este Curso vio la luz gracias a los esfuerzos de Arturo Quirantes (Taller de
Criptografía) y Jesús Sanz de las Heras (RedIris). La verdad es que no
teníamos ni idea de en qué nos metíamos, pero pensamos que el que no se
arriesga no cruza la mar. Así que durante los meses de Junio y Julio de 2.000
los miembros de RedIris fueron invitados al primer curso de PGP interactivo. El
lector interesado en obtener más referencias puede ver su estructura y
resultados aquí:
No solamente sobrevivimos a la primera edición del curso, sino que todo fue
mejor de lo esperado. La cifra de asistentes virtuales (más de novecientos) no
fue obstáculo para que las clases se desarrollasen sin ningún inconveniente.
Solamente un grupo de alumnos tuvo algún problema con su conexión a
Internet, que logramos subsanar. Por cierto, no sé cómo, pero el Curso sencillo
de PGP (primera edición) traspasó las fronteras de RedIris, extendiéndose a
particulares y empresas externas, y llegando a lugares tan dispares como Cuba
o la Armada norteamericana (¿cómo llegó el curso desde RedIris a un dominio
navy.mil? Misterios del ciberespacio).
*-*-------
PGP utiliza dos formas diferente de clave pública: RSA (con función hash MD5)
y Diffie-Hellman (con función hash SHA-1), con longitud de clave de hasta 2048
(RSA) o 4096 (DH) bits. Los algoritmos de clave simétrica que puede utilizar
son: CAST (predeterminado), IDEA y TripleDES. Para obtener claves públicas,
PGP puede conectarse y buscar en diversos "depósitos" llamados servidores
de claves. Siempre que el usuario desee descifrar o firmar un mensaje, deberá
introducir una frase de contraseña; dicha frase de contraseña protege el
archivo de claves privadas, y proporciona a éstas una protección adicional.
3.2 - Presentación informal
Y ahora vamos a relajarnos un poco y a tomárnoslo con tranquilidad ... al
menos aquellos de ustedes que no hayan huido espantados de la parafernalia
técnica del apartado anterior. Antes de meternos en el programa en sí,
desearía compartir con ustedes una pequeña historia, no sólo porque la
considero interesante sino porque nos deja entrever la propia historia reciente
de la criptografía. Si a usted, lector, no le interesa, pues pase al siguiente
apartado, y tan amigos.
Windows 95/98/NT/2000;
http://www.pgpi.org/products/pgp/versions/freeware/windows/6.5.8/
MacOS: ftp://ftp.es.pgpi.org/pub/pgp/6.5/6.5.8/PGPFW658Mac.sit.bin
UNIX/Linux:
http://www.pgpi.org/products/pgp/versions/freeware/unix/6.5.8/
Las tres opciones restantes son utilidades [plug-ins] para facilitar el uso de PGP
en los principales programas de correo electrónico: Eudora (Light/Pro),
Microsoft Exchange/Outlook y Microsoft Outlook Express. Si desea vd. utilizar
un programa de correo electrónico distinto, probablemente haya un plug-in para
usted. Deberá descargarlo e instalarlo. En caso se duda, consulte a su
proveedor de software o al fabricante de su programa de correo
Y ahora, la pregunta del millón: ¿clave RSA o Diffie-Hellman? Las claves tipo
RSA fueron usadas por las primeras versiones de PGP, hasta la 2.6.3. Al pasar
a Windows, se comenzó a usar un nuevo tipo: Diffie-Hellman. Ambos tipos de
claves son buenos. Se tiende ahora a usar las D-H, aunque muchos usuarios
siguen fieles a las de viejo cuño. Las claves RSA se usan todavía, por ejemplo,
para comunicaciones que utilizan PGP en combinación con repetidores
anónimos de correo [remailers], así como en otros protocolos (OpenPGP, SSL).
Mi recomendación es que prueba para empezar con las Diffie-Hellman. Y
recuerde, puede usted crear tantos pares de claves como desee, de modo que
nada le impide tener un par de claves de cada clase.
Nota. En PGP 7.0, las claves RSA creadas con versiones anteriores aparecen
rotuladas como RSA Legacy Key
Las claves RSA se pueden elegir con longitudes de entre 1024 y 2048 bits; las
Diffie-Hellman, entre 1024 y 4096 bits. En ambos casos, recomiendo elegir un
tamaño de 2048 bits. Como hemos elegido las D-H, aparecerá algo del tipo
"2048 Diffie-Hellman/1024 DSS" Esto se debe a que las claves D-H realmente
se componen de dos sub-claves, una para cifrar (con clave de 2048 en nuestro
caso) y otra para firmar (1024 bits). Suena algo complicado, pero no es nada
que deba quitarnos el sueño.
