Pretty Good Privacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.
PGP originalmente fue diseñado y desarrollado por Phil Zimmermann en 1991. El nombre está inspirado en el del colmado Ralph's Pretty Good Grocery de Lake Wobegon, una ciudad ficticia inventada por el locutor de radio Garrison Keillor.
Para ver este enlace Registrate o Inicia SesionPagina principal
Para ver este enlace Registrate o Inicia SesionPagina principal open
A diferencia de protocolos de seguridad como SSL, que sólo protege los datos en tránsito (es decir, mientras se transmiten a través de la red), PGP también puede utilizarse para proteger datos almacenados en discos, copias de seguridad, etcétera.
PGP Usa una función de 3 claves
Para ver este enlace Registrate o Inicia SesionDescarga de codigo de fuente
sacado de
Para ver este enlace Registrate o Inicia Sesionwikipedia
PGPEl PGP (Pretty Good Privacy ó Encriptación bastante buena) es un sistema de encriptación por llave pública escrito por Philip Zimmermann, y sirve para que nadie salvo uno mismo y el destinatario o destinatarios a los que vaya dirigido el mensaje puedan leerlo al ir los mensajes codificados, también puede usarse para comprobar la autenticidad del mensaje asegurándonos que lo ha escrito el remitente en realidad, realmente es muy bueno y es prácticamente indescifrable, esto mismo le ha llevado al autor del mismo Philip Zimmermann a tener bastantes quebraderos de cabeza con la ley en Estados Unidos, afortunadament
e su caso ya se ha cerrado.
FuncionamientoEl funcionamiento es muy sencillo, cada usuario tiene dos llaves una pública y otra privada, la pública es la que distribuye a la gente y sirve para que ellos puedan enviarle un mensaje codificado que solo él mediante su llave privada podrá descifrar, también puede servir para firmar un mensaje poniendo una parte de su llave privada (irreconocible claro) en una firma, esto es como un certificado de autenticidad, ya que al recibir el mensaje el PGP comprueba la firma y texto y lo compara con la llave pública que tenemos del remitente dando un error si se ha cambiado algo en el texto o la firma no corresponde a la persona que nos envía el mensaje.
Sirve también para enviar ficheros a través de correo electrónico codificados en formato ascii y mucho mejor que otros sistemas como el uuencode ya que el PGP usa antes de codificar una compresión zip al documento o programa que va a codificar.
Antes de llegar un mensaje a su destino, este pasa por muchos ordenadores, recuerde que cientos de personas pueden leer o escanear en busca de palabras clave su correo en internet, es más, esto se hace, a nadie le gusta que su correo no sea privado, de hecho cuando usted escribe una carta postal a un amigo por que cierra el sobre para protegerlo de su lectura en vez de dejarlo abierto o enviar una postal, La intimidad del correo personal tanto postal como electrónico esta amparada por la ley y la constitución de la mayoría de los países.
VERSIONESRefiriendonos a PC corriendo bajo sistemas microsoft podemos optar por varias versiones, la 2.6.3i para MS-DOS/Windows 3.x, la 5.0i para Windows 95/NT, y la nueva 5.5.3i también para W95/NT.
Versión 2.6.3i para MS-DOS El programa PGP 2.6.3i es un ejecutable bajo DOS de linea de comando, existen varios interfaces que hacen mas amigable el uso del pgp, Los hay para DOS y para Windows, hay uno muy bueno exclusivo para el Eudora, de 16 o 32 bits, si quieres visitar su pagina pulsa aquí: PgpEudra pages , existe un sitio que cito en la página de links muy bueno con enlaces a la mayoría de los interfaces para windows en:
Para ver este enlace Registrate o Inicia Sesionwww.primenet.c om
,donde puedes encontrar estos y muchos otros mas, cada uno elige el que mas le guste, yo uso el PGPEudora (ahora Peics) y el PowerPGP, aunque no son shells completos hacen la mayoría de las cosas, si quieres uno muy bueno y que hace todo te recomiendo el Winfront, los hay de todos los gustos, y la mayoría son Freeware, el Envelope es muy completo, aunque añade una coletilla de encriptado con.... mientras no se registre.
