Differences

This shows you the differences between two versions of the page.

--- informatica:linux:claves_gpg [2009/12/17 15:24] – 87.221.36.107
+++ informatica:linux:claves_gpg [2023/11/30 14:04] (current) – jose
@@ Line 5: / Line 5: @@
 Para operar con las claves, instalar gunpg:
-  aptitude install gnupg
+  sudo aptitude install gnupg
@@ Line 136: / Line 137: @@
 Como dice el texto, es necesario generar actividad en el pc (mover el ratón, navegar por internet...). Puede tardar varios minutos.
+*Truco*
+<code>
+sudo aptitude install rng-tools
+sudo vim /etc/default/rng-tools
+</code>
+Dejar la siguiente linea:
+  HRNGDEVICE=/dev/urandom
+  sudo /etc/init.d/rng-tools start
 Al crear nuestra clave, se ha creado el siguiente directorio:
@@ Line 151: / Line 165: @@
 -rw------- 1 mi_usuario mi_usuario 1280 abr 22 12:55 trustdb.gpg
 </code>
 ==== Listar claves instaladas ====
@@ Line 168: / Line 181: @@
 El id a retener es '12345678'
+Para listar las claves privadas (en vez de pub pone sec)
+  gpg --list-secret-keys
+  sec   1024D/12345678 2008-03-20
+  uid                  Nombre Apellisdo <cuenta@correo.com>
+  ssb   2048g/12345678 2008-03-20
@@ Line 195: / Line 216: @@
+==== Revocar Clave del Servidor ====
+Si una clave vamos a dejar de usarla, hay que revocarla.
+Para revocarla, tenemos que crear un certificado de revocación y luego subirlo al servidor. Para crear el certificado de revocación, necesitamos la clave privada. Es aconsejable crear siempre el certificado de revocación.
+Vamos a revocar la antigua clave de 1024DSA porque hemos generado una nueva de 4096RSA
+<code>
+# gpg --list-keys
+-----------------------------
+pub   4096R/F4AD9A55 2014-09-15
+uid                  Jose Legido <jose@legido.com>
+sub   4096R/BAB57DE6 2014-09-15
+pub   1024D/5A988F96 2008-03-20
+uid                  Jose Legido <jose@legido.com>
+sub   2048g/9BC56CC9 2008-03-20
+</code>
+<code>
+# gpg --output revoke1024.asc --gen-revoke 5A988F96
+sec  1024D/5A988F96 2008-03-20 Jose Legido <jose@legido.com>
+Create a revocation certificate for this key? (y/N) y
+Please select the reason for the revocation:
+= No reason specified
+= Key has been compromised
+= Key is superseded
+= Key is no longer used
+  Q = Cancel
+(Probably you want to select 1 here)
+Your decision? 3
+Enter an optional description; end it with an empty line:
+> New Key F4AD9A55
+>
+Reason for revocation: Key is no longer used
+New Key F4AD9A55
+Is this okay? (y/N) y
+You need a passphrase to unlock the secret key for
+user: "Jose Legido <jose@legido.com>"
+-bit DSA key, ID 5A988F96, created 2008-03-20
+ASCII armored output forced.
+Revocation certificate created.
+Please move it to a medium which you can hide away; if Mallory gets
+access to this certificate he can use it to make your key unusable.
+It is smart to print this certificate and store it away, just in case
+your media become unreadable.  But have some caution:  The print system of
+your machine might store the data and make it available to others!
+</code>
+Ahora subimos el certificado de revocación para revocar la clave:
+<code>
+# gpg --import revoke1024.asc
+gpg: key 5A988F96: "Jose Legido <jose@legido.com>" revocation certificate imported
+gpg: Total number processed: 1
+gpg:    new key revocations: 1
+gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
+gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
+</code>
+Al cabo de un rato, la clave aparece como revocada:
+<code>
+# gpg --search-keys jose@legido.com
+gpg: searching for "jose@legido.com" from hkp server keys.gnupg.net
+(1)	Jose Legido <jose@legido.com>
+bit RSA key F4AD9A55, created: 2014-09-15
+(2)	Jose Legido <jose@legido.com>
+bit DSA key 5A988F96, created: 2008-03-20 (revoked)
+</code>
 ==== Descargar claves a servidor de claves ====
@@ Line 238: / Line 332: @@
+==== Buscar claves ====
+No sé porqué, si buscas claves sin indicar servidor, da error:
+  # gpg --search-keys 5A988F96
+  gpg: searching for "5A988F96" from hkp server subkeys.pgp.net
+  gpg: keyserver timed out
+  gpg: keyserver search failed: keyserver error
+Indicando otro servidor funciona, pero a veces también falla.
