Respuestas a Preguntas Frecuentes sobre PGPi

La siguiente es una lista de Preguntas Frecuentes (FAQ) sobre PGPi. Puedes enviar tus comentarios (en inglés) a stale@hypnotech.com.

Nota: Traducido por Mariano Absatz  <baby@baby.com.ar> del original en inglés que se puede encontrar en https://pgpi.didisoft.com/doc/faq/pgpi/en/

Índice

  1. Versión Internacional versus versión USA

    2. 1.1. ¿Qué es PGPi?
    1.2. ¿Por qué crear una versión internacional de PGP?
    1.3. Ahora que NAI puede exportar libremente PGP, ¿Qué va a pasar con el proyecto PGPi?
    1.4. ¿Cuál es la última versión de PGPi?
    1.5. ¿Cómo difiere PGPi de PGP?
    1.6. ¿Cuál es la compatibilidad de PGP 6i con otras versiones de PGP?
    1.7. ¿Se hará una versión de PGP 6 para Unix?
    1.8. Finalmente ¿qué versión debo usar?
  2. Aspectos legales

    3. 2.1. ¿Qué significa "internacional"? ¿Quién lo puede usar?
    2.2. ¿Puedo usar PGPi con fines comerciales?
    2.3. ¿Puedo usar código de PGP en mis propios programas?
    2.4. ¿Puedo redistribuir PGPi?
  3. Para obtenerlo

    4. 3.1. ¿Dónde puedo conseguir una copia de PGPi?
    3.2. ¿Qué módulos (plugins) para programas de e-mail hay para PGP 6.x?
    3.3. ¿Por qué no hay un módulo (plugin) para Netscape Messenger 4.x?
    3.4. ¿Hay una biblioteca dinámica (DLL) PGP?
    3.5. ¿Dónde puedo conseguir módulos de idomas para PGPi?
    3.6. ¿Dónde puedo conseguir PGPdisk?
  4. Instalación

    5. 4.1. ¿Cómo puedo verificar la integridad de PGPi?
    4.2. Tengo problemas para instalar PGPI. ¿Qué hago?
    4.3. No puedo hacer que PGP 6.0.2i trabajo con Outlook Express (Internet Explorer) 5.0 ¿Qué es lo que esta mal?
  5. Aspectos de seguridad

    6. 5.1. ¿Se puede craquear PGP?
    5.2. PGPi ¿no es la versión que fue debilitada por la NSA para exportación?
    5.3. ¿PGP tiene una puerta trasera (back door)?
    5.4. Escuché que PGP 5 y versiones posteriores tienen facilidades para recuperar mensajes ¿Es cierto?
    5.5. ¿PGP tiene facilidades para recuperar claves?
  6. Miscelánea

    7. 6.1. ¿Cómo es que PGP 5.5 y versiones posteriores fueron digitalizadas tan rápido?
    6.2. ¿Hay errores (bugs) en PGPi?
    6.3. ¿Quién es reponsble por PGPi?
    6.4. ¿Dónde puedo conseguir soporte para PGPi?
    6.5. ¿Dónde puedo aprender más sobre PGP?
Si tienes preguntas sobre PGP en general, consulta Preguntas frecuentes (FAQ) de comp.security.pgp (en inglés).

1.1. ¿Qué es PGPi?

PGPi es la variante internacional de PGP (Pretty Good Privacy - Privacidad Bastante Buena), un programa de criptografía de clave pública escrito originalmente por Phil Zimmermann en 1991. Versiones posteriores de PGP fueron desarrolladas y distribuidas por el MIT, ViaCrypt, PGP Inc., y ahora Network Associates Inc. (NAI). PGP es el estándar de-facto para encriptar correo electrónico (e-mail) hoy en día, con millones de usuarios en todo el mundo.

Las versiones internacionales de PGP difieren levemente de las versiones para Estados Unidos (USA), pero de todos modos, interoperan completamente con ellas. Mira abajo para más detalles.

1.2. ¿Por qué crear una versión internacional de PGP?

PGP fue creado originalmente dentro de USA, pero finalmente se esparció por el resto del mundo, a pesar de las regulaciones de exportación norteamericanas que controlan la exportación de criptografía fuerte. PGP 5.0i fue la primera versión de PGP que se estuvo disponible legalmente fuera de USA/Canadá, ya que el programa fue exportado como libros imporesos y luego digitalizado (utilizando scanners y software OCR) para que el código esté disponible en forma electrónica.

