Lo que sigue es la traducción al castellano de las Preguntas Habitualmente Formuladas (FAQ) sobre PGPi. Se pueden enviar comentarios [al autor original] a stale@hypnotech.com. [Comentarios sobre la traducción: Arturo Quirantes, aquirantes arroba cripto.es]
Si tiene alguna pregunta sobre PGP en general, pruebe con la FAQ de comp.security.pgp.
1.1. ¿Por qué crear una versión PGP internacional?
Las versiones PGP del MIT y Network Associates, Inc. (antiguamente PGP, Inc.) fueron hechas dentro de los EEUU, pero finalmente se extendieron al resto del mundo a pesar de las Reglamentaciones a la Exportación norteamericanas, que controlan la exportación de los productos criptográficos de calidad. PGP 5.0i fue la primera versión de PGP que fue exportada legalmente de los EEUU, ya que el programa fue exportado en forma de libro impreso, escaneado y sometido a un reconocimiento óptico de caracteres (OCR) para que el código estuviese disponible en forma electrónica.
Las razones para escanear el código fuente y hacer PGP 5.0i (y versiones posteriores) fueron múltiples:
1.2. ¿Cuál es la última versión internacional de PGP?
La última versión internacional version de PGP para Windows 95/NT y MacOS es PGP 5.5.3i. La última versión para MS-DOS, OS/2, Amiga, Atari y Unix es PGP 5.0i.
Las diferencias entre PGP 5.0i y 5.5.3i se deben fundamentalmente al GUI [interfaz gráfico de usuario], corrección de fallos de programación y cosas así. No habrá versiones 5.5(.3)i para otras plataformas que no sean Windows y Macintosh. En esta FAQ, nos referiremos a las versiones PGP 5.5.3i para Windows/Macintosh y PGP 5.0i para otras plataformas simplemente como PGP 5i.
Otras plataformas, aparte las mencionadas anteriormente, están en la angitua versión 2.6.3i . Sin embargo, esta versión no comprende los nuevos algoritmos de cifrado añadidos a PGP 5.0(i) y posteriores.
1.3. ¿En qué se diferencia PGP 5.5i de PGP 5.5?
PGP 5i es básicamente la misma versión que PGP 5, pero hay algunas diferencias importantes:
1.4. ¿Es compatible PGP 5.5i con otras versiones de PGP?
PGP 5i puede leer y comprender mensajes, claves y firmas creadas con cualquier versión 2.x de PGP (Nótese, sin embargo, que las claves no pueden ser mayores de 4.096 bits. Aunque, tampoco ningula versión oficial de PGP usa claves más largas)
PGP 5i puede generar mensajes, claves y firmas legibles y comprensibles por cualquier versión 2.6.x de PGP, supuesto que use usted claves RSA. PGP 5i admite también claves DSS/Diffie-Hellman, pero los mensajes cifrados con este nuevo tipo no pueden ser leídos por versiones anteriores a la 5.0.
Nótese, si embargo, que los mensajes de PGP 5i no pueden ser comprendidos por PGP 2.3a o versiones anteriores, sea cual sea el tipo de clave que use.
Para resumir: en tanto que use claves RSA, PGP 5i es compatible con todas las versiones de PGP habitualmente usadas hoy. Solamente debe usar claves DSS/Diffie-Hellman si sabe que el destinatario también usa PGP 5.0 o posterior.
1.5. ¿Habrá una versión PGP 6.0i?
Probablemente, sí. Pero primero tiene que haber una PGP 6.0. Si Network Associates,
Inc. (anteriormente PGP, Inc.) publica el código fuente de PGP 6.0 lo escanearemos, tal y como hicimos con 5.0 y 5.5.
1.6. Entonces, ¿qué versión debo usar?
En general, debería usar PGP 5 si se encuentra usted en EEUU, y PGP 5i en caso contrario. El uso dePGP 5i es legal en casi todo el mundo (excepto EEUU, debido a restricciones de patentes), y no tendría problemas de compatibilidad con otras versiones de PGP.
2.1. ¿Qué significa "internacional"? ¿Quién puede usarla?
