Gestión de Llaves GPG

Connor Lim Versión F35 onwards Last review: 2021-02-09
Este documento explica detalladamente cómo obtener una clave GPG mediante utilidades comunes de Fedora. También proporciona información sobre cómo administrar su clave como colaborador de Fedora.

Creación de claves GPG

Creación de claves GPG usando el Escritorio GNOME

Instalar la utilidad de Seahorse, la cual hace que sea más fácil la gestión de llave GPG.

  1. Seleccione Activities  Software.

  2. Pulse el botón Buscar e introduzca el nombre 'Seahorse'.

  3. Pulse el paquete Seahorse y pulse Instalar para añadir el software. Puede además instalar Seahorse utilizando la línea de instrucción con la instrucción sudo dnf install seahorse.

Para crear una clave:

  1. Seleccione Activities  Claves de Contraseña y Cifrado, cuando inicia la aplicación Seahorse.

  2. En la cima a mano izquierda, pulse el menú:Añadir Button[Clave GPG].

  3. Teclee su nombre completo, dirección de correo, y un comentario opcional describiendo quien eres (p.e.: Juan C. Serman, juan@ejemplo.com. El Manual).

  4. Pulse Crear.

  5. Elija una frase-contraseña que es fuerte pero además fácil de recordar en el diálogo que es exhibido.

  6. Pulse Aceptar y la tecla se crea.

Ahora vea [respaldo-claves-gpg-gnome].

Creando Claves GPG Utiliznado el Escritorio KDE

  1. Iniciar el programa KGpg desde el menú principal seleccionando Applications  Utilidades  KGpg. Si nunca ha utilizado KGpg antes, el programa le ayudará a través del proceso de creación de su propia pareja de GPG.

  2. Introduzca su nombre, dirección de correo, y un comentario opcional en la caja de diálogo que aparece solicitándole crear una pareja de clave nueva. Puede además elegir una caducidad para su clave, así como la fortaleza de la clave (número de bit) y algoritmos.

  3. Introduzca su frase-contraseña en el siguiente cuadro de diálogo. En este punto, su clave aparece en la ventana principal de KGpg.

Para conocer la ID de la clave GPG, revisa la columna ID que aparece al lado de la clave recién creada. En la mayoría de los casos cuando se te pide la ID de la clave, debes anteponer 0x a los últimos ocho caracteres de la ID de la clave, por ejemplo: 0x6789ABCD.

Ahora vea Crear una Clave de Respaldo Utilizando el Escritorio KDE.

Crear Claves GPG Utilizando la Línea de Instrucción

  1. Utilice la siguiente instrucción del intérprete:

    gpg --full-generate-key

    Este comando genera un par de claves compuesto por una clave pública y una privada. Otras personas usan su clave pública para autenticar o descifrar sus comunicaciones. Distribuya su clave pública lo más ampliamente posible, especialmente a quienes sabe que querrán recibir comunicaciones auténticas suyas, como una lista de correo.

  2. Presione la tecla Intro para asignar un valor predeterminado si se desea. La primera solicitud le pide seleccionar que especie de llave prefiere:

    Seleccione que familia de cable desea:
   (1) RSA y RSA (predet.)
   (2) DSA y Elgamal
   (3) DSA (solo firmar)
   (4) RSA (solo firma)
  (14) Llave existente desde tarjeta
¿Su selección?

    En casi todos los casos, la opción predeterminada es la correcta. Una clave RSA/RSA le permite no solo firmar comunicaciones, sino también cifrar archivos.

  3. Elija el tamaño de clave:

    Claves RSA pueden estar entre 1.024 y 4.096 bit de largo.
¿Que tamaño de clave desea? (3.072)

    De nuevo, lo predeterminado es suficiente para la mayoría de todos los usuarios, y represente un nivel de seguridad extremadamente fuerte.