Versión 5.0i para WINDOWS 95 / NTEl PGP 5.0i (Internacional) para Windows 95/NT es mas intuitivo que el de DOS y se maneja por ventanas y clipboard, existiendo plugin para el Ms-Exchange y para el Eudora, la instalación no es tan completa como la del PGP 5.0 for personal privacy (de USA) que algunos han venido usando mientras aparecía la versión internacional, por lo que si se instala la versión internacional y se ha estado usando clandestinamen
te la interna de USA deberemos hacer backup de los anillos (ficheros pubring.pkr y secring.skr) ANTES de des-instalar el PGP 5.0 freeware.
Si instalamos la 5.0i y hemos estado usando la versión de DOS debemos importar a mano los anillos de llaves antiguos desde el menu Keys/import del PGPKeys, ya que la instalación no lo incluye al final como hace el 5.0 freeware.
Versión 5.5.3i para WINDOWS 95 / NT El recientemente aparecido PGP 5.5.3i for personal privacy ha sido notablemente mejorado con respecto a su antecesor el 5.0i y se le han dotado de todas las propiedades que se suprimieron en la 5.0i como el cifrado convencional de ficheros y la generación de claves RSA, (por lo que ahora si tenemos asegurada una compatibilidad 100% con usuarios de versiones antiguas). Se incluyen nuevos plugins para las recientes versiones de Eudora y los procesadores de correo de Ms (Exchange, outlook etc.). También permite la incorporación del comentario en el mensaje cifrado, etc.
Incorpora ademas nuevas utilidades como el PGPTools y PGPLog y se han rediseñado iconos y mejorado el programa en muchos aspectos como mejores cuadros de dialogo (eso si en ingles de momento), mas opciones de configuración, acceso a distintos servidores de llaves, incluye un mejor programa de instalación, etc. todo esto le hace ser la opción mas recomendable para el que trabaje bajo W95/NT.
¿Cual escoger? Como veis existen en la actualidad varias versiones, se puede funcionar perfectamente con cualquiera de ellas, de hecho todo el mundo ha estado usando la versión DOS + un interface hasta la aparición de las versiones de Windows 95, siendo la versión DOS algo mas complicada de instalar, pero tenemos que tener en cuenta las siguientes cosas:
La nuevas versiones 5.xi para Windows 95/NT utilizan unos algoritmos nuevos para las llaves, (DSS/Diffie-Hellman), por lo que ahora hay dos tipos distintos de llaves, las antiguas (RSA) usadas en anteriores versiones del PGP y un nuevo tipo de llave llamada DSS/Diffie-Hellman que esta basada en los últimos avances de la tecnología criptográfica, las versiones 5.xi manejan perfectamente los dos tipos de llaves, por lo que podríamos decir que son compatibles para atrás, pero el antiguo 2.6.3i no puede operar con este nuevo tipo de llaves.
En cuanto a seguridad se refiere podemos decir que las nuevas llaves DSS/DH son mas seguras, aunque ud. puede estar tranquilo si usa las RSA pues el nivel de seguridad de la RSA es altísimo y prácticamente indescifrable.
Si instalamos desde cero la versión 5.xi y generamos nuestro par de llaves DSS/DH estas serán incompatibles con usuarios de la versión 2.6.3i, por lo que no podremos intercambiar correo encriptado con ellos, ni siquiera podrán añadir nuestra llave a su anillo pues el 2.6.3i les dará un error, por lo tanto ellos no podrán encriptarnos a nosotros, aunque nosostros a ellos si podremos cifrarles el correo, pues las veriones 5.xi manejan perfectamente las llaves antiguas (RSA).
¿Entonces? El mejor consejo que puedo dar para los que se decidan a usar las nuevas 5.xi y asegurarse la compatibilidad con todas las versiones, es que deberían tener dos pares de llaves, una RSA para mantener la compatibilidad, y otra DSS/DH para para utilizar los nuevos avances de la criptografía y el nuevo 5.xi al máximo, pudiendo así funcionar con las dos llaves usando la RSA cuando tengan que intercambiar correo encriptado con usuarios de versiones antiguas.
Los que han estado usando versiones antiguas y se cambien a la nueva pueden mantener su antigua llave RSA y generar un par nuevo DSS/DH y desde el PGPKeys seleccionar una u otra por defecto para mantener la compatibilidad
.