La 'i' de '5i' significa "internacional". En general, significa "no-EEUU". PGP 5i fue exportado legalmente de EEUU, y puede usarse en cualquier país fuera de EEUU donde el cifrado sea legal. Si no está seguro acerca de la legalidad del cifrado en su país, compruébelo en el Crypto Law Survey.
2.2. ¿Puedo usar PGP 5.5i para fines comerciales?
Si, puede, pero debe obtener una licencia para usa comercial de Network
Associates, Inc. (antiguamente Pretty Good Privacy, Inc.) o de sus representantes autorizados.
Si se encuentra vd. en EEUU o Canadá, dirígase a: http://www.pgp.com/.
Si se encuentra en cualquier otro lugar, dirígase a: http://www.pgpinternational.com/.
Si desea usar un producto compatible con PGP (p. ej. un producto de cifrado que pueda interoperar con PGP o basado en el estándar Open-PGP, pero no contiene software propiedad de PGP para implementar sus funciones criptográficas), puede necesitar licencias adicionales de terceras partes, como Ascom Systec AG si se usa el algoritmo IDEA en tales productos, o de RSA Data Security, Inc. si se usa en el producto y éste va a ser distribuido en Estados Unidos.
Ascom Systec AG
Licencias IDEA
Gewerbepark
CH-5506 Maegenwil
Suiza
Teléfono : +41 62 889 59 54
Fax : +41 62 889 59 54
Correo electrónico : idea@ascom.ch
Página web: http://www.ascom.ch/systec/
El código fuente para PGP 2.6 y posteriores puede usarse como un todo en forma no modificada en productos que vd. escriba para su propio uso no comercial, bajo los términos de licencia de código no comercial de PGP para PGP 5.0i. Debidl a restricciones de licencias, si se incluye el algoritmo IDEA cualquier modificación del código requiere una licencia adicional de Ascom
Systec AG (ver pregunta 2.2).
Así, ¿cómo puede integrar funciones PGP en su propia plataforma? Ver pregunta 3.3!
WWW:
FTP:
No hay una versión "auténtica" de PGP para Windows 3.x, pero hay diversos interfaces [shells] que se acoplan a la versión DOS de PGP 2.6.3i. También hay una compilación para Win32 (Windows 95/NT)
pero solamente es una aplicación en modo de texto, sin esa bonita presentación de GUI. Sin embargo, admite nombres de archivo largo (NTFS & VFAT).
Para más información sobre la compatibilidad de PGP en Windows,ver http://www.pgpi.com/platforms/windows/.
Para verificar las firmas, necesita la clave pública del firmante:
Si sigue teniendo problemas, pruebe mandando un mensaje al grupo de discusión alt.security.pgp y pida ayuda. [N.T. Grupo en español: es.comp.seguridad.pgp ] Si cree haber encontrado un fallo de programación genuino en PGP, eche un vistazo a
http://www.pgpi.com/bugs/.
!NOTA! El procedimiento anterior sólo borrará los archivos usados por PGP. Si también quiere borrar las entradas al registro, use el instalador que viene con PGP 5.0 o 5.5(i)
Si quiere usar PGP con Outlook Express, actualícese a PGP 5.5.3i.
NO, que yo sepa. Ver pregunta 5.2. La opción ARR explicada en la pregunta 5.4 no es una puerta trasera; es una opción bien conocida y discutida abiertamente (aunque algunas personas no la aprueban). No tiene por qué usarla si no quiere.
Cuando vd. genera una nueva clave usando la versión comercial PGP 5.5, puede especificar si los mensajes cifrados con esta clave deben también ser cifrados con la clave de la empresa. Cuando otras personas cifren mensajes usando la clave de vd., PGP (cualquier versión 5.x), pedirá que el mensaje sea asimismo cifrado usando la clave de la empresa. Sin embargo, el usuario puede eliminar libremente esta clave de la lista de destinatarios si así lo desea. Por esto esta opción es realmente una Petición de Destinatario Adicional (ARR); no es obligatoria.
2.3. ¿Puedo usar código PGP en mis propios programas?
El código fuente de PGP 2.3a y anteriores versiones se distribuye bajo LPC - Licencia para Público en General.