Las razones para digitalizar los fuentes y publicar una versión llamada PGPi fueron varias:

  1. Para poner el código fuente  disponible para el público en general. De ese modo, cualquiera puede revisar el código para encontrar errores y puertas traseras (backdoors).
  2. Para posibilitar la portación a otros sistemas operativos: Unix, MS-DOS, OS/2, Amiga, Atari, VMS, etc. 
  3. Para remover cualquier duda acerca de la legalidad de PGP fuera de USA y Canadá. Aunque la mayoría de la gente cree que es legal usar PGP una vez exportado, muchos de ellos seguían sin sentirse bien usando software que en algún momento fue exportado ilegalmente.
  4. Para mostrar cuán estúpidas son las regulaciónes de exportación de USA y que no están actualizadas a la par del mundo real. 

Gracias al proyecto PGPi, millones de usuarios de todo el mundo tuvieron acceso a criptografía gratuita y fuerte. En 1999, el gobierno de USA finalmente levantó los controles de exportación sobre software criptorgráfico. Puedes leer más sobre el proyecto PGPi (en inglés) aquí.

1.3. Ahora que NAI puede exportar libremente PGP, ¿Qué va a pasar con el proyecto PGPi?

En septiembre de 1999, el Gobierno de USA anunció el relajamiento de las regulaciones sobre exportación de software criptográfico, y en diciembre de 1999 NAI obruvo una licencia de exportación de PGP hacia todo el mundo. Esto significa que probablemente no será necesario digitalizar futuras versiones de PGP, porque el código fuente podrá ser exportado legalmente en forma electrónica. Sin embarg, el proyecto PGPi seguirá, enfocado en el desarrollo, portación, traducción y localización, más que en la digitalización. Seguimos concentrados en brindarte versiones de alta calidad, gratuitas de PGP, incluyendo todo el código fuente.

1.4. ¿Cuál es la última versión de PGPi?

La última versión internacional de PGP para Windows 95/98/NT, MacOS y Unix es PGP 6.5.1i. Esta también es la última versión para la cual está disponible el código fuente.

La última versión USA es 6.5.3 (Windows) y 6.5.2a (MacOS), y estas son las versiones que deberías usar si no te importa el código fuente, o si quieres las últimas correcciones de errores, así como soporte para Windows 2000 y MacOS 9.

Para un listado completo de las últimas versiones para diferentes plataformas, mira aquí.

1.5. ¿Cómo difiere PGPi de PGP?

PGPi es básicamente la misma versión que PGP, pero hay algunas diferencias importantes:

  1. Se soportan claves RSA (para asegurar compatibilidad con PGP 2.x).
  2. El servidor de claves utilizado por defecto (default) está en Europa y no en USA.
  3. El código fuente de PGPi está disponible para su bajado (download), de modo que puedas revisar el código para buscar errores, puertas traseras (backdoors), etc.
  4. PGPi fue portado a varias plataformas nuevas, incluyendo MS-DOS, OS/2, Amiga, Atari y varias versiones de Unix.
1.6. ¿Cuál es la compatibilidad de PGP 6i con otras versiones de PGP?

PGP 6i puede leer y entender mensajes, claves y firmas creadas con PGP 2.0 o posterior. (Notar, sin embargo, que las claves no pueden tener más de 4096 bits. De todos modos, ninguna versión oficial de PGP usa claves más largas).

PGP 6i puede generar mensajes, claves y firmas que pueden ser leídas y entendidas por PGP 2.6.x y posterior, siempre cuando uses sólo claves RSA. PGP 6i también soporta claves DSS/Diffie-Hellman, pero mensajes encriptados con este nuevo tipo de clave no pueden ser leídos por versiones anteriores a 5.0.

Notar, sin embargo, que los mensajes PGP 6i no pueden ser comprendidos por PGP 2.3a o anteriores, cualquiera sea el tipo de claves que uses.

1.7. ¿Se hará una versión de PGP 6 para Unix?

Sí. PGP 6.5.1i está disponible como un programa de línea de comando, similar a la serie PGP 2.x. Actualmente está en pruebas beta (beta testing) y el código todavía requiere trabajo antes de compilar limpiamente en todas las plataformas. Si estás interesado puedes bajarlo (downolad) aquí.

