Gràcies al fenòmen anomenat Web 2.0, la gent pot enviar o publicar continguts el multitud de llocs de manera gratuïta. El problema que apareix és el de la privacitat. Tot i que la majoria d’aquests llocs web utilitzen el protocol SSL, on tota la informació queda encriptada perquè ningú la pugui interceptar, els missatges queden emmagatzemats en text pla, el que provoca una inseguretat del que pot arribat a passar amb les nostres dades.
Per tal d’evitar aquest problema i garantir la privacitat, fa molts anys va aparèixer un sistema d’encriptació anomenat PGP (Pretty Good Privacy). Aquest sistema consistia en un mètode de signar i/o encriptar les dades per poder-les transmetre de manera segura a través d’un mitjà insegur.
L’esquema de funcionament és complexe, encara que el podem resumir en els següents conceptes:
Primer vaig a definir alguns conceptes:
1) Clau: es un conjunt de bytes (guardats en un arxiu generalment) que serveixen per realitzar les operacions de encriptat/signat dels missatges. Aquests claus generalment es creen de manera aleatòria.
1a) Clau Simètrica. Es diu clau simètrica quan podem encriptar i desencriptar un missatge amb la mateixa clau. Només cal que els dos interlocutos coneguin aquesta clau per poder enviar el missatge.
1b) Clau Assimètrica. S’anomena clau assimètrica al conjunt de dues claus diferents que permeten encriptar amb una de les claus, desencriptar amb l’altra i no poder aconseguir una clau partint de la base de l’altra.
2) Clau Pública. És la part de la clau assimètrica que hem de passar a tots els interlocutors que vulguem que desencriptin els nostre missatge. La podem passar per qualsevol sistema no-fiable, o bé fins i tot pujar-la a un servidor de claus.
3) Clau Privada. Es la part de la clau assimètrica que farem servir per encriptar el nostre missatge. Cal guardar-la en un lloc segur.
4) Servidor de claus. Es un espai públic a internet on la gent pot intercanviar les claus públiques. Si volem enviar un missatge encriptat a una persona, anem al servidor de claus i busquem la seva clau (generalment indexat pel e-mail)
5) Encriptar. Consisteix en el procés de agafar un text clar i llegible i convertir-lo a un conjunt de simbols ilegibles per qualsevol que no tingui la clau de desencriptació.
6) Signar. Consisteix en realitzar uns càlculs matemàtics sobre el missatge que volem passar per garantir que qualsevol modificacio del missatge original serà detectada. Al rebre un missatge signat podem tenir la certesa que el missatge no s’ha modificat i que prové de la font que especifica.
Un cop introduïts els passos, anem a proposar les eines.
El PGP va ser el sistema original, però al ser d’una empresa privada, ja no es gratuït. Fa uns anys va apareixer el GPG, el GNU PG, que bàsicament és el mateix, i es basa en l’estandard OpenPGP.
Les eines necessàries pel sistema operatiu Windows estan incloses en aquest paquet: GPG4WIN
Podem baixar la versió Lite i instal·lar-la en el nostre PC.
Un cop baixada, caldrà realitzar aquests passos, que no es detallen ja que cada versió del software pot canviar.
1) Crear una clau nova. Això crearà la clau privada i la clau pública. Generalment arrencarà un procés de càlcul de uns nombres aleatòris i ens demanarà una nova password per poder accedir a aquesta clau.
2) Pujar la clau pública a un servidor de claus (opcional)
3) Exportar i passar per qualsevol mètode la nostra clau pública a l’interlocutor que volem que ens envii el correu signat o encriptat. No cal que sigui un camí segur.
4) Importar la clau pública del nostre interlocutor, que ens haurà passat en un arxiu acabat en .ASC (no sempre ha de ser aixi)
5) Un cop disposem de tot aquest sistema muntat, podem provar de crear un missatge, encriptat amb la clau pública del nostre interlocutor, i fer un copy&paste al client de correu que fem servir habitualment.
6) El nostre interlocutor podrà rebre el missatge, i desencriptar-lo amb la seva clau privada. Ja el pot llegir i ningú més que ell pot veure el contingut.
7) Ens respondrà. Encriptarà amb la nostra clau pública i ens enviarà el missatge. Nosaltres el podrem desencriptar amb la nostra clau privada.
Espero que hagi quedat clar tot el proces d’encriptat/desencriptat de missatges. Si teniu algun dubte, consulteu-me.
