Sinatura de páxinas mediante PGP

• ¿Para que asinar as páxinas HTML?
• Criptografía de chave pública.
• ¿Que é PGP?
• ¿Por que non empregar SSL/TLS?
• Validar os contidos dunha páxina empregando GPG.

¿Para que asinar as páxinas HTML?

De cotío convén asegurarmos de que a información reflectida nun documento está tal e como se publicou e que, polo tanto, temos acceso á información orixinal.

Este é o obxectivo da sinatura mediante PGP dalgunhas das páxinas HTML do servidor de INTECO, que calquera usuario poida comprobar que a información non se modificou. Para realizar isto, pódense empregar diversas técnicas matemáticas, entre elas a criptografía de chave pública e o programa PGP.

Criptografía de chave pública.

A criptografía de chave pública baséase na existencia de dúas chaves ou funcións matemáticas coa principal característica de que unicamente é posible descodificar unha mensaxe empregando a chave complementaria. Chámase de chave pública porque se mantén en segredo unha delas, mentres que a outra faise pública e calquera persoa pode acceder a ela.

No momento de asinar un documento, este asínase coa chave privada e calquera pode, empregando a chave pública, comprobar que o documento non se modificou, xa que calquera modificación no texto faría que a comprobación da mensaxe non fora correcta.

¿Qué é PGP?

Existen diversos programas que nos permiten asinar dixitalmente os documentos. Para a sinatura das páxinas HTML do servidor optouse por empregar o programa PGP. Este programa foi un dos primeiros aparecidos que permitían aos usuarios asinar e codificar documentos. En unha longa e interesante historia e existen versións de dominio público para case tódalas plataformas e sistemas operativos, o que permite comprobar que as páxinas non se modificaron en calquera sistema operativo.

¿Por que non empregar SSL/TLS?

Existe outro mecanismo denominado SSL/TLS que permite manter conexións seguras e autenticadas dende navegadores WWW coma Mozilla Firefox ou Internet Explorer, dun xeito ata máis transparente e directa có mecanismo empregado por INTECO. O problema que ten este sistema é que precisa que tódalas operacións criptográficas se realicen para cada conexión que se estableza, o que enlentece a conexión. O sistema empregado no servidor de INTECO, aínda que non tan transparente ao navegador, soamente asina as páxinas unha vez (cando se modifican dende INTECO), e as páxinas asinadas cárganse á mesma velocidade cás páxinas que non están asinadas.

Validar os contidos dunha páxina empregando GPG.

GPG é unha función libre e gratuíta do estándar OpenPGP. Existen versións que se poden descargar para Microsoft