3.1. ¿Dónde puedo conseguir una copia de PGPi?
PGPi está disponible tanto en código fuente como en binarios precompliados para muchas plataformas. Puede conseguir PGP de cualquiera de las siguiente fuentes:
3.2. ¿Hay una versión Windows de PGP?
Sí. PGP 5.5.3i está disponible para Windows 95 y Windows NT 4.0.
3.3. Existe una DLL para PGP?
Aí. PGP 5.5i incluye una DLL [Librería de Enlace Dinámico] que puede llamar desde los propios programas de vd. La DLL no está documentada, pero si descarga el código fuente de PGP 5.5i, debería ser vd. capaz de averiguar cómo funciona. Nótese, sin embargo, que el API ha cambiado de PGP 5.0i a PGP 5.5i, así que no debe usar la DLL que viene con PGP 5.0i.
3.4. ¿Dónde puedo obtener módulos actualizados de lenguaje para PGPi?
Pueden encontrarse módulos de lenguaje para PGP 2.6.3i aquí.
Los módulos de lenguaje para PGP 5.x no están aún listos. Sigan a la escucha.
4.1. ¿Cómo puedo comprobar la integridad de PGPi?
Todos los archivos de distribución de PGPi contienen una o más firmas para que pueda vd. verificar que los archivos no han sido alterados. Los archivos de firma tienen la extensión ".asc", y están, bien dentro del archivo de distribución (para poder comprobar cada archivo), o en un archivo separado en el mismo directorio que el programa (para poder comprobar todos los archivos de una vez).
4.2. Tengo problemas instalando PGPi. ¿Qué hago?
Primero, asegúrese de haber leído la documentación cuidadosamente.
4.3. ¿Cómo puedo desinstalar PGP 5.0i para Windows 95/NT?
La versión PGP 5.0i fue hecha pública deprisa y corriendo, y no tuvimos tiempo de escribir un desintalador. Si quiere desinstalar PGP, puede simplemente borrar todos los archivos en el directorio de PGP. Además, debería borrar los siguientes archivos del directorio SYSTEM de windows:
Si ha instalado el conector [plug-in] de Eudora, debe asimismo borrar pgpplugin.dll del directorio Eudora/Plugins.
4.4. No consigo que el conector [plug-in]I de PGP 5.0i para Outlook funcione con Outlook Express. ¿Qué va mal?
Microsoft Outlook Express es un sistema de correo electrónico totalmente diferente de Outlook. Entre otras cosas, no sabe nada sobre los plug-ins de Microsoft Outlook, o incluso los servicios de correo electrónico de Windows ("Microsoft Exchange") tales como The Microsoft Network Classic, y ni siquiera se comunicará con Microsoft Exchange Server si no tiene instalado POP3 o
IMAP. Es sólo una versión, con nuevo nombre y herramientas, de "Microsoft Internet Mail" y "Microsoft Internet News", y esta encarnación sólo soporta la norma S/MIME.
5.1. ¿Puede PGP ser reventado?
Sí. Cualquier versión de PGP puede ser reventada [cracked], supuesto que el atacante tiene suficiente tiempo y recursos (= dinero) para el trabajo. Sin embargo, un mensaje típico PGP con clave de 1.024 bits requeriría unos 300,000,000,000 MIPS-año [MIPS: millones de instrucciones por segundo] para ser reventado, así que el ciudadano de a pie está seguro, al menos durante las próximas décadas. Ver el FAQ sobre ataques a PGP (http://axion.physics.ubc.ca/pgp-attack.html) para detalles Si alguien realmente quiere leer los mensajes cifrados con PGP por vd, le iría mejor robando una copia de la clave secreta de vd. e intentando adivinar su frase de contraseña ,o bien obligándole a vd. a revelarla.
5.2. ¿Es acaso PGPi la versión que fue debilitada para la exportación por la NSA?
