Por José Manuel Gómez (jmg@kriptopolis.com)

Hasta tan sólo 25 años, el intercambio de mensajes cifrados era todavía un privilegio reservado a militares, diplomáticos y servicios secretos. Los modernos sistemas de claves públicas establecieron las bases para acercar esta potente tecnología al gran público, pero fue el lanzamiento en 1991 del popular programa PGP, el que hizo por fin realidad el acceso de las masas a las ventajas del correo electrónico ultraseguro. Los dos millones de usuarios cosechados desde entonces pueden convertirse ahora en muchos más, gracias a la facilidad de uso que aporta PGP 5 y el hecho de que sea gratuito.

¿Qué es PGP?

PGP (Pretty Good Privacy, “intimidad bastante buena”) es el programa más extendido y acreditado para el cifrado del correo electrónico. En la práctica, utilizarlo equivale a dotar al correo de valores añadidos del máximo interés: confidencialidad (ningún extraño puede leer el correo), autentificación (se puede comprobar la autoría de los mensajes recibidos y firmar los enviados) e integridad (se puede detectar fácilmente cualquier manipulación efectuada por terceros sobre los mensajes o ficheros recibidos o enviados). En pocas palabras: con PGP se dejan de sufrir las múltiples carencias del correo electrónico ordinario y se pasa a disfrutar de todas las ventajas del correo electrónico seguro.

Para lograr este objetivo, PGP hace uso de los algoritmos criptográficos más potentes del momento. Aunque la criptografía es un campo extenso y complejo, encontrará en un cuadro de este mismo artículo los conceptos más básicos, que le ayudarán a comprender mejor el funcionamiento de PGP.

1 ¿Es seguro el correo electrónico ordinario?

En absoluto. A poco que investigue el sistema de almacenaje y reenvío que se utiliza, deducirá que el correo electrónico ordinario es también mucho más susceptible a la manipulación y el fisgoneo que el correo postal tradicional. Los mensajes electrónicos se transmiten a través de decenas de ordenadores, cada uno de los cuales representa un punto vulnerable para su intimidad. Su propia naturaleza digital les hace mucho más susceptibles de ser copiados y almacenados (e incluso manipulados) que una carta tradicional. Si es usted una persona celosa de su intimidad, encontrará inquietante tener que confiar en la buena fe de administradores de correo desconocidos, curiosos, hackers y otras faunas cibernéticas. En el mejor de los casos, la intimidad de su correo electrónico ordinario es comparable a la de una tarjeta postal, que circula a la vista de todo el mundo. La función de PGP no es otra que proporcionar a sus mensajes un sobre lacrado e inviolable.

2 ¿Es legal usar PGP en España?

Por supuesto. El uso de PGP representa una forma de hacer valer el derecho constitucional a la intimidad de nuestras comunicaciones, protegido además expresamente por el nuevo código penal en lo que atañe a la confidencialidad de las comunicaciones electrónicas. Sobra decir que deberá usted adquirir y registrar su PGP cuando esté obligado a ello (si lo utiliza para fines comerciales), pero ello no difiere de lo que ocurre con cualquier otro programa. Como precaución adicional, no obtenga nunca PGP de servidores con sede en Estados Unidos, pues allí está prohibido exportarlo (esta es la razón por la que mucha gente se hace la pregunta relativa a la legalidad de su utilización en otros países). Finalmente, para garantizar que está haciendo lo correcto, utilice únicamente versiones autorizadas para uso internacional.

3 ¿No utilizan PGP también los delincuentes?

Probablemente. Pero aunque ello sea lamentable, no puede esgrimirse nunca como arma arrojadiza para establecer sistemas de censura en Internet, y privar así a los ciudadanos honrados de su derecho a la intimidad. Los delincuentes también utilizan en sus delitos coches, cuchillos, prismáticos y pasamontañas, pero los estados libres y democráticos aplican la presunción de inocencia a sus ciudadanos y no les niegan a priori el derecho a utilizar tales instrumentos, lo cual no es óbice para aplicar después la ley a quienes empleen esos medios para vulnerarla, obviamente.

4 ¿Basta con que usted instale PGP?

Para que pueda disfrutar de correo electrónico seguro con PGP, necesitará instalar el programa en su ordenador, pero también es necesario que lo tengan instalado sus interlocutores. Este aspecto se da muchas veces por supuesto, pero no está de más recalcarlo aquí. Sólo podrá intercambiar mensajes cifrados con otros usuarios de PGP. Esta es la razón por la que, cuanto más se difunda PGP, de más seguridad disfrutaremos todos. Afortunadamente existen ya más de dos millones de usuarios de PGP en Internet, y su número crece sin parar.

5 ¿Qué versión de PGP se debe utilizar?

En el cuadro “Retrato de familia: las versiones de PGP” se reflejan todas las versiones de PGP que existen o han existido. Esta labor es cada vez más compleja, dadas las peculiaridades históricas de este programa y su obligada división en versiones norteamericanas e internacionales, motivada por seculares conflictos de patentes y la peculiar política restrictiva a la exportación de criptografía que han venido siguiendo las autoridades norteamericanas. En cualquier caso, y a efectos prácticos, son dos las versiones internacionales más importantes: 2.6.3i y 5.0i. Entre ambas hay varios años de diferencia y un salto cualitativo importante, siendo la versión 5.0i la más moderna y fácil de usar, y a la que dedicamos este artículo.