Siguiente punto: elegir la fecha de caducidad de la clave. Esto resulta muy útil
cuando, por las razones que sean, se desea que una clave solamente pueda
ser usada en un intervalo de tiempo finito. Nosotros elegiremos claves que no
caduquen (Key par never expires). Luego, algo muy importante: una frase de
contraseña. Esta contraseña protegerá sus claves privadas (estrictamente
hablando, la contraseña sirve para cifrar dicha clave mediante un algoritmo
simétrico), así que hay que elegirla con cuidado. Use una contraseña lo
bastante larga para que no se pueda obtener mediante un ataque de "fuerza
bruta" (probando todas las claves posibles), que sea sencilla de recordar y no
resulte fácil de adivinar. Si la barra de "passphrase quality" no se llena, es que
la contraseña no es lo bastante larga.
Presto, la comida está servida. Aparece por primera vez ante sus ojos el
programa PGPkeys. Este es el alma de PGP. Pero antes de lanzarnos a saco
sobre él, vamos a examinar nuestra clave recién creada.
Subkeys (subclaves) Sólo para claves D-H. ¿Recuerdan que este tipo
de claves consta de dos sub-claves, una de cifrado y una de firma? Pues
esta sub-clave es la de cifrado. Esto permite modificar, borrar o crear la
subclave de cifrado sin necesidad de crear una clave nueva para firmar.
Es decir, mantenemos las características esenciales de nuestra clave
(ID, huella, etc) incluso si nos vemos en la necesidad de cambiar la
clave de cifrado.
Como ve, hemos revisado de una tacada ambos tipos de claves. Si quiere
usted crear una clave RSA para familiarizarse también con esa clase de claves,
y para ver las diferencias, no tiene más que ir a PGPkeys/Keys/New Key y
seguir los mismos pasos que cuando creó su primera clave.
Nota. Los usuarios de PGP versión 7.0 solamente advertirán las diferencias
entre los formatos RSA y D-H cuando abran una clave RSA creada con una
versión anterior del programa, en cuyo caso aparecerá como RSA legacy key.
Las claves RSA creadas con PGP 7.0 tienen el mismo formato que las D-H,
incluyendo subclaves.
http://www.cripto.es/expedien/hisparch/pgpifaq.htm (Stale
Schumacher, traducción de A. Quirantes) Preguntas frecuentes sobre
las versiones "internacionales" de PGP
ftp://ftp.es.pgpi.org/pub/pgp/5.5/docs/spanish/pgp553i-macintosh-
spanish.pdf (Carlos Lamas)Manual de PGP en castellano, versión
5.5.3i para Mac.
http://www.cripto.es/expedien/hisparch/man553pd.zip (A. Quirantes
y J. M. Velazque) Manual de PGP en castellano, versión 5.5.3i para
Windows.
http://www.cripto.es/informes/info006.htm (A. Quirantes) PGP 5.5.3i
(Windows)
http://www.cripto.es/informes/info008.htm (A. Quirantes) PGP 6.0
(Windows)
http://www.cripto.es/informes/info015.htm (A. Quirantes) PGP 6.5.1i
(Windows)
Nota: para los usuarios de PGP 7.0, las refencias específicas a claves
RSA se entenderán hechas a las creadas con versiones anteriores del
programa (las llamadas "RSA Legacy Keys"). En lo demás, no hay
diferencias entre los formatos RSA y DH en PGP 7.0
Las casillas Cifrar, firmar nuevos mensajes por defecto (Encrypt, Sign new
messages by default) se explica por sí sola: automatiza el proceso de cifrado
y de firmado, esto es, cualquier mensaje que envíe será cifrado y firmado de
forma predeterminada. Como no siempre va a cifrar los mensajes o a firmarlos,
no hace falta activarlas ... al menos, por ahora. En cuanto a la casilla
Descifrar/verificar automáticamente al abrir mensajes (Automatically
decrypt/verify when opening messages), es asimismo evidente: pasa
automáticamente a descifrar el mensaje, o a verificar la firma, sin esperar a que
usted lo ordene. Por supuesto, para descifrar se le pedirá la contraseña, a no
ser que haya activado la opción de guardar contraseña en caché tal como se
explicó para la pestaña anterior.