1.8. Finalmente ¿qué versión debo usar?

Si quieres una versión de PGP donde el código fuente está disponible (de manera tal que puedas revisarlo buscando errores y puertas traseras (backdoors)), deberías usar PGP 6.5.1i. Si estás usando Windows o MacOS y quieres las últimas correcciones de errores, así como soporte para Windows 2000 y MacOS 9, deberías usar PGP 6.5.3 (Windows) o 6.5.2a (MacOS).

2.1. ¿Qué significa "internacional"? ¿Quién lo puede usar?

La 'i' en el número de versión significa ínternacional'. Puede ser usado por cualquiera que viva en cualquier país donde el encriptado sea legal. Si no estás seguro si el encriptado es legal en tu país, revisa el Relevo de Leyes Criptográficas (en inglés).

2.2. ¿Puedo usar PGPi con fines comerciales?

Sí, pero debes obtener una licencia de uso comercial de Network Associates Inc. o sus representantes autorizados.

Si estás en USA o Canadá, ve a:

http://www.nai.com/.

Si estás en cualquier otro lado, ve a: http://www.pgpinternational.com/.

Si quieres usar un producto compatible con PGP (i.e., un producto de criptografía que pueda ser interoperable con PGP o basado en el estándar Open-PGP, pero que no contenga realmente software perteneciente a PGP para implementar sus funciones criptográficas), puedes necesitar licencias adicionales de terceras partes, como de Ascom Systec AG en Suiza si se utiliza el algoritmo IDEA en aquel producto, o de RSA Data Security, Inc. is se usa el algoritmo RSA en ese producto y el producto será distribuido en USA.

2.3. ¿Puedo usar código de PGP en mis propios programas?

El código fuente de PGP 2.3a y anteriores se distribuye bajo la Licencia Pública General (GPL - General Public License), por lo que puedes usarlo libremente en tus propios programas.

El código fuente de PGP 2.6 y posteriores puede ser utilizado como un todo inmodificado en productos que escribas para tu propio uso no comercial bajo los términos de la licencia de código fuente no comercial de PGP 5.0i. Por restricciones de licencia, si se incluye el algoritmo IDEA, cualquier modificación del código puede requerir una licencia adicional de Ascom Systec AG (ver pregunta 2.2).

The source code for PGP 2.6 and later may be used as a whole in unmodified form in products you write for your own non-commercial use under the terms of PGP's non-commercial source code license for PGP 5.0i. Because of license restrictions, if the IDEA algorithm is included, any modification of the code may require a further license from Ascom Systec AG (see question 2.2).

Ver también la página del desarrollador PGP (en inglés).

2.4. ¿Puedo redistribuir PGPi?

Sí. Todas las versiones gratuitas (freeware) de PGPi se pueden redistribuir libremente, siempre y cuando se incluyan todos los archivos comprendidos en el archivo de distribuición, y que no se los modifique de manera alguna. Especificamente, puedes:

Hacerlo accesible para ser bajados (download) en un sitio web o en un servidor FTP 
Incluirlo en un CD-ROM que se distribuya gratuitamente o por un precio modesto para cubrir los costos de medios y el envíos 
Incluirlo en un CD-ROM que acompañe un libro o una revista
También debería aclararse que es una versión gratuita (freeware), con punteros a dónde se puede hallar la última versión y una versión comercial (e.g. pgpi.didisoft.com).

Las únicas cosas que no puedes hacer con el software son:

  1. Obtener dinero por él
  2. Modificarlo
  3. Dar la impresión de que no se puede obtener gratuitamente en otro lado
3.1. ¿Dónde puedo conseguir una copia de PGPi?

PGPi se puede obtener tanto en código fuente como en binarios precompilados para varias plataformas diferentes. Puedes obtener PGP de una de las siguientes fuentes:

WWW:

https://pgpi.didisoft.com/download/
FTP:
ftp://pgpi.didisoft.com/pub/pgp/
3.2. ¿Qué módulos (plugins) para programas de e-mail hay para PGP 6.x?
 
 
Plataforma Programa PGP 6.0.2i PGP 6.5.1i Comentario
Windows Eudora 3.x y 4.x Incluido con PGP 6.0.2i y posteriores
Outlook 97 y 98 Incluido con PGP 6.0.2i y posteriores
Outlook 2000 No Incluido con PGP 6.5.1i
Outlook Express 4 Incluido con PGP 6.0.2i y posteriores
Outlook Express 5 No Incluido con PGP 6.5.1i
Netscape Communicator 3.x and 4.x No No

No, tendrás que encriptar/desencriptar a través del portapapeles (clipboard), o usar este "medio-módulo". Aquí se explica porqué.