Y los que empiecen desde cero tendrán que crear el par de llaves RSA con la versión 2.6.3i del DOS, (ya que la nueva 5.0i NO PUEDE generar llaves RSA), si quieren usar el PGP con usuarios de versiones anteriores, este defecto esta subsanado en la nueva 5.5.3i que YA PUEDE GENERAR LLAVES RSA.
De todas maneras la gente que no pueda usar Windows95 y este resignado al MS-DOS o Windows 3.x puede usar la 5.0 beta para MS-DOS, (esperemos que en breve este disponible la versión final), por lo que también hay posibilidad de funcionar con las nuevas llaves DSS/DH bajo MS-DOS.
El mejor consejo es que todo el mundo debería pasarse al nuevo tipo de llaves, pues son mas seguras y prometen ser el nuevo standard en el cifrado del correo electrónico, por lo que siempre que pueda decídase por las nuevas versiones instalando preferiblement
e la nueva 5.5.3i que ha desbancado con creces a la 5.0i.
Para ver este enlace Registrate o Inicia Sesioninstalacion 2.6.3i
Para ver este enlace Registrate o Inicia Sesioninstalacion 5.Xi
Para ver este enlace Registrate o Inicia Sesionherramientas
Para ver este enlace Registrate o Inicia Sesiondocumentacion
Para ver este enlace Registrate o Inicia SesionManual de utilizacion - pdf
Para ver este enlace Registrate o Inicia SesionFAQ's
sacado de
Para ver este enlace Registrate o Inicia Sesiongeocities
Como podemos ver este metodo es muy pero muy bueno.....es mas....es casi indesifrafle..
..de hacjo el creador del programa (phil) ha tenido varios problemas con el gobierno de EEUU debido a que no se pueden desencriptar los mensajes......
sin embargo hay varios metodos que podemos usar para vulnerar este tipo de criptografia que a pesar de no ser lo mas practico es real
PGP se ha convertido en el estándar de facto para las comunicaciones cifradas por Internet. Los algoritmos criptográficos fuertes empleados, la naturaleza abierta del código fuente, revisión informal por expertos criptográficos civiles, todo ha dado a PGP un aura de invencibilidad contra fisgones potenciales.
Actualmente, la reputación de PGP parece justificada. Los métodos criptoanalíticos modernos no han descubierto ninguna debilidad evidente, y los ataques de fuerza bruta contra claves de 1.024 bits y más son irrealistas. Descartando avances no revelados en la factorización o la computación cuántica, podemos conjeturar que las agencias gubernamentale
s se han topado con las mismas barreras criptoanalíticas que se han encontrado los criptógrafos civiles.
Aunque un algoritmo fuerte es crítico en la seguridad de una aplicación de cifrado, el público en general parece depositar demasiada fe en los números y las ecuaciones que proclaman que un mensaje cifrado no puede ser reventado. Las citas populares como "se necesitaría un tiempo igual a la edad del universo para reventar un mensaje" o "podría ser reventado con tantos ordenadores como átomos existen en la Tierra" suenan como eslóganes de anuncio.
Y, aunque computacionalm
ente hablando, tales afirmaciones puedan ser correctas, desprecian un hecho simple. Hay numerosos ataques prácticos que no se apoyan en criptoanálisis, y que pueden esponer los contenidos de un mensaje cifrado con PGP tan fácilmente como pelar un plátano.
Esos ataques son baratos, eficientes, a veces difíciles de detectar, y pueden ser elegantemente simples. Hay una buena probabilidad de que ya estén siendo usados durante actividades de vigilancia de las fuerzas de seguridad, operaciones de obtención de información del gobierno, o esfuerzos de espionaje industrial.
Este trabajo describe ataques prácticos que pueden comprometer la seguridad de PGP, particularment
e en entorno Windows. (Para ser justos, estas debilidades no son exclusivas de PGP. Acechan a la mayoría de las aplicaciones criptográficas y de seguridad. Para mayor crédito de Phil Zimmermann, él siempre ha estado advirtiendo de los riesgos de estas clases de ataque en la documentación de PGP. Desafortunadam
ente, la mayoría de la gente no se tomas los avisos en serio).
Recuerda, al igual que el consumo de un coche, su escenario de riesgo puede variar.