Más ajuste fino. Si una clave está firmada por una sola persona con confianza
marginal, se supone que la validez es marginal, y así aparece si hemos
activado la casilla "mostrar nivel de validez marginal" mencionada
anteriormente Pero si esta casilla no está activada, ¿cómo aparece la bola de
la columna "validity", gris o verde? O, dicho de otra manera, ¿aceptamos la
clave como válida o no? Activando la casilla tratar claves de validez marginal
como no válidas (treat marginally valid keys as invalid) la respuesta es
negativa; harán falta al menos dos personas de confianza marginal para que
una clave quede marcada como válida.
Si está activada la casilla avisar cuando se cifra a claves con una ADK
(Warn when encrypting keys with an ADK), el programa nos avisa cuando
ciframos un mensaje a un destinatario cuya clave tiene una ADK asociada (ya
hemos visto ese concepto antes). Esta opción es recomendable porque el
remitente tiene derecho a saber si existe dicha ADK, esto es, si el mensaje
puede en principio ser descifrado por alguien más.
Por último, una opción importante a efectos de compatibilidad. PGP versión 5.x
y anteriores no tienen opciones tales como fotografías o certificados X.509 en
las claves. Por tanto, si exporta su clave puede que un usuario de versiones
anteriores a la 6.0 no pueda importarla en su archivo de claves. Para mantener
la compatibilidad, y permitir que usuarios de versiones antiguas y modernas
pueda intercambiarse claves, es conveniente activar la opción de formato de
exportación Compatible. Si escoge el formato Completo (Complete), su clave
incluirá fotos y certificados, pero un usuario de digamos la opción 5.5 no podrá
usar dicha clave para enviarle mensajes a usted. Recomiendo exportar claves
en formato compatible. A fin de cuentas, los certificados X.509 aún no se usan
en PGP ... y la opción de incluir una fotografía con la clave, en mi opinión, no
sirve más que para aumentar el tamaño del archivo de claves. Aunque si quiere
usted mostrar su belleza al mundo, no seré yo quien se lo censure.
Para empezar, lo primero que hay que hacer es una copia de ambos archivos
de claves (llámelos, por ejemplo, secringr.skr y pubringr.pkr). Adopte éstos
como sus archivos de claves en el menú Options/Files. A continuación, pinche
sobre el ratón en la clave a revocar y elija Keys/Revoke (también vale usar el
botón derecho del ratón). Tras un (sabio) aviso sobre si sabemos lo que vamos
a hacer (respuesta: sí), se pedirá la contraseña. Y listo, la suerte está echada.
Ahora su clave aparece en PGPkeys con letra cursiva, y el icono de llave que
había a la izquierda tiene ahora una x roja.
Y ahora, vuelva a dejar PGP como antes. Es decir, sustituya los archivos
secring.skr y pubring.pkr de PGP por la copia que vd. hizo de esos archivos
antes de la revocación. Y ahora, intente revocar una clave que no sea suya.
Como ve, no es posible. Solamente se pueden revocar las claves propias. Y
otra cosa: no es necesario perder el control de una clave para querer revocarla.
Puede que simplemente deseemos usar otra clave.
4.4 - Modificando claves
Vamos a "jugar" con nuestra clave privada. Ponga el ratón sobre la primera
línea de la clave, y presione el botón derecho del ratón. Lo primero que vemos
son los comandos Copiar (Copy) y Pegar (Paste), típicos de cualquier
aplicación Windows. Después, la de Borrar (Delete). No se la recomiendo ... a
no ser que se haya cansado de la criptografía de clave pública. A continuación,
algo interesante: firmar (sign). Como recordará el atento lector, firmar una
clave implica dar validez a ésta. No podemos validar nuestra propia clave (de
hecho, ya está firmada), así que haga la prueba de firmar una clave cualquier.
Pinche sobre cualquier otra clave y escoja la opción de firmar.
Aparece entonces una ventana PGP sign key. En la parte superior hay un
mensaje recordándonos que, al firmar, certificamos que la clave que firmamos
realmente pertenece al usuario que aparecen en el User ID. Luego aparece
una casilla que dice "permitir que la firma sea exportable. Otros podrán así
fiarse de la firma de usted" (Allow signature to be exported. Others may rely
upon your signature). Si no activamos dicha casilla, la firma será no-exportable.