Mozilla (Netscape 5.x) No No Aún no - ¿hay alguien trabajando en esto?
Lotus Notes Incluido con PGP 6.5.1i, módulo para 6.0.2i disponible aquí
Pegasus Mail 3.x Puedes obtenerlo aquí
Macintosh Eudora Incluido con PGP 6.0.2i y posteriores
Claris Emailer Incluido con PGP 6.0.2i y posteriores

3.3. ¿Por qué no hay un módulo (plugin) para Netscape Messenger 4.x?

Netscape ha utilizado otro estándar de encriptado conocido como S/MIME, que no es compatible con PGP. Lamentablemente, Netscape no ha provisto una API (Interfase de Programación de Aplicaciones) abierta para que los desarrolladores que quieran puedan agregar soporte para otros esquemas de encriptado. Es por eso que no existe un módulo para Netscape Messenger. Si quieres usar PGP con Netscape, deberás encriptar y desencriptar a través del portapaples (clipboard). También puedes usar este "medio-módulo" que sólo encripta, no desencripta.

3.4. ¿Hay una biblioteca dinámica (DLL) PGP?

Sí. PGP 6.0i incluye una DLL que puedes llamar desde tus propios programas. Nota, sin embargo, que la API ha cambiado desde PGP 5.x a 6.x, por lo que no deberías usar la DLL que viene con PGP 5.x. Para información sobre cómo usar la DLL, mira la documentación de PGPsdk (en inglés).

También hay otras DLLs, SDKs y bibliotecas que puedes usar para tus propios desarrollos de programas - fíjate en los recursos para desarrolladores PGP (en inglés).

3.5. ¿Dónde puedo conseguir módulos de idomas para PGPi?

Los módulos de idiomas para las versiones de línea de comandos de PGP se pueden conseguir aquí.

3.6. ¿Dónde puedo conseguir PGPdisk?

PGPdisk es un producto comercial y no está incluido en PGPfreeware (excepto en 6.0.2i, donde fue incluido por error). Para más información sobre cómo conseguir PGPdisk, mira aquí.

4.1. ¿Cómo puedo verificar la integridad de PGPi?

Todos los archivos de distribución de PGPi contienen uno o más archivos de firma de manera tal que puedes verificar que los archivos no han sido alterados. Los archivos de firma tienen la extensión ".asc" o ".sig", y pueden estar dentro del archivo de distribución (para que puedas verificar cada archivo individual dentro de la distribución), en en un archivo separado en el mismo directorio donde está el archivo de distribución (para que puedas verificar todo el archivo de una vez).

Para poder verificar las firmas, necesitas la clave pública del firmante:

Ståle Schumacher Ytteborg (0xCCEF447D / 0x0A791610): código fuente, versiones Unix y Windows
Michael Westlund (0x7C20A990): versión Macintosh 
CN Lab (0xDE2AB910): versión Macintosh 
Stefan Zakarias (0xCA214F18): versión Amiga
4.2. Tengo problemas para instalar PGPI. ¿Qué hago?

Primero, asegúrate de leer cuidadosamente la documentacion (en inglés).

Si sigues teniendo problemas, fíjate en la página de soport (en inglés).

4.3. No puedo hacer que PGP 6.0.2i trabajo con Outlook Express (Internet Explorer) 5.0 ¿Qué es lo que esta mal?

El módulo (plugin) para Outlook Express plugin que viene PGP 6.0.2i sólo sirve para OE versión 4. Actualiza a PGP 6.5.1i en cambio.

5.1. ¿Se puede craquear PGP?

Sí. Cualquier versión de PGP se puede craquear, siempre y cuando el atacante tenga suficiente tiempo y recursos (=dinero) para esa tarea. Sin embargo, un mensaje típic PGP de 1024 bits llevaría alrededor de 300.000.000.000 MIPS-año para ser craqueado, por lo que un usuario normal está relativamente a salvo, por lo menos durante las próximas décadas. Para más detalles revise las preguntas frequentes sobre ataques a PGP - PGP Attack FAQ (en inglés). Si alguien realmente quiere leer tus mensajes encriptados con PGP, probablemente le convendría robar una copia de tu clave secreta y tratar de adivinar tu frase secreta, o forzarte a que la reveles.