Ataques mediante caballos de TroyaLas aplicaciones estilo caballo de Troya son una buena herramienta en el arsenal de un ladrón de sistemas. El mundo UNIX ha estado plagado por troyanos, creados por piratas informáticos [hackers] que facilitan puertas traseras tipo "ábrete sésamo" con acceso a sistemas. Pero hasta ahora, el mundo PC solo ha sido atacado por un puñado de troyanos. Típicamente maliciosos en naturaleza, afirman mejorar tu vida, pero acaban borrando tu disco duro.
La seguridad de PGP podría ser subvertida con un caballo de Troya. Se han escrito varias pruebas de troyanos conceptuales que debilitarían PGP, pero hasta ahora no ha habido incidentes de ataques "al aire libre." La amplia escala de Internet como mecanismo para conseguir software aumenta esta vulnerabilidad
.
.EXE y DLLPGP puede ser atacado al introducir debilidades, bien mediante parches de código binario, o bien modificando y recompilando el código fuente.
Las rutinas clave de PGP en peligro incluyen:
*
Rutinas para generación de números aleatorios modificadas para arrojar resultados predecibles.
*
Rutinas de clave de sesión modificadas para que se use siempre la misma clave.
*
Rutinas IDEA, RSA o MD5 debilitadas.
*
Mensajes cifrados siempre con una clave adicional encubierta.
La versión debilitada puede introducirse en el ordenador objetivo por medio de:
*
Una aplicación de caballo de Troya que encubiertament
e parchea el programa binario.
*
Reemplazar físicamente la copia legítima con una copia debilitada cuando el usuario no se encuentra presente.
*
Hacer pasar la copia debilitada como legítima y distribuirla por Internet (una comprobación reciente con AltaVista reveló varios centenares de direcciones donde se puede descargar pgp262.zip o la versión internacional comparable).
*
Un ataque de "hombre en el medio" donde el blanco descarga el programa que se encuentra en una dirección legítima (p. ej. MIT) pero la sesión es interceptada, y la copia del programa es sustituida por otra debilitada.
Aunque puedes usar dif o alguna otra utilidad para comparar una aplicación sospechosa con una copia legítima de una fuente conocida, un ataque más sutil es parchear el código mientras está residente en la RAM con una aplicación troyana separada.
Aunque las copias, firmadas con PGP, del archivo ejecutable ofrece cierta protección contra versiones modificadas, varios investigadores han demostrado que se pueden crear claves fraudulentas. Un usuario ignorante de tal hecho podría ser potencialmente convencido de que el archivo ejecutable ha sido firmado por una fuente fiable, cuando en realidad no lo ha sido
InstalaciónLas versiones tanto comerciales como gratuitas del recientemente aparecido PGP 5.0 hace que éste se obtenga mediante un archivo auto-extraible .EXE. Resulta bastante trivial añadir un parche para que se instalen programas maliciosos en otros lugares, y que sen ejecutados antes de que el .EXE se ejecute. Chris Drake, un consultor de seguridad australiano, ha producido varios ejemplos de este tipo de ataque en una prueba. Aunque hay una firma asociada con el instalador, muy poca gente comprueba la validez de las aplicacione firmadas.
Interfaces [shells]La popularidad inicial de PGP fue alimentada por un conjunto de "shells" o interfaces basados en Windows que enmascaraban los comandos del DOS, difíciles de recordar, con menús y cuadros de diálogo. Un estudio reciente encontró más de 30 de estos shells disponibles en Internet como gratuitos o de dominio público.
Los shells ayudaron en la aceptación pública de PGP, pero la mayoría están patentados por naturaleza, y muy pocos autores muestran todo el código fuente. Los usuarios dependen de la integridad del autor, quien es habitualmente una entidad desconocida en algún lugar distante. Las oportunidades para instalar puertas traseras, comandos escondidos y fallos son múltiples.
Y aunque un programador tenga las mejores intenciones, fallos de programación no descubiertos pueden comprometer la seguridad del shell. Considera la plétora de agujeros de seguridad descubiertos en programas de software comercial. Desafortunadam
ente, el nivel de escrutinio dado a los fallos en los shells es como poco desalentador.
