CIFRADO CON GPG

Nivel 6: Gestión avanzada


Señor Turing, estamos preparados.


Esta última entrega del tutorial quizá no la uses nunca, pero tengo que explicarla porque la considero importante.


Ha pasado el tiempo y hemos cambiado de email, o queremos añadir una subclave, o queremos modificar la caducidad de la clave, o lo que sea. Esos cambios hay que actualizarlos en nuestra clave.


Mucha gente no sabe cómo hacerlo y opta por crearse otro par de claves, pero es volver a empezar de nuevo, y avisar a todos los que tengan tu clave que ya no la usas, y enviarles de nuevo la clave nueva... un engorro.


Para eso está la gestión de claves, que no cambia la clave en sí pero sí sus metadatos.


AÑADIR UUID


Puede que quieras usar otro ID, por ejemplo, añadir otra cuenta de correo, porque ahora cifras desde tu cuenta de correo personal y desde la del trabajo:


gpg --edit-key pepito@grillo.com

	sec  rsa4096/8D8C75185633D221
	     creado: 2015-11-28  caduca: nunca       uso: SC  
	     confianza: absoluta      validez: absoluta
	ssb  rsa4096/ABEB58DAAED01C44
	     creado: 2015-11-28  caduca: nunca       uso: E

	[  absoluta ] (1). Pepito Grillo <pepito@grillo.com>

   gpg> adduid
   gpg> quit

Como ves solo aparece una cuenta de correo asociado.

Ahora nos preguntará por los datos de la misma manera que lo hizo al crear la clave, es decir, nombre y apellidos, cuenta de correo y comentarios. Una vez añadidos los datos nos devuelve al prompt de gpg, donde saldremos con la orden "quit" y diremos que sí a la pregunta de guardar los cambios.


Si ahora volvemos a teclear el mismo comando veremos que se han aplicado los cambios, teniendo otro UUID (2) llamado Pinocho:


gpg --edit-key pepito@grillo.com

   sec  rsa4096/8D8C75185633D221
     creado: 2015-11-28  caduca: nunca       uso: SC  
     confianza: absoluta      validez: absoluta
   ssb  rsa4096/ABEB58DAAED01C44
     creado: 2015-11-28  caduca: nunca       uso: E

   [  absoluta ] (1). Pepito Grillo <pepito@grillo.com>
   [  absoluta ] (2)  Pinocho <pinocho16@gmail.com>


Si te fijas, el primer UUID tiene un punto (1). lo que indica que es el UUID predeterminado.



CAMBIAR UUID PREDETERMINADO


Quiero usar el UUID secundario como principal. Viste que el UUID principal tiene un punto, así que hay que cambiarlo:


gpg --edit-key pepito@grillo.com

   gpg> uid 2
   gpg> primary
   gpg> save
   gpg> quit



ELIMINAR UUID


Si tienes un UUID que ya no quieres, puedes eliminarlo. Volviendo al ejemplo anterior, el punto está en UUID 2 así que voy a eliminar el UUID 1


gpg --edit-key pepito@grillo.com

   gpg> uid 1
   gpg> deluid
   gpg> save
   gpg> quit

NOTA: Asegurarse antes de nada que el punto se mueve al UUID sobre el que queremos operar



AÑADIR SUBCLAVE


A veces, al generar nuestro par de claves como hicimos al principio de todo del curso, solo escogemos la opción de firmar (opción 4 del menú). Luego queremos cifrar y no podemos, pero se puede añadir la subclave para cifrar:


gpg --edit-key pepito@grillo.com

   gpg> addkey
   gpg> save
   gpg> quit

Le decimos que añada (addkey) una subclave. Nos preguntará por el tipo y seleccionarás "6 RSA (sólo cifrar)" e introducirás el tamaño de la clave, por ejemplo 2048.

Le decimos que guarde y salga.



CAMBIAR CONTRASEÑA


Si la contraseña que elegiste no te gusta, o la quieres cambiar por seguridad, puedes hacerlo sin problemas:


gpg --edit-key pepito@grillo.com

   gpg> passwd
   gpg> quit

Te pedirá la antigua contraseña y luego la nueva.



CAMBIAR LA CADUCIDAD DE LA CLAVE


Si pusimos caducidad y no queremos que caduque, o si queremos añadir caducidad a una clave temporal o cualquier otro motivo, puedes cambiarlo. Por defecto siempre aparece la "key 0" pero siempre es mejor asegurarse:


gpg --edit-key pepito@grillo.com

   gpg> key 0
   gpg> expire
   gpg> save
   gpg> quit

Después del comando "expire" te pide que especifiques el periodo de validez sobre unas opciones que van del 0 (no caduca) a semanas, meses o años.



Ahora haremos lo mismo en la subclave:


gpg --edit-key pepito@grillo.com

   gpg> key 1
   gpg> expire
   gpg> save
   gpg> quit

Nota que he cambiado "key 0" por "key 1". Hay que asegurarse de que el asterisco ha cambiado a la subclave sobre la que quieres operar.


Todo esto puede hacerse desde los programas GUI mseleccionando tu clave y eligiendo la opción "Edit key" o similar.



BORRANDO CLAVES


Si ya no necesitas la clave de algún contacto, eliminarás su clave con el siguiente comando:


gpg --delete-key pili-mili@disroot.org

Si es tu clave la que no quieres:


gpg --delete-secret-key "Pepito Grillo"

Como ves, has borrado la clave secreta, pero como la clave pública va asociada, también se elimina.



EXPORTAR E IMPORTAR CLAVE PRIVADA


NOTA: Ojo con esto. Nadie excepto tú deberá tener la clave privada (que es la llave que abre los candados), así que usa esto con cuidado.


Puedes querer poder usar GPG desde el smartphone o el portátil. En Android yo uso la app OpenKeyChain, pero también existe APG.

En este caso tienes que exportar la clave privada al dispositivo que quieras para poder usar GPG:


gpg -a --export-secret-key pepito@grillo.com" > clave-privada

Te pedirá la contraseña y después ya la tendrás disponible para copiarla al dispositivo.


Para importar la clave privada:


gpg --allow-secret-key-import --import clave-privada

O desde las apps móviles, "Importar clave privada".




Y hasta aquí llega el curso de cifrado con GPG.


Hay muchas otras cosas que se pueden hacer y que no he explicado porque entra dentro de un uso más profesional. Te invito a que leas la web del proyecto, mires las páginas man y busques información por la red, porque se pueden hacer cosas muy chulas.


Espero que el curso te haya servido de ayuda.



◄ Listado del tutorial

◄◄ Inicio



/blog/gpg/