  4. Elija cuando la clave caducará. Es una buena idea elegir una fecha de caducidad en lugar de utilizar la predeterminada, la cual es none. Si, por ejemplo, la dirección de correo-e en la clave se vuelve inválida, una fecha de caducidad recordará a otros detener utilizando esa clave pública.

    Especifique como de largo sería válida la clave.
         0 = clave no caduca
      <n>  = clave caduca en n días
      <n>w = clave caduca en n semanas
      <n>m = clave caduca en n meses
      <n>y = clave caduca en n años
La clave es válida por (0)

    Introduzca un valor de 1y, p.ej., realiza la clave válida para un año. (Puede cambiar esta fecha de caducidad tras la clave sea generada, si cambia su idea.) Antes de que el programa gpg solicita firmar la información, aparece la solicitud siguiente:

    ¿Es esto correcto (y/N)?

  5. Introduzca y para finalizar el proceso.

  6. Ingresa tu nombre y correo electrónico. Recuerda que este proceso se trata de autenticarte como persona real. Por eso, incluye tu nombre real. No uses alias ni nombres de usuario, ya que ocultan u ofuscan tu identidad.

  7. Introduce tu dirección de correo electrónico real para tu clave GPG. Si eliges una dirección falsa, será más difícil que otros encuentren tu clave pública. Esto dificulta la autenticación de tus comunicaciones. Si usas esta clave GPG para self-introduction en una lista de correo, por ejemplo, introduce la dirección de correo electrónico que usas en esa lista.

  8. Utilice el campo de comentarios para incluir alias u otra información. (Algunas personas usan claves diferentes para distintos fines e identifican cada una con un comentario, como "Oficina" o "Proyectos de código abierto.")

  9. Ingrese la letra O en el mensaje de confirmación para continuar si todas las entradas son correctas, o utilice las otras opciones para solucionar cualquier problema.

  10. Introduce una contraseña para tu clave secreta. El programa gpg te pide que la introduzcas dos veces para asegurarte de que no hayas cometido errores de tecleo.

Finalmente, gpg genera datos aleatorios para que su clave sea lo más única posible. Mueva el ratón, escriba claves aleatorias o realice otras tareas en el sistema durante este paso para acelerar el proceso. Una vez finalizado este paso, sus claves estarán completas y listas para usar:

pub   rsa3072 2021-02-09 [SC] [caduca: 2022-02-09]
      3782CBB60147010B330523DD26FBCC7836BF353A
uid                      John Doe (Fedora Docs) <johndoe@ejemplo.com>
sub   rsa3072 2021-02-09 [E] [caduca: 2022-02-09]

La huella digital de la clave es una firma abreviada de su clave. Le permite confirmar a otros que han recibido su clave pública real sin ninguna manipulación. No necesita escribirla. Para mostrarla en cualquier momento, utilice este comando, sustituyendo su dirección de correo electrónico:

gpg --fingerprint johndoe@ejemplo.com

La huella digital de la clave es en realidad un hash SHA-1 de 160 bits de la clave, representado como una cadena de 40 caracteres hexadecimales. Aunque es más corta que la propia clave pública, sigue siendo algo compleja de manejar, por lo que se suele usar un ID de clave GPG más corto para referirse a una clave al, por ejemplo, buscarla en un servidor de claves. El ID de clave GPG es un pequeño número de dígitos hexadecimales extraídos de los caracteres que representan los bits de orden inferior de la huella. El ID de clave GPG "corto" consiste en los últimos 8 caracteres de la huella hexadecimal, es decir, los últimos 32 bits de la huella. Las claves cortas no son seguras y ya no se recomiendan porque pueden crear colisiones, de modo que la clave falsificada de un atacante tenga el mismo ID corto que la suya. Por lo tanto, si le proporciona a alguien el ID de clave GPG corto de su clave, podría recuperar la clave del atacante de un servidor de claves.