Esto significa que si usted exporta posteriormente dicha clave (en forma de
archivo, o enviándola a un servidor de claves), la firma no aparece. Es decir, la
firma que vd. acaba de hacer no sale de PGPkeys. Existen algunas
circunstancias en las que esto resulta aconsejable, pero lo habitual es hacer la
firma exportable. De ese modo, la "red de confianza" se va tejiendo y quien
confíe en usted aceptará la firma en una clave, dando por tanto dicha clave por
válida. Le recomiendo que firme siempre con firma exportable.
Sigamos con la ventana PGP sign key En la parte inferior izquierda hay un
botón que reza Más opciones (More choices) Aparece aquí un ente nuevo: el
"meta-presentador" (meta-introducer). Esto suena raro, pero la idea subyacente
es sencilla. Recordemos que podemos otorgar validez y confianza a una clave.
Cuando firmamos una clave (o cuando ésta contiene la firma de alguien de
confianza), solamente la estamos validando. Para darle confianza, hemos de
fijársela "a mano" (Key Properties/Trust Model/ Trusted-Marginal-Untrusted).
Un meta-presentador es, por definición, alguien de confianza absoluta, de
manera que cualquier clave firmada por él será automáticamente considerada
como válida por nosotros. Puede probarlo firmando con firma Meta-
Presentadora (exportable o no) la clave denominada "Network Associates TNS
Division Employee Certification Key" (puede tener un nombre ligeramente
diferente, si usa usted PGP 7.0). De repente, casi todas las claves aparecen
como válidas. Son aquellas que han sido firmadas con la clave"Network...etc"
Abra cualquiera de dichas claves (Edit/Expand Selection) y podrá comprobarlo.
Igual que con las firmas sencillas, que podían ser exportadas o no, los meta-
presentadores podemos establecerlos de "puertas adentro" (Meta-Introducer
Non-Exportable) o de "puertas afuera" (Trusted Introducer Exportable). Para
simplificar, firmar una clave como meta-presentador es como firmar esa clave
y, a continuación, otorgarle confianza máxima. Con una diferencia: en ese
último caso podemos "ajustar" el nivel de confianza deseado (total, marginal o
nulo), en tanto que un meta-presentador es siempre de confianza total. Si le
parece complicado, simplemente olvídese de ellos y limítese a establecer la
confianza del modo tradicional: mediante el menú de propiedades de clave
(Key/Properties).
Esto resulta útil para aquellos usuarios que confíen tanto en otro como para
depositar la prueba máxima de confianza: la capacidad de desactivar una clave
permanentemente. Como entregarle un poder notarial, vamos. Personalmente,
prefiero no otorgar tales poderes a nadie. A fin de cuentas, revocar una clave
no es algo que precise usted hacer todos los días ... y recuerde que no se le
puede "quitar los poderes" a un revocador. Esta opción, como la de meta-
presentador, puede ser útil en entornos corporativos, donde un "maestro
cerrajero" ha de tener poder reparar los desaguisados hechos por los usuarios.
A nivel de usuario, basta con convertirnos en nuestros propios revocadores y,
si llega lo peor, "rematar" nuestra clave nosotros mismos con la orden Revocar
(Revoke).
Por cierto, como habrá podido comprobar, cualquier adición a nuestra clave
requiere de la contraseña, ya que esos privilegios no están autorizados a nadie
más. Usted no podrá añadir nada a una clave pública que no le pertenezca.
Pruebe y verá.
También podemos hacer algo que suena demoledor: dehabilitar una clave
(Disable). La idea es la siguiente. Si usted cifra un mensaje de correo
electrónico, aparecerán todas las claves públicas en una pantalla para elegir
una, y esto puede resultar engorroso si vd. ha acumulado muchas de ellas.
Puede borrar algunas de ellas, pero a lo mejor no desea desprenderse de ellas,
no vaya a necesitarlas en el futuro. La solución es la deshabilitación. Al
deshabilitar una clave se está diciendo al programa que no la tenga en cuenta
a la hora de cifrar, de manera que no tendremos que tenerla en cuenta cuando
cifremos mensajes. De todos modos sigue estando en nuestro archivo de
claves y apareciendo en la ventana PGPkeys (aunque en letra cursiva, para
distinguirla de las demás).
Pero el resto es cosa del siguiente capítulo. Mientras tanto, abra PGPkeys y
familiarícese con él. Firme, revoque, añada IDs de usuario ... pero no lo haga
como una obligación. Tómeselo con calma. Vaya a su propio ritmo,
familiarizándose con el esquema de administración de PGP. Y sobre todo,
disfrute con ello.