No. PGPi es tan segura como cualquier otra versión de PGP. Nadie, esa Phil Zimmermann, el MIT, la NSA, yo mismo o nadie ha puesto ninguna puerta trasera en PGPi, lobotomizado el generador de números aleatorios, limitadl el tamaño efectivo de la clave o hecho nada que comprometa la seguridad del programa. Si no lo cree, descargue el código fuente y véalo vd. mismo. El código fuente PGP está disponible gratuitamente a cualquiera que quiera revisarlo, y ha sido así durante muchos años. Con todo, nadie ha sido capaz de encontrar puerta trasera alguna. La conclusión es clara: si alguien puede romper PGPi, también podría romper cualquier otra versión de PGP. Si usted lee revistas como Internet World, no crea una palabra de lo que dicen.
5.3 ¿Contiene PGP alguna puerta trasera?
5.4 He oído que PGP 5 contiene opciones de recuperación de clave. ¿Es cierto?
Sí. Todas las versiones PGP 5.x tienen una opción conocida como ADK (Additiona Decryption Key = Clave Adicional de Descifrado), o más correctamente ARR (Additional Recipient Request = Petición de Destinatario Adicional). PGP, Inc. implementó esta opción en PGP a demanda de empresas que quieren ser capaces de recuperar mensajes escritos por sus empleados (p. ej. cuando los empleados abandonan la empresa). Sin embargo, es completamente opcional. Funciona así:
6.1. ¿Cómo pudo PGP 5.5 ser escaneado tan rápidamente?
El proyecto de escaneado de PGP 5.0 llevó muchos meses, pero 5.5 fue escaneado y comprobado en tan sólo un par de semanas
The PGP 5.0 scanning project took many months to complete, but 5.5 was scanned
and proofread in just a couple of weeks. Teun Nijssen explica cómo fue posible.
6.2. ¿Hay fallos de programación en PGPi?
Ningún programa está libre de error al 100%, y esto también se aplica a PGPi. Para ver una lista de los fallos de programación conocidos, y cómo arreglarlos, o para informar de nuevos fallos, vaya a la página de fallos de PGP en http://www.pgpi.com/bugs/.
6.3. ¿Es PGP inmune al "efecto 2000"?
Sí. PGP usa el formato interno de fecha de Unix (un número entero de 32 bits que cuenta los segundos transcurridos desde el 1 de Enero de 1.970), de modo que el año en que hay que preocuparse no es el 2.000, sino el 2.038 (intero firmado) o el 2.106 (entero no firmado). Para entonces, es de esperar, nadie usará ya máquinas a 32 bits.
6.4. ¿Quién es el responsable de PGPi?
PGP 5.0i y 5.5.3i fueron compilados y publidados por Teun Nijssen en Holanda y Ståle Schumacher Ytteborg en Noruega. Sin embargo, este trabajo no habría sido posible sin la ayuda de mucha gente en todo el mundo. Para más información sobre el proyecto de escaneo, ver aquí.
6.5. ¿Dónde puedo obtener soporte técnico para PGPi? PGPi?
No hay soporte técnico para las versiones gratuitas de PGP. Si quiere soporte, tendrá que comprar una de las versiones comerciales. Con todo, hay muchos recursos sobre PGP en la Red (ver más abajo), y si mira alrededor, probablemente encontrará lo que busca. También hay ayuda disponible en los diversos
grupos de discusión sobre PGP, como alt.security.pgp
Si tiene usted una pregunta importante sobre PGPi, puede enviármela, pero no puedo garantizar respuesta. Recibo demasiado correo estos días. La información sobre los fallos de programación deben darse a pgp-bugs@pgpi.com. Pero, por favor, lea todas las FAQs primero, puesto que mi buzón está siempre lleno de mensales sobre PGP. Por favor, no me envíe preguntas generales de soporte técnico, tales como Tengo problemas instalando PGPi. ¿Qué hago? o ¿Cómo puede usar PGP 5.5i con (inserte aquí su programa favorito para correo electrónico)?. Sencillamente, no tengo tiempo para responder tales preguntas. Envíelas a uno de los grupos de noticias o listas de correo sobre PGP
6.6. ¿Dónde puedo aprender más sobre PGP?
The Página Internacional de PGP es un excelente punto de partida para una ulterior exploración sobre PGP:
Para información sobre PGP y cifrado en general, revise las siguiente direcciones: