PGP es el programa más popular de cifrado y firmado de correo electrónico y de archivos, un auténtico héroe legendario de la lucha civil por la libertad criptográfica para todos los ciudadanos. Permite firmar y cifrar los correos, de manera que usted podrá estar seguro de que nadie más que el destinatario legítimo es capaz de leer los mensajes, de que estos no son manipulados y de que nadie le suplanta. Además, permite cifrar archivos e incluso particiones del disco duro. En este artículo se presenta una introducción al uso y ventajas de este programa en la empresa.

La información se ha convertido en un activo de gran valor en las empresas actuales. Por desgracia, paralelamente al crecimiento del uso de la informática y de las redes de comunicaciones para tratarla y distribuirla, se multiplica el número de incidentes de seguridad. Cuanto mayor es el volumen de información procesado y transferido informática y telemáticamente, mayor es el riesgo derivado de su pérdida, alteración o revelación. La seguridad de la información tiene por objetivo proteger a los sistemas informáticos frente a las amenazas a las que están expuestos. Entre otros aspectos que no serán tratados aquí, es necesario garantizar la confidencialidad, la integridad y la autenticación de la información. El primero de estos objetivos hace referencia a la incapacidad de un atacante de obtener el texto en claro de los datos. La integridad asegura que la información no ha sido modificada o que al menos los cambios serán detectados. Por último, la autenticación permite verificar la identidad del autor de los datos. La criptografía proporciona mecanismos y servicios adecuados para garantizar estos tres objetivos bajo ciertas condiciones.

En este artículo se aborda cómo es posible alcanzar estas metas de manera sencilla mediante el uso de un programa de criptografía muy popular: PGP (Pretty Good Privacy). PGP fue uno de los primeros programas de la Historia en poner en manos del gran público toda la potencia de la criptografía. Desde que su autor, Phil Zimmermann, escribiera la primera versión allá en 1991, en la prehistoria de internet, tanto el programa como su creador han atravesado numerosas vicisitudes, dando lugar a multitud de versiones y variantes, comerciales y libres, con características muy diferentes. Este artículo analizará y estudiará sus aplicaciones y usos más comunes en la empresa.

Historia de PGP y sus variantes

Bajo la denominación de PGP suele englobarse un conjunto de programas destinado a la protección de la información mediante el uso de mecanismos de cifrado y firma digital. El cifrado proporciona confidencialidad, mientras que la firma digital aporta integridad y autenticación. PGP soporta cifrado simétrico, utilizando claves secretas, y asimétrico, utilizando pares de claves públicas y privadas. Desde sus modestos orígenes, la responsabilidad de la evolución de PGP ha ido pasando de mano en mano: desde las versiones originales desarrolladas por el propio Zimmermann y su equipo, seguidas de la compra en 1997 por la firma de seguridad Network Associates (NAI), hasta que en 2002 varios ex-miembros del equipo original de PGP fundaron su propia empresa, PGP Corporation, que comercializa los productos PGP desde www.pgp.com. A través de estos cambios, el programa ha ido creciendo desde una sencilla herramienta de protección del correo hasta constituir toda una suite de productos, capaces de proteger documentos, particiones o discos duros completos, correo electrónico, transferencia de archivos y mensajería instantánea (aunque, de momento, sólo el protocolo AIM). Las plataformas soportadas son Microsoft Windows, Mac OS X de forma parcial y algunos dispositivos móviles.

Durante muchos años, PGP se distribuyó junto con el código fuente con el fin de que cualquiera pudiera verificar la robustez de los algoritmos y la inexistencia de puertas traseras. Pero la compra por parte de NAI, que suspendió esta saludable práctica, unida a problemas de patentes y al auge imparable del programa, motivó la aparición en 1997 de una propuesta de estándar abierto llamado OpenPGP, que permitiera la interoperabilidad entre PGP y otros productos similares. GnuPG (GNU Privacy Guard), desarrollado por la Free Software Foundation, supone la alternativa libre a PGP más conocida y utilizada, distribuida gratuitamente y con las fuentes disponibles bajo licencia GPL. Carece de la interfaz gráfica, la sencillez de manejo y alguna que otra funcionalidad de su contrapartida comercial, como el cifrado de particiones, pero es capaz de llevar a cabo las mismas tareas para la protección del correo y documentos, más alguna funcionalidad avanzada que, si bien no será utilizada por la mayoría de usuarios, puede resultar útil en determinadas circunstancias. Por supuesto, el coste también puede ser determinante en muchos entornos.

Habida cuenta de la compatibilidad de los distintos productos que soportan el futuro estándar OpenPGP, todas las explicaciones del resto del artículo son de aplicación general. Se particularizarán para GnuPG debido a que su distribución es libre y con el código fuente disponible, características de valor inestimable en productos criptográficos. No obstante, los conceptos generales conservan su validez para cualquier otra versión de PGP. GnuPG puede descargarse gratuitamente desde www.gnupg.org. Aunque se trata de un programa de línea de comando, existen numerosas interfaces gráficas para distintos sistemas operativos para simplificar el trabajo con él.

Generación de claves

El primer paso necesario para poder comenzar a utilizar el programa consiste en generar un par de claves pública y privada. Por ejemplo, utilizando GnuPG, el siguiente comando permite comenzar el proceso:

gpg --gen-key

A continuación, tanto PGP como GnuPG preguntan sobre el tipo de claves a crear. Aunque existen diferencias entre ellas, que afectan a su seguridad o tamaño, éstas son mínimas, por lo que para la mayoría de usuarios el tipo de claves ofrecidas por defecto por el programa son perfectamente válidas. En este punto surge una cuestión que suele generar acalorados debates entre los usuarios de este tipo de programas: el tamaño de clave.

Deben considerarse dos criterios para poder realizar una elección correcta en este sentido: el grado de seguridad y la velocidad de uso buscada. Claramente, un tamaño mayor de clave implica mayor resistencia a ataques por fuerza bruta y, en contrapartida, mayor lentitud en las operaciones realizadas con ellas. Sin embargo, para la mayoría de usuarios, el factor determinante será la seguridad, en lugar de la velocidad, debido principalmente a que el proceso de cifrado no se lleva a cabo con las claves asimétricas, sino con una clave de sesión, la cual a su vez se cifra con la clave pública del destinatario del mensaje. Por otra parte, en cualquier ordenador de so