La vulnerabilidad de los shells será un hecho de la vida en el futuro próximo. La versión 5.0 de PGP tiene un interfaz "oficial" para Windows 95 (junto con código fuente para la versión gratuita), pero la mayoría de los usuarios de PC en todo el mundo siguen usando Windows 3.x y usarán PGP y shells de DOS.
Contramedidas *
Desconfía de los "griegos" que llevan regalos.
*
Obtén tu copia de PGP o interfaz de una fuente fiable y conocida.
*
Compila tu propio código fuente de confianza (si tienes la habilidad y el compilador).
*
Valida cuidadosamente todas las firmas.
*
Guarda resúmenes (hash) de tus criptoaplicaci
ones y compruébalas con regularidad.
Ataques de fuerza brutaLos ataques mediante fuerza bruta se aprovechan de gente descuidada (por usar un calificativo suave) que usa malas frases de contraseña. En cierto modo, es como dejar siempre la puerta sin echar la llave. Puede que nadie gire nunca el picaporte para ver qué pasa, pero un día puede que vuelvas a casa y te la encuentres saqueada.
PGPCrack es una aplicación de fuerza bruta ampliamente diseminada, diseñada para reventar archivos cifrados convencionalme
nte mediante PGP y que ataca la contraseña de la clave secreta. Depende de un archivo separado de diccionario, y prueba cada palabra como contraseña potencial. En un archivo protegido por PGP mediante cifrado convencional, el programa comprueba más de 15.000 palabras por segundo en un Pentium a 100 MHz. Como referencia, compárese con las 5.000 a 7.000 palabras/segundo para programas típicos de reventado de claves en UNIX en la misma máquina.
No es descabellado suponer que algunas agencias de seguridad y espionaje tengan sus propios programas optimizados para ataques de fuerza bruta contra PGP. Seguramente incluye sistemas de hardware muy rápidos y especializados
.
El sentido común debe prevalecer con las contraseñas. Está más allá del propósito de este trabajo dar consejos sobre cómo seleccionar y usar una contraseña fuerte. Si no lo sabe, averígualo.
Contramedidas *
Usa contraseñas fuertes.
*
Usa contraseñas compartimental
izadas (esto es, algunas contraseñas para seguridad fuerte como en PGP, otras para seguridad débil como en contraseñas de salvapantallas
...); si rotas las contraseñas, nunca mezcles los dos tipos.
Ataques al sistema operativoDesafortunadam
ente, el entorno operativo más popular usado en todo el mundo hoy día es terriblemente inadecuado a efectos de niveles decentes de seguridad. La arquitectura de Microsoft Windows 3.x y Windows 95 deja muchas vías de ataque para alguien que busque comprometer mensajes con PGP (aunque Windows NT ofrece una mejor seguridad, conforme se someta a un escrutinio más intenso aparecen más fallos aprovechables).
Archivos borradosEl usuario medio es deliciosamente ignorante de que, cuando borra un archivo, sólo se cambia la información sobre la asignación del archivo, y el contenido sigue residiendo en el disco hasta que sea sobreescrito por otro archivo. Hay numerosos programas disponibles para recuperar todo o parte del contenido de un archivo borrado.
Si usas PGP para cifrar un archivo y lo borras, o usas un editor para componer y guardar mensajes de correo electrónico antes de cifrar, estás en peligro.
Hay también una vulnerabilidad en los archivos temporales borrados. Algunas aplicaciones guardan una copia temporal del documento en el que estás trabajando. El archivo se borra cuando terminas la sesión de trabajo. Puede que ni siquiera estés al tanto de que existe un archivo temporal, pero el contenido puede ser visto o recuperado por alguien con acceso a tu disco duro.
Las utilidades de "tachado" [Wipe] resuelven esta debilidad sobreescribien
do un archivo con datos, a veces varias veces, antes del borrado. Esto evita que un fisgón use una herramienta de recuperación de datos para recuperar un archivo borrado o escudriñar un disco duro en busca de evidencias incriminadoras
.
PGP tiene un parámetro opcional de tachado, pero solamente con una pasada. Una sola sobreescritura debería bastar para la mayoría de los casos, pero en algunos casos de riesgo extremo se requiere que los datos sean sobreescritos al menos tres veces antes de su borrado.