5.2. PGPi ¿no es la versión que fue debilitada por la NSA para exportación?

No. PGPi es tan seguro como cualquier otra versión de PGP. Ni Phil Zimmermann, MIT, NSA, yo o cualquier otro han puesto ninguna puerta trasera (backdoor) en PGPi, lobotomizado el generador de números aleatorios, limitado la longitud efectiva de la clave o hecho cualquier otra cosa para comprometer la seguridad del programa. Si no lo crees, baja (download) el código fuente y fíjate tu mismo. El fuente de PGP está disponible en forma gratuita para que cualquiera lo revise, y lo ha estado durante varios años. Aun así, nadie ha sido capaz de encontrar ninguna puerta trasera (backdoor).

Si sigues sin estar convencido, por favor lee lo que Phil Zimmermann escribe sobre la integridad criptográfica de PGP (en inglés).

5.3. ¿PGP tiene una puerta trasera (back door)?

No, no que yo sepa. Mira la pregunta 5.2. La facilidad ARR explicada en la pregunta 5.4 no es una puerta trasera (backdoor), es una facilidad bien conocida y discutida abiertamente (aunque a mucha gente le disgusta). No tienes que usar esa facilidad si no lo quieres.

5.4. Escuché que PGP 5 y versiones posteriores tienen facilidades para recuperar mensajes ¿Es cierto?

Sí. Todas las versiones 5.x y 6.x de PGP tienen una facilidad conocida como ADK (Additional Decryption Key - Clave de Desencriptado Adicional), o más correctamente ARR (Additional Recipient Request - Solicitud de Receptor Adicional). PGP, Inc. implementaron esta facilidad en PGP a pedido de empresas que querían tener la posibilidad de recuperar mensajes escritos por sus empleados (por ejemplo, cuando los empleados renuncian). Sin embargo, hicieron que esta facilidad sea completamente opcional. Funciona de la siguiente forma:

Cuando generas una nueva clave usando PGP business edition, puedes especificar que los mensajes encriptados con esta clave también deberán estar encriptados con la clave de tu compañía. Cuando otra gente luego encripta mensajes usando tu clave, PGP (cualquier versión 5.x) solicitará que el mensaje tambien sea encriptado usando la clave de tu compañía. Hace esto agregando la clave de tu compañía a la lista de receptores. Sin embargo, el usuario libremente puede sacar esta clave de la lista de receptores si lo desea. Es por esto que la facilidad es una Solicitud de Clave Adicional; no es obligatoria.

5.5. ¿PGP tiene facilidades para recuperar claves?

No. PGP 5 y versiones posteriores, sin embargo, tienen facilidades para recuperar mensajes. Ver pregunta 5.4.

6.1. ¿Cómo es que PGP 5.5 y versiones posteriores fueron digitalizadas tan rápido?

El proyecto de digitalización de PGP 5.0 llevó varios meses para completarse, pero PGP 5.5 y versiones posteriores fueron digitalizados y revisados en sólo un par de semanas. Teun Nijssen explica cómo fue posible esto (en inglés).

6.2. ¿Hay errores (bugs) en PGPi?

Ningún programa está libre de errores en un 100%, ye esto se aplica también a PGPi. Para ver una lista de errores conocidos y como repararlos, o para informar nuevos errores, ir a la página de errores de PGP (PGP bug page) en https://pgpi.didisoft.com/doc/bugs/.

6.3. ¿Quién es reponsble por PGPi?

PGPi fue publicado por Ståle Schumacher Ytteborg en Noruega. Sin embargo este trabajo no habría sido posible sin la ayuda de muchos individuos alrededor del mundo. Para más información (en inglés) sobre el proyecto PGPi, por favor, ver aquí.

6.4. ¿Dónde puedo conseguir soporte para PGPi?

No hay soporte para las versiones gratuitas de PGP. Si quieres soporte, deberás adquirir alguna de las versiones comerciales. Dicho esto, hay muchos recursos sobre PGP en Internet donde puedes conseguir ayuda si tienes problemas para instalar o usar PGP. Para más información, ver aquí.

6.5. ¿Dónde puedo aprender más sobre PGP?

Aquí hay algunos enlaces (links) para comenzar (en inglés):

Documentación de PGP 
Otras respuestas a preguntas frecuentes (FAQs) 
Newsgroups sobre PGP 
Libros sobre PGP

PGPi Home > Documentation > FAQs > PGPi FAQ > Spanish ]