6 ¿Es PGP complicado?

Es posible que usted haya oído o leído que PGP es un programa casi esotérico, complicado de instalar, aprender y usar. Se puede decir sin temor a equivocarse que en versión anterior (2.6.3i), aunque potente y fiable, la facilidad de uso no era ciertamente su principal virtud. La carencia de una interfaz gráfica adecuada y la necesidad de suplirlo mediante innumerables shells, contribuía muchas veces a complicar aún más las cosas, impidiendo a la gran mayoría acceder a los innegables beneficios de PGP. No obstante, la nueva versión 5.0 no tiene ya nada que ver con aquello. Se ha tratado, con éxito, de poner la potencia de PGP al alcance del usuario normal, aún a costa de perder alguna funcionalidad, que sólo echarán en falta los más expertos.

7 ¿Qué novedades aporta PGP 5.0i?

La más destacable es la mayor facilidad de uso. Ahora es posible cifrar y descifrar mensajes y ficheros a golpe de ratón, ya sea desde el menú que aparece al pulsar el icono de PGP en la barra de tareas de Windows, desde el Explorador, e incluso desde botones específicos que se agregan a los programas de correo soportados mediante módulos especiales (Outlook 97, Exchange y pronto Eudora).

PGP 5.0i proporciona también una interfaz gráfica para facilitar la administración de las claves, uno de los aspectos más difíciles en las versiones anteriores del programa. Además, se pueden colocar las claves públicas del usuario en depósitos accesibles desde toda la Web, sin necesidad de salir de la aplicación. Por otro lado, la versión 5.0i proporciona al usuario la posibilidad de elegir entre diferentes algoritmos de cifrado simétrico (IDEA, CAST y Triple-DES) o asimétrico (RSA y Diffie-Hellman-ElGamal). En cuanto a los algoritmos incorporados hash para las firmas digitales, se mantiene el MD5 en combinación con RSA (igual que ocurría en las versiones anteriores), pero se utiliza SHA-1 con las claves Diffie-Hellman, utilizando además en este caso claves separadas para firmar, tipo DSS.

Al igual que en versiones anteriores, todo el código fuente del programa es público y puede ser libremente examinado y recompilado, si así se desea.

8 ¿Cuánto cuesta PGP?

Hay que distinguir aquí diferentes situaciones. Para utilizar PGP en sus actividades privadas no lucrativas, se pueden emplear versiones gratuitas; es más: existe el compromiso expreso de que siempre existan versiones gratuitas, aunque no gocen de todas las características de las versiones comerciales de PGP. Por otro lado, si usted planea emplear PGP en sus actividades comerciales deberá adquirir la versión que vaya a utilizar.

En esta línea, y al igual que su homónima norteamericana, la versión internacional de PGP 5.0 existe en dos variantes diferentes: una gratuita, para uso no comercial (denominada 5.0i) y otra de pago, para usos comerciales (denominada 5.0ic). La actividad en la que piense emplear su flamante PGP determinará si debe utilizar una u otra versión. Aparte de eso, no encontrará más que una diferencia: la versión de pago 5.0ic permite también generar las antiguas claves RSA, lo que le asegura compatibilidad total con usuarios previos de PGP que aún no se hayan actualizado a la 5.0.

Si quiere usar la versión gratuita (que no genera claves RSA) sólo con usuarios principiantes no tiene de qué preocuparse. Y si usted ya usaba la versión antigua (2.6.3i) y dispone de claves RSA puede importarlas sin problemas desde PGP 5.0i y seguir usándolas. Si, por el contrario, usted no dispone de claves antiguas y aspira a comunicarse con usuarios de versiones anteriores de PGP, sólo dispone de dos opciones: adquirir la 5.0ic o instalar en su ordenador la 2.6.3i gratuita y generar esas claves con ella. No obstante, hay que advertir que la segunda opción puede resultar dificultosa, aunque en el cuadro al final del artículo que enumera sitios de referencia en Internet podrá encontrar ayuda para esa operación. Una vez obtenidas sus claves RSA, podrá utilizarlas desde su PGP 5.0 sin ningun tipo de problema.

9 ¿En qué plataformas funciona PGP 5.0?

La primera versión en aparecer (Agosto del año 1997) fue una versión beta para plataformas Unix. En diciembre del 97 apareció la esperada versión final para Windows (95/NT), y en el momento de escribir este artículo está a punto de salir la versión para plataformas Macintosh. También está disponible, aunque en fase beta, una versión para MS-DOS.

10 ¿Dónde se puede obtener PGP 5?

Puede bajar la versión 5.0i (gratuita) desde los siguientes sitios:

Windows 95/NT: (2667 KB): ftp.dit.upm.es/mirror/ftp.ifi.uio.no/pub/pgp/5.0/international/win95nt/p gp50i-win95nt.zip