Nota: algunos expertos han afirmado que los microscopios electrónicos de barrido o de efecto túnel pueden ser capaces de recuperar datos sobreescritos entre 7 y 9 veces. Sin embargo, debido al coste y a los factores que afectan la remanencia magnética fuera de las condiciones de laboratorio, este es un ataque improbable.
Contramedidas *
No dejes por ahí copias archivos de de texto no cifrado.
*
Usa utilidades de borrado seguro.
*
Ojo a las aplicaciones que usan archivos temporales
*
Destruye físicamente (rasga/quema/pulveriza/mete en ácido) los medios magnéticos viejos [discos duros, disquetes] que contengan datos seguros.
Espacio residual [slack space]DOS/Windows asigna espacios de disco en paquetes llamados clusters. Por ejemplo, con un tamaño de cluster de 2k, un archivo de 100 bytes usa el mismo espacio que un archivo de 2.048 bytes. El espacio residual es el espacio que hay entre el final del archivo físico y el final del cluster asignado. Si bien una utilidad de borrado seguro sobreescribe el archivo físico, los bytes del espacio residual suelen permanecer.
Esto significa un riesgo, ya que pueden quedar bits y trozos de texto no cifrado en un disco duro. Como ejercicio, usa un editor de disco y busca en tu disco duro una cadena de texto referente a algo de información privada. Es probable que encuentres referencias en clusters no asociados con archivos actualmente asignados. Un fisgón puede lanzar un ataque similar de exploración.
Desfragmentar el disco duro no eliminará los datos almacenados en el espacio residual. Tu única opción es usar un programa diseñado para borrar los bytes no asignados que se encuentran al final de los clusters.
Contramedidas *
Usa programas para el borrado de espacio residual -
Para ver este enlace Registrate o Inicia Sesion [N. del T. otro programa eficaz para borrado de espacio residual es BCWipe]
Vigilancia del tecladoLa principal debilidad de cualquier criptosistema es habitualmente la autenticación de la contraseña. Los usuarios suelen cometer muchos errores involuntarios al seleccionar y asegurar una contraseña. Sin embargo, las contraseñas son asimismo extremadamente vulnerables al nivel del sistema operativo.
Las rutinas de gestión de claves en DOS y Windows pueden ser fácilmente parcheadas para capturar las pulsaciones sobre el teclado. Las pulsaciones pueden ser grabadas en el disco o transmitidas por una red. Hay numerosas aplicaciones DOS y Windows en Internet para el monitoreo de pulsaciones, que podrían usarse para subvertir una contraseña de PGP. Con la contraseña revelada, el fisgón solamente necesita una copia del archivo de claves secretas.
Contramedidas *
Usa aplicaciones diseñadas para evitar la vigilancia del teclado (NetSafe).
*
Guarda resúmenes (hash) cifrados, o firmas, de ficheros clave en el sistema operativo "limpios" para futura referencia.
Vulnerabilidad es de redSe han identificado diversas debilidades relacionadas con la seguridad en entornos de red en Windows 3.x, Windows 95 y Windows NT. No está al alcance del presente trabajo discutir estas debilidades en detalle. Como poco, los usuarios deberán estar al tanto de que bajo ciertas circunstancias, es posible el acceso encubierto a datos mediante las unidades de disco en acceso a redes
Contramedidas *
Mantente al día respecto a las vulnerabilidad
es de red de Windows.
*
Usa archivos Winsock (de los que guardan registro de las actuaciones pasadas) para vigilar las conversaciones en protocolos.
Ataques por redEl crecimiento de Internet ha supuesto nuevas amenazas para los usuarios. Los días de los PC como estaciones de trabajo monousuario o en pequeñas redes de confianza son cosa del pasado. Los ataques remotos lanzados por Internet son ahora una posibilidad real. Estos tipos de ataques, ya sea contra individuos o empresas, aumentarán con toda seguridad en el futuro.
Ataques con virusVirus con fines de espionaje. Diseñados para recoger/robar información. Pueden ser de despliegue vertical o horizontal.
Hay un brillante futuro para los virus "de espionaje". Considera un virus que se extienda solamente a máquinas con copia de PGP en su interior.
Contramedidas *
Usa programas para comprobación antivirus.