Esta vez voy a incluir algunos "deberes". No son obligatorios, y nadie tendrá
que repetir curso si suspende. Hace algún tiempo redacté un pequeño Informe
donde intento aclarar los conceptos de confianza y validez. Cuenta con la
participación estelar del señor Sherlock Holmes, su ayudante doctor Watson y
demás personajes salidos de la pluma de Conan Doyle. Se incluye un
archivo .zip con diversos archivos de claves públicas y privadas, para que
pueda usted "trastear" por su cuenta:
Segundo paso: hacer que el mundo de los usuarios de PGP se entere de que
usted existe. Para eso hay que diseminar su clave. Existen tres formas
fundamentales de hacerlo. En primer lugar, puede exportar su clave
(Keys/Export) y convertirla en un archivo .asc, para posteriormente publicarla
en una página web, o bien entregarla en mano dentro de un disquete. En
segundo lugar, puede enviarla por correo electrónico, sea como archivo adjunto
(attachment), sea en el cuerpo del mensaje (copiar+pegar, por ejemplo). Como
ejemplo de lo primero, puede usted echar un vistazo a mi página de claves
http://www.cripto.es/claves.htm, o simplemente obtener mi clave habitual en la
dirección http://www.cripto.es/aqscladh.asc.
Ahora vamos a ponernos en el lugar del remitente. ¿Qué debe hacer usted si
desea enviar un correo cifrado a otra persona? En primer lugar, obtener la
clave de dicha persona. Si no es usuario de PGP, hemos acabado antes de
empezar. Pero si lo es, y ha publicado su clave en un servidor, no hay más que
usarlo. Para ello, use el menú Server/Search y preparémonos para buscar.
Puede cambiar el servidor de claves para la búsqueda, o bien buscar en su
propio archivo de claves (local keyring). Puede usar muchos criterios de
búsqueda, pero los más útiles son los dos primeros: ID de usuario (es decir, el
nombre y dirección email) e ID de clave.
También nos queda, por supuesto, la opción de pedir la clave a su dueño via
correo electrónico. Esto puede hacerse cuando nos consta que usa PGP pero
por el motivo que sea ha decidido no publicar su clave en un servidor ... o bien
nosotros somos demasiado torpes para encontrarla.
En tercer lugar, veamos una forma de extender las ventajas del cifrado a
alguien que NO use PGP ni ningún otro tipo de cifrado. Incluso usando el
cifrado convencional, el destinatario tendrá que tener una copia de PGP para
descifrar el mensaje. ¿Pero y si no la tiene? Pues en ese caso hay una forma
alternativa de descifrar el mensaje. Para eso, al cifrar, hay que usar la opción
de Archivo Auto-Descifrable (Self-Decrypting Archive, o SDA). Al cifrar
mediante las opciones Cifrado Convencional y SDA se creará un archivo
ejecutable .exe. El destinatario no tendrá más que ejecutar dicho programa
(desde una ventana de MS-DOS) e introducir la contraseña. Tenga presente
que un archivo SDA es mucho más voluminoso que uno cifrado sin dicha
opción, ya que deberá incluir información sobre el algoritmo de descifrado. La
opción SDA no funciona cuando queremos cifrar y firmar simultáneamente.
Mensaje original:
Muy señor mío:
Por la presente, deseo agradecerle su información referente a la próxima OPA de Zardoya Otis
sobre Telefónica y Repsol. Si observa usted que alguien compra acciones de estas empresas con
mi nombre no haga ningún caso, es evidentemente pura casualidad.
Por cierto, ha aparecido en la puerta de mi casa un Mercedes nuevo con los papeles a su nombre.
¿Desea que se lo envíe, o manda usted a recogerlo?
Saludos cordiales.
Por la presente, deseo agradecerle su información referente a la próxima OPA de Zardoya Otis
sobre Telefónica y Repsol. Si observa usted que alguien compra acciones de estas empresas con
mi nombre no haga ningún caso, es evidentemente pura casualidad.
Por cierto, ha aparecido en la puerta de mi casa un Mercedes nuevo con los papeles a su nombre.
¿Desea que se lo envíe, o manda usted a recogerlo?
