Las V Jornadas de Software Libre en Asturias tienen un espacio para una charla de introducción a GnuPG y un taller durante el cual se realizará un acto de firma de claves. Para poder aprovechar al máximo el acto de firma de claves, lee íntegramente esta página.

La charla consiste en una breve introducción a GnuPG como programa que permite un uso sencillo de la criptografía. El objetivo principal es dar unos conceptos básicos sobre GnuPG y la criptografía, de forma que las personas interesadas puedan profundizar por su cuenta en el tema, teniendo como objetivo final la presentación del intercambio de claves. Ver las transparencias usadas en la presentación .

El objetivo de un intercambio de claves es tejer una red de confianza lo más sólida posible. Un intercambio de claves permite verificar la autenticidad de las claves de los participantes.

Para mayor claridad, el procedimiento para participar en el acto de firma de claves se ha dividido en tres bloques: Tareas a realizar antes del acto de firma de claves. Tareas a realizar durante del acto de firma de claves. Tareas a realizar después del acto de firma de claves.

Disponer de una clave GnuPG. Si aún no tienes una, instálate el programa GnuPG y ejecuta la orden gnupg --gen-key. Más detalles en la documentación del programa y en la sección de enlaces, más abajo en esta página. Exportar la clave pública y enviarla al coordinador. Utiliza la orden gnupg --armor --export 7361F61D > mi-clave.asc, sustituyendo 7361F61D por el identificador de tu clave. Si no lo conoces, puedes solicitar un listado con la orden gnupg --list-keys. Luego envía el fichero mi-clave.asc al coordinador (gnupgARROBAsoftwarelibreasturias.org) como adjunto en un mensaje de correo electrónico.

El coordinador se encargará de explicar detenidamente las tareas a realizar durante el acto de firma de claves. Básicamente, cada participante debe: Leer en voz alta la huella digital (fingerprint) de su clave. Mostrar un documento de identificación (DNI). Verificar la huella digital y la identificación del resto de participantes. El coordinador entregará a todos los asistentes unas fotocopias que facilitarán este paso. Para poder participar activamente en el acto, es imprescindible traer tres cosas. Repasa la lista más abajo, en la sección de preguntas frecuentes.

Importar las claves de todos los demás participantes, gracias al fichero anillo.asc que el coordinador enviará por correo electrónico. La orden para conseguirlo es: gpg --import anillo.asc Comprobar la integridad de las firmas de ese fichero. Una por una, con gpg --fingerprint 7361F61D, se comprueba que la huella digital de cada clave (en el ejemplo, la clave con identificador 7361F61D) coincide con la que aparece en la fotocopia entregada por el coordinador durante el acto. Firmar las claves en cuya autenticidad no ofrezca ninguna duda (y sólo esas). Por ejemplo, para firmar la clave con identificador 7361F61D, se usa la orden gpg --sign-key 7361F61D. Enviar a su dueño cada clave que se haya firmado en el paso anterior. Por ejemplo, para enviarle a su dueño la clave 7361F61D, se exporta primero al fichero 7361F61D.asc usando la orden gpg --armor --export 7361F61D > 7361F61D.asc, y luego se envia un mensaje de correo electrónico con el fichero adjunto.

¿Qué debo llevar al acto de firma de claves? La huella digital (fingerprint) de tu clave. Más arriba se explica cómo obtenerla. Llévala impresa o anotada a mano. No uses un disquete, ni un CD, ni el lápiz USB. Un documento de identificación (el DNI). Un lápiz o bolígrafo (el papel lo proporciona el coordinador). ¿Debo llevar un ordenador (portátil) al acto de firma de claves? Es totalmente innecesario, y no se recomienda. Si no llevo un portátil, ¿cómo voy a firmar las claves? Las claves no se firman en el momento de la reunión, sino después, al llegar a casa. Quiero participar en el acto de firma de claves, pero no puedo ir personalmente. ¿Qué puedo hacer? Sólo podemos verificar la identidad de las personas que acudan físicamente al acto de firma de claves. Lo sentimos.

Para más información sobre GnuPG y los actos de firma de claves, consulta estas referencias: GNU Privacy Guard (GnuPG) Mini COMO. GPG Keysigning Party HOWTO.

Pablo López Cienfuegos es un Licenciado en Matemáticas por la Universidad de Oviedo, y usuario veterano de sistemas de criptografía. En las II Jornadas de Software Libre en Asturias pronunció una conferencia sobre este asunto. Diego Berrueta Muñoz es un Ingeniero Superior en Informática por la Universidad de Oviedo. En las I Jornadas de Software Libre en Asturias se encargó de pronunciar una conferencia sobre GnuPG. También organizó la primera fiesta de firma de claves en Asturias, y ha publicado un artículo acerca del uso de la criptografía. Ambos ponentes son miembros de AsturLiNUX.