Ataques por navegadores y aplicaciones [applets] hostilesAl haberse ido convirtiendo los navegadores en programas clave para los usuarios, hay que tener en cuenta los riesgos que subyacen a su naturaleza ubicua. Se ha descubierto numerosos fallos de seguridad en los navegadores tanto de Netscape como de Microsoft, los cuales permiten el acceso remoto no autorizado al disco duro de un usuario. Varios de estos fallos podrían ser explotados contra PGP para:
*
robar un archivo de claves
*
modificar un archivo de claves
*
instalar un caballo de Troya
*
permitir acceso a archivos no cifrados
Aunque los vendedores sacan parches contra dichos fallos, no todos los usuarios son conscientes de que puede haber problemas de seguridad en versiones más antiguas.
Además de esto, en la vorágine competitiva para sacar al mercado nuevas versiones de los navegadores, están mostrando sus feas caras muchos más fallos de los que se puedan ver en un producto con un ciclo de desarrollo normal. Cuantos más fallos, más posibilidades hay de que uno de ello pueda convertirse en un agujero de seguridad. (El ambocioso esfuerzo de Microsoft llamado Windows 98, que fusionará el ordenador con Internet, significará sin duda mayor vulnerabilidad debido a la naturaleza de la unión transparente entre el PC y la red).
Aparte los riesgos asociados con los fallos de los navegadores, los lenguajes de programación como Java, JavaScript y VBScript, así como la arquitectura ActiveX de Microsoft permiten una posible vía de entrada a ataques remotos mediante el acceso a páginas Web.
Si bien el modelo de seguridad en Java ofrece teóricamente una barrera para mantener las aplicaciones [applets] fuera de los datos del usuario, siguen apareciendo fallos de seguridad. ActiveX no ofrece seguridad contra estos tipos de ataques, ya que funciona mediante un modelo de confianza basado en firmas, en el que el sentido común del usuario es la fuerza predominante.
Aunque la mayoría de la gente se preocupa por páginas Web diseñadas para resultar destructivas, no existe mucha información sobre páginas Web diseñadas para espionaje, las cuales extraen ocultamente información del disco duro de un usuario. Estas "páginas de ataque", pasivas y relativamente difíciles de detectar, pueden acabar siendo una amenaza sustancial a la intimidad y seguridad en el futuro.
Hasta la fecha, no hay contenidos en páginas Web lo bastante atractivos para arriesgarse habilitando opciones Java, SavaScript y ActiveX en tu navegador.
Contramedidas *
Mantente al día con los últimos parches de tu navegador.
*
No confíes en páginas Web que contengan Java, JavaScript, VBScript o ActiveX
*
Usa una estrategia de "rojo/negro" con dos ordenadores (uno conteniendo información insegura y usado para navegar por la red; el otro con información asegurada y aislado de la ved).
*
Usa Lynx.
Ataques por vigilancia electrónicaAdemás de los ataques a PGP basados en ordenador, pueden usarse métodos tradicionales de vigilancia electrónica para comprometer la seguridad que el cifrado suele ofrecer.
Vigilancia audio y videoPodrían escribirse tomos enteros sobre técnicas de vigilancia y contravigilanc
ia electrónica usada por agencias de inteligencia, fuerzas de seguridad y el sector privado. Aunque estos métodos quedan fuera del alcance de este trabajo, es importante recordar que estos tipos de ataques pueden usarse junto con ataques basados por ordenador como los anteriormente descritos, u otros. Algunos ejemplos:
*
Las personas suelen hablar consigo mismas al usar un ordenador. Un micrófono de audio puede revelar la contraseña u otra información.
*
Un teclado estándar puede ser cambiado por un modelo modificado que contenga un transmisor para emitir una señal única para cada tecla pulsada. Pueden enviarse señales de radio a cada pulsación, o almacenadas y enviadas a intervalos aleatorios en una transmisión rápida.
*
Puede incluso usarse vigilancia no electrónica. Se conocen casos de hackers que usaban telescopios para observar monitores de ordenador por las ventanas.
Si bien el equipo de vigilancia suele ser caro, hay aparatos de menor precio. Considera que la vigilancia electrónica puede usarse por oponentes que carezcan de la habilidad técnica para montar un ataque basado en ordenador.