Por esta razón, se prefiere usar el ID de clave GPG "largo", que consta de los últimos 16 caracteres de la huella hexadecimal de su clave. Esto representa los 64 bits de orden inferior de su huella, suficientes para ser resistente a colisiones. El programa gpg facilita la búsqueda del ID de clave GPG largo de su clave:

gpg --list-keys --fingerprint --keyid-format 0xlong johndoe@example.com

El formato 0xlong antepone "0x" al ID de la clave para aclarar que se trata de una serie de dígitos hexadecimales; se considera una buena práctica hacerlo. El resultado del comando anterior se ve así:

pub   rsa3072/0x26FBCC7836BF353A 2021-02-09 [SC] [caducado: 2022-02-09]
      Key fingerprint = 3782 CBB6 0147 010B 3305  23DD 26FB CC78 36BF 353A
uid                      John Doe (Fedora Docs) <johndoe@example.com>
sub   rsa3072/0xF834D62672E88A6F 2021-02-09 [E] [caducado: 2022-02-09]

La primera línea (que empieza por "pub") indica el tipo de clave (es decir, RSA de 3072 bits) y el ID de clave largo (es decir, 0x26FBCC7836BF353A). Puede ver que esto corresponde a los últimos 16 caracteres de la huella digital de la clave en la salida.

Ahora examine Crear una Clave de Respaldo Utilizando la Línea de Instrucción. Asegúrese que respaldo sus claves de revocación para todas las llaves activas esto permite revocar llaves en el evento de pérdida de la frase contraseña de la llave comprometida.

Realizar un respaldo

Crea una llave de respaldo utilizando el Escritorio GNOME

  1. Pulsación secundaria en su tecla y seleccione Propiedades.

  2. Seleccione la lengüeta Detalles, y seleccione Exportar a file  Exportar clave secreta.

  3. Seleccione un nombre de archivo destino y pulse Exportar.

Almacena la copia en un lugar seguro, tal como un contenedor bloqueado.

Ahora consulte Exportar una Clave GPG Utilizando el Escritorio GNOME.

Crear una Clave de Respaldo Utilizando el Escritorio KDE

  1. Pulsación secundaria para su llave y seleccione Exportar Llave Secreta.

  2. Pulse Continuar para continuar en el diálogo de confirmación.

  3. Selecciona un nombre de archivo destino.

  4. Pulse Guardar.

Almacena la copia en un lugar seguro, tal como un contenedor bloqueado.

Ahora consulte Exportar una Clave GPG Utilizando el Escritorio KDE.

Crear una Clave de Respaldo Utilizando la Línea de Instrucción

Utilice la instrucción siguiente para crear el respaldo, lo cual puede entonces copiar a un destino de su elección:

gpg --export-secret-keys --armor johndoe@ejemplo.com > johndoe-privkey.asc

Almacena la copia en un lugar seguro, tal como un contenedor bloqueado.

Ahora examine Exportar una Clave GPG Utilizando la Línea de Instrucción.

Making Your Public Key Available

When you make your public key available to others, they can verify communications you sign, or send you encrypted communications if necessary. This procedure is also known as exporting.

See Copiar una Clave Pública Manualmente to a file if you wish to email it to individuals or groups.

Exportar una Clave GPG Utilizando el Escritorio GNOME

  1. Pulse en el menú:Menú Button[Sincronizar y Publicar Llaves…]

  2. Pulse Servidores Clave.

  3. Seleccione ldap://keyserver.pgp.com en la caja combinada Claves Publicadas En.

  4. Pulse Cerrar.

  5. Pulse Sync.

Ahora consulte [salvaguardando-su-llave-secreta].

Exportar una Clave GPG Utilizando el Escritorio KDE

Tras su llave ha sido generada, puede exportar la llave a un servidor de llave pública

  1. Pulse el botón secundario en la tecla en la ventana principal.

  2. Seleccionar Exportar llaves privadas.

  3. Desde allí puede exportar su llave pública al portapapeles, un archivo ASCII, a un correo-e, o directamente a un servidor de llave.

