Distribución de claves PGP


Como hemos comentado al inicio de este apartado, la certificación de claves en PGP no sigue un modelo jerárquico, como el de las autoridades de certificación X.509, sino un modelo descentralizado de confianza mutua, a veces llamado malla de confianza (web of trust). Cuando un usuario genera su par de claves PGP (pública y privada), a la clave pública le tiene que asociar un nombre de usuario y, a continuación, tiene que autocertificar esta asociación, es decir, firmar con su clave privada la concatenación de la clave pública y el nombre. El paquete de la clave pública, el del nombre de usuario y el de la firma forman un bloque de clave.
Opcionalmente, el usuario puede asociar más de un nombre a la clave (por ejemplo, si tiene diversas direcciones de correo electrónico) y, entonces, el bloque estará formado por la clave pública y tantos pares nombre–firma como sea preciso.
En este caso el usuario puede enviar este bloque a otros con los que tenga que mantener correspondencia. Cada receptor, si está convencido de que la clave efectivamente corresponde al usuario originador, la certificará añadiendo otro paquete de firma al bloque (o uno para cada nombre, si hay más de uno y también los considera auténticos). De este modo, cada usuario dispondrá de un almacén de claves públicas certificadas (keyring) que podrá utilizar para cifrar mensajes y verificar firmas de sus corresponsales.

Además de paquetes de claves públicas, nombres de usuario y firmas de certificación, en un keyring también pueden haber firmas de revocación para invalidar una clave o para anular un certificado. La revocación debe estar firmada por la propia clave (la que se quiere invalidar o la que generó el certificado que se quiere anular) y, una vez emitida, es irrevocable.Otra posibilidad para realizar la distribución es a través de un servidor de claves PGP, que gestiona un almacén global de claves públicas con sus certificados (y revocaciones, si es el caso). Varios de estos servidores están sincronizados entre si, de modo que las actualizaciones del almacén que se realicen en uno de ellos se propagan automáticamente a todos los demás.Cualquier usuario puede enviar a un servidor PGP los certificados de su clave, o de las claves de otros usuarios, para que los añada al Keyring global. En este caso se pueden realizar consultas a los servidores para obtener la clave y los certificados asociados a un determinado nombre de usuario (o a los nombres que contengan una determinada subcadena, si no se conoce su valor exacto).
Es importante señalar que los servidores PGP no son autoridades de certificación: cualquier clave pública que se les envíe será añadida al almacén sin realizar ninguna verificación respecto a la identidad del propietario. Es responsabilidad de cada usuario que quiera utilizar una clave de un servidor PGP asegurarse de la autenticidad de dicha clave. Para ello, se puede tener en cuenta que otros usuarios han certificado esta clave.

Califica este Artículo

Categoría: Conectividad y Redes.




Deja una respuesta