Contramedidas *
Si el modelo de amenaza lo permite, usa contramedidas técnicas anti-vigilancia (TSCM)
*
No confíes en detectores de micrófonos de los de "tiendas de espías", ya que por lo general solo detectan los tipos más básicos de ingenios de vigilancia (a menos que tengas la experiencia y el equipo adecuados, no podrás detectar aparatos sofisticados de vigilancia).
TEMPESTTEMPEST es una palabra código sobre el estudio de las emanaciones electromagnéticas y las contramedidas necesarias para evitar la fuga de información. Por ejemplo, los monitores de ordenador sueltan emanaciones electromagnéticas. En las condiciones correctas y con el equipo técnico adecuado, es posible recrear el contenido de la pantalla desde una ubicación remota. Los riesgos de seguridad son obvios.
A pesar de los esfuerzos de los gobiernos occidentales para mantener la información tipo TEMPEST oculta, hay bastante información pública disponible (ver
Para ver este enlace Registrate o Inicia Sesion).
Algunos "expertos" pintan un cuadro de furgonetas en cada esquina, rastreando las pantallas de los PCs en las ondas. Para la mayoría, la amenaza de vigilancia de emanaciones es irrealista. Bajo las condiciones del mundo real, es difícil re-crear una pantalla de ordenador capturada. No obstante, si el enemigo tiene acceso a recursos cuantiosos y el objetivo tiene alto valor, tales ataques pueden ser viables.
Contramedidas *
Usa técnicas y componentes habituales de apantallamient
o de radiofrecuenci
a para reducir las fugas electromagnéticas de tu PC, periféricos y cableado.
*
Compra hardware apantallado contra TEMPEST
Ataques no técnicosLa tecnología suele verse como una solución mágica a los problemas de seguridad. No lo es. El hecho simple es que los ataques que involucran personas en vez de tecnología suelen ser más efectivos y económicos.
Es muy peligroso subestimar el elemento humano. Piensa en:
*
Soborno, amenazas o coerción física sobre amigos, familiares o colegas.
*
Irrupciones y robos, aprobados judicialmente o ilegales.
*
Confianza en la persona equivocada.
Cualquiera de estas condiciones comprometerá comunicaciones cifradas con PGP más deprisa que una bancada de superordenador
es Cray.
Contramedidas *
Revisa la seguridad física en sus premisas.
*
No escribas tu contraseña.
*
No entres tu contraseña enfrente de otros.
*
Guarda los archivos de claves en un disquete floppy y en lugar seguro.
*
No aceptes caramelos de desconocidos.
*
No confíes en nadie.
ConclusiónDefenderte contra ataques prácticos a PGP es factible si tienes en cuenta algunas contramedidas.
*
¿Cuál es tu modelo de amenazas? Esto debe dictarte tus contramedidas.
*
Usa una estrategia de "rojo/negro"
*
No seas tonto con tu contraseña
*
No ejecutes PGP en una red
*
Usa SFS, SecureDrive, SecureDisk, BestCrypt, F-Secure, etc.
*
Guarda resúmenes MD5 o firmas PGP de archivos "limpios" de PGP y del sistema operativo, y compruébalos periódicamente.
*
Usa programas antivirus
*
Guarda los archivos de claves en un disquete (cifrado convencionalme
nte)
*
Borra archivos y espacio residual de modo seguro
*
Destruye físicamente (pulveriza/quema/machaca) discos viejos que tengan datos de interés
*
Vigila los registros Winsock de TCP-IP
*
Desactiva las opciones Java, JavaScript y ActiveX en tu navegador
*
No te olvides de la seguridad física
*
Ten cuidado en quién confías
*
Obtén tu copia de PGP de una fuente fiable
*
Líbrate de Windows y usa Linux con CFS
sacado de
Para ver este enlace Registrate o Inicia Sesionhttp://www.cripto.es/expedien/exped004.htm
Conclusion FinalLa conclusion global que podemos hacer es que: esta aplicacion (pgp) que trabaja con el protocolo pgpopen no es muy comoda a la hora de instalar, sin embargo una vez que ya tenemos todo montado tenemos muchas opciones de encriptacion de manera indesibrafle.
Pero tenemos que tener en cuenta varios puntos porque sino puede ser vulnerado este tipo de encriptacion
espero que les haya servido ^^
saludos
Autor