+  Servidores:
+  keyserver.ubuntu.com
+  subkeys.pgp.net
+  pgp.mit.edu
+  # gpg   --keyserver keyserver.ubuntu.com --search-keys 5A988F96
+  gpg: searching for "5A988F96" from hkp server subkeys.pgp.net
+  (1)	Jose Legido <jose@legido.com>
+bit DSA key 5A988F96, created: 2008-03-20
+  Keys 1-1 of 1 for "5A988F96".  Enter number(s), N)ext, or Q)uit >
+  Enter number(s), N)ext, or Q)uit > 1
+  gpg: requesting key 5A988F96 from hkp server subkeys.pgp.net
+  gpg: key 5A988F96: "Jose Legido <jose@legido.com>" not changed
+  gpg: Total number processed: 1
+  gpg:              unchanged: 1
+Esto puede ser porque el puerto que usa es el 11371 y puede estar cerrado por algún proxy o firewall. Para probar si tenemos acceso hacemos:
+  # telnet pool.sks-keyservers.net 11371
+Para poder tener acceso al puerto, hacemos un tunneling con algún servidor que sepamos que si tiene acceso, por ejemplo, el pc de casa:
+  #  ssh -L 11371:pool.sks-keyservers.net:11371 lobo99.mine.nu
+Y una vez hecho el tunneling, nos conectamos al puerto local (de la L mayúsucula) que nos reenviará al servidor de casa y este al pool.sks-keyservers.net:
+  # gpg --keyserver localhost   --search-keys 5A988F96
 ==== Importar claves desde un fichero ====
@@ Line 354: / Line 481: @@
 Teclear 'y' y pulsar 'enter'
@@ Line 360: / Line 491: @@
 Por si no tenemos instalado el gestor de claves en el correo, podemos copiar el mensaje en un fichero de texto y desencriptarlo. Copiamos el mensaje en el fichero encriptado.txt con las cabeceras:
 <code>
-  -----BEGIN PGP MESSAGE-----
+----BEGIN PGP MESSAGE-----
-  Charset: UTF-8
+Charset: UTF-8
-  Version: GnuPG v1.4.9 (Darwin)
+Version: GnuPG v1.4.9 (Darwin)
-  Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
+Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
-  hQIOA2aOFuybxWzJEAf9FP/CaiYrTRFXiRZ8joqAQnPMWHqoApF7igRjlyN/WxdT
+hQIOA2aOFuybxWzJEAf9FP/CaiYrTRFXiRZ8joqAQnPMWHqoApF7igRjlyN/WxdT
-  v705+IeOLFMzup17lETNXmZslykaVy984UN1BYWcYHs0Ebh3ZvIcV2vEZ97n5KC4
+v705+IeOLFMzup17lETNXmZslykaVy984UN1BYWcYHs0Ebh3ZvIcV2vEZ97n5KC4
-  L+akTYm9yUPml+VlqsMQFv4rQD245MHCoxl599Ci5Z03jQu9TACHEWODbiIubMBN
+L+akTYm9yUPml+VlqsMQFv4rQD245MHCoxl599Ci5Z03jQu9TACHEWODbiIubMBN
-  leqyoh6+KHA7jSp8dFNgKKFncvIRKMpeuT7NVVNuQazmNEBz3IQy
+leqyoh6+KHA7jSp8dFNgKKFncvIRKMpeuT7NVVNuQazmNEBz3IQy
-  =tDU9
+=tDU9
-  -----END PGP MESSAGE-----
+----END PGP MESSAGE-----
 </code>
 Y con el siguiente comando lo desencripta en el fichero desencriptado.txt
   # gpg --output desencriptado.txt --decrypt encriptado.txt
+==== Encriptar Fichero ====
+. Listar las claves instaladas para tenerlas a mano
+  gpg --list-keys
+. Encriptar el archivo:
+  gpg --encrypt archivo.txt
+. Introducir el identificador de la clave y pulsar 'enter'
+. Teclear 'y' y pulsar 'enter'
+Se habra generado el archivo 'archivo.txt.gpg' que solo podra desencriptar la persona con la clave privada asociada a la clave publica (paso 3) contra la que se ha encriptado el archivo.
 ==== Programas adicionales ====
@@ Line 442: / Line 588: @@
   gpg --list-keys
+==== Exportar / importar clave privada ====
+**OJO** la clave privada no debe ser accesible por nadie más que su propietario
+* Exportar
+  gpg --export-secret-key -a > clave_privada.key
+* Importar
+  gpg --import clave_privada.key
 ==== Otros ====