  4. Exporte su llave pública al servidor de llave por defecto.

Ahora consulte [salvaguardando-su-llave-secreta].

Exportar una Clave GPG Utilizando la Línea de Instrucción

Emplee la instrucción siguiente para enviar su clave a un servidor de clave público:

gpg --send-key NOMBRE-CLAVE

Para KEYNAME, sustituya el ID clave o huella dactilar de su pareja de clave primaria. Esto enviará su clave al servidor de clave predeterminada de gnupg. Si prefiere otro utilice:

gpg --keyserver hkp://pgp.mit.edu --send-key NOMBRE-CLAVE

Sustituyendo pgp.mit.edu con su servidor de elección.

Ahora consulte [salvaguardando-su-llave-secreta].

Copiar una Clave Pública Manualmente

Si desea dar o enviar una copia de archivo de su clave a alguno, utilice esta instrucción para escribirlo a un archivo de texto ASCII:

gpg --export --armor johndoe@ejemplo.com > johndoe-pubkey.asc

Ahora consulte [salvaguardando-su-llave-secreta].

Safeguarding Your Secret Key

Treat your secret key as you would any very important document or physical key. (Some people always keep their secret key on their person, either on magnetic or flash media.) If you lose your secret key, you will be unable to sign communications, or to open encrypted communications that were sent to you.

Hardware Token options

If you followed the above, you have a secret key which is just a regular file. A more secure model than keeping the key on disk is to use a hardware token.

There are several options available on the market, for example the YubiKey. Look for a token which advertises OpenPGP support. See this blog entry for how to create a key with offline backups, and use the token for online access.

Revocación de Clave GPG

Cuando revoque una clave, lo retira de su uso público. Solamente tendría que hacer esto si está comprometido o perdido, u olvida la frase de paso.

Generar un Certificado de Revocación

Al crear el par de claves, también debe crear un certificado de revocación de clave. Si posteriormente emite el certificado de revocación, este notificará a los demás que la clave pública no debe utilizarse. Los usuarios podrán seguir usando una clave pública revocada para verificar firmas antiguas, pero no para cifrar mensajes. Mientras tenga acceso a la clave privada, los mensajes recibidos previamente podrán descifrarse. Si olvida la contraseña, no podrá descifrar los mensajes cifrados con esa clave.

gpg --output revoke.asc --gen-revoke NOMBRE-LLAVE

Si no utiliza el indicador --output, el certificado imprimirá por salida estándar.

Para KEYNAME, sustituya el ID de clave de su par de claves principal o cualquier parte del ID de usuario que identifique su par de claves. Una vez creado el certificado (el archivo revoke.asc), debe protegerlo. Si se publica por accidente o por acciones maliciosas de terceros, la clave pública quedará inutilizada. Es recomendable guardar el certificado de revocación en un soporte extraíble seguro o imprimir una copia en papel para almacenarla de forma segura y mantener su confidencialidad.

Revocar una clave

  1. Revoque la clave localmente:

    gpg --import revoke.asc

    Una vez que haya revocado localmente la clave, debe enviar el certificado revocado a un servidor de llave, independientemente de si la clave fue emitida originalmente en esta manera. Distribución a través de un servidor ayuda otros usuarios para darse cuenta rápidamente que la clave ha sido comprometida.

  2. Exporte a un servidor de claves con la instrucción seguida:

    gpg --keyserver hkp://pgp.mit.edu --send-keys NOMBRELLAVE

    Para KEYNAME, sustituya o bien el ID de clave de su pareja de clave primaria o cualquier parte de un ID de usuario que identifique su pareja de clave.

Recursos adicionales

See a typo, something missing or out of date, or anything else which can be improved? Edit this document at quick-docs’s git repository.

Want to help? Learn how to contribute to Fedora Docs