Pasar al contenido principal

PGP

Siglas de Pretty Good Privacy (Privacidad Bastante Buena). Se trata de un sistema criptográfico desarrollado por Philip Zimmermann en 1991. En su origen fue una solución de cifrado y descifrado de clave pública. Tras su lanzamiento inicial, el gobierno de Estados Unidos presentó cargos contra Zimmermann, alegando que había infringido las leyes de encriptación del país, pero se retiraron posteriormente.

PGP incluye muchos procesos de cifrado de datos, entre los que se encuentran hashing, compresión, y cifrado simétrico y asimétrico. En este caso, la clave pública está asociada al nombre de usuario o al correo electrónico, pero la clave privada se genera aleatoriamente y de forma única en cada inicio de sesión.

Su funcionamiento es el siguiente:

  1. Un usuario emplea PGP para cifrar un texto, por ejemplo, una contraseña.
  2. Esta información es comprimida y se crea una clave de sesión secreta única.
  3. Esta clave aleatoria se crea en función de los movimientos del ratón y de las teclas pulsadas anteriormente.
  4. Al receptor se le envían los datos cifrados junto con la clave pública.
  5. El proceso de descifrado es inverso.
  6. Las claves se guardan en el disco duro del ordenador.

PGP también puede ser usado para firmas electrónicas. Su tecnología permite verificar la integridad de los datos, su autenticidad y si quien los envió es quien dice ser. Además, el proceso garantiza que el mensaje no ha sido alterado.

Actualmente existe un proyecto de código abierto basado en PGP llamado OpenPGP, que permite el uso de PGP en soluciones de forma gratuita. Además, con la creación del estándar OpenPGP también han surgido implementaciones diferentes, como GPG, que permite que los usuarios interactúen con una interfaz gráfica para cifrar los archivos.

PGP aplica una capa de seguridad a nuestras comunicaciones, ofreciendo muchas ventajas. No obstante, ningún proceso es totalmente seguro, así que este estándar también está expuesto a ataques. Por ejemplo, un ataque que se llevó a cabo sobre OpenPGP consistía en firmar miles de veces los certificados públicos y subirlos a la red P2P, donde nunca serán borrados. De esta forma, los certificados comenzaron a pesar decenas de megas en poco tiempo, lo que hizo que OpenPGP dejara de funcionar o tardase muchísimo en procesar estos certificados. Este ataque se aprovechó de que no hubiese un límite de firmas y de que los servidores no pudiesen borrar los certificados.

Otro ataque conocido es el de exfiltración directa (EFAIL), que explota vulnerabilidades de OpenPGP para revelar el texto plano que se oculta tras el cifrado. EFAIL abusa del contenido HTML del archivo, por lo que debería tener acceso al servidor de la organización o al backup.

Finalmente, otro problema destacable de PGP es cómo afecta al hardware. Generalmente no nos damos cuenta del impacto que tiene el proceso de cifrado en el rendimiento de los dispositivos, dado que los archivos a cifrar no suelen ser muy grandes. No obstante, si necesitásemos cifrar un archivo muy pesado, PGP sí que ocasionaría problemas de rendimiento, por eso no está pensado para la comunicación de grandes ficheros.

También te interesa: criptografía

Compartir

Compartir en Linkedin