Saludos cordiales.
iQA/AwUBO/uGwdPjg85OIDHsEQJarwCg/ciYl4P8lb5TH9T0CSnSue+8eDYAnAzl
AVTwns8rfWL1wU+9ta7mMrQp
=GdYO
-----END PGP SIGNATURE-----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=fMPo
-----END PGP MESSAGE-----
5.3 - Descifrando y verificando mensajes
Para descifrar mensajes y/o verificar firmas, los programas de correo
electrónico anteriormente mencionados nos lo ponen fácil. Verá iconos que
permiten dicho descifrado (previa contraseña, por supuesto) y verificación.
Cuando se da a la operación de verificación, aparecen varias líneas en el
mensaje. La primera da el estado de la firma (PGP Signature Status): buena,
inválida, mala o desconocida. Si el mensaje anterior fuese verificado,
aparecería transformado como:
Por la presente, deseo agradecerle su información referente a la próxima OPA de Zardoya Otis
sobre Telefónica y Repsol. Si observa usted que alguien compra acciones de estas empresas con
mi nombre no haga ningún caso, es evidentemente pura casualidad.
Por cierto, ha aparecido en la puerta de mi casa un Mercedes nuevo con los papeles a su nombre.
¿Desea que se lo envíe, o manda usted a recogerlo?
Saludos cordiales.
Una cosa ha de quedar muy clara. Una firma inválida NO implica manipulación
del mensaje o de la firma. Si la firma ha sido verificada correctamente,
aparecerán el mensaje bueno (good) siempre que la clave usada para firmar
ha sido validada por nosotros (es decir, cuando tenemos certeza sobre su
origen). Si no es así, la firma saldrá como inválida (invalid). Y si no tenemos la
clave pública del firmante, saldrá un aviso de verificación desconocida
(unknown). Solamente la firma mala (bad) indica una verificación inadecuada.
Así que no hay que echarse las manos a la cabeza tras la primera verificación
"inválida". La invalidez se refiere a la clave usada para firmar. Pero, con
independencia de su procedencia o de si conocemos a su dueño, siempre se
puede verificar una firma hecha con una clave dada, válida o no.
El CUARTO ICONO simplemente combina las funciones de los otros dos (cifrar
y firmar). El QUINTO ICONO nos permite verificar o descifrar. En el ejemplo
anterior, usar el icono Decrypt/Verify sobre el archivo prueba.xyz.sig
comprueba la firma del archivo prueba.xyz (si éste se halla en un directorio
diferente, se le preguntará por su ubicación). Aparecerá entonces una ventana
PGPlog donde se dará información sobre la clave usada para la firma, y sobre
el resultado de la verificación. Si ésta ha sido positiva, aparecerá en la parte
izquierda un icono en forma de lápiz. De lo contrario (si, por ejemplo, el archivo
ha sido alterado), dicho lápiz vendrá cruzado por una línea roja, indicativo de
que algo no va bien.
El SEXTO ICONO da cuenta de una opción muy útil: el borrado seguro (Wipe).
Como ya vimos, borrar un archivo o enviarlo a la papelera de reciclaje
simplemente ordena al sistema operativo que utilice ese espacio de disco duro
cuando lo precise, pero no sobreescribe realmente ese espacio hasta que haga
falta. La opción Wipe (machacar despiadadamente) permite borrar realmente
un archivo, por el procedimiento de sobreescribirlo varias veces con un
conjunto de caracteres adecuado (idealmente, patrones aleatorios). El número
de pasadas es el que indicamos en su momento en la casilla correspondiente
(PGPkeys/Edit/Options/General/File Wiping/Number of passes); si activamos la
opción Avisar antes de sobreescribir (Warn before wiping), PGP tendrá la
gentileza de avisarnos antes de machacar un archivo. Esta opción suena tonta,
pero nos permite volvernos atrás, lo que es muy útil si hemos elegido el archivo
equivocado.
En cuanto al último, el SÉPTIMO ICONO (Freespace Wiping), permite
sobreescribir la información que pueda quedar en el espacio libre del disco
duro. Según la ventana de instrucciones, también se incluye en este borrado
seguro la eliminación de los archivos ya borrados, sus entradas en directorios e
incluso el espacio residual que queda al final de un archivo [slack space].
En cualquier caso, está ya más que preparado para usar PGP habitualmente.
Descubrirá que, a fin de cuentas, se convierte en una opción más a la hora de
componer un mensaje de correo electrónico. Cifrar es algo menos común,
porque no todos los destinatarios de sus mensajes usarán PGP. Pero es muy
fácil acostumbrarse a firmar. En cualquier caso, el curso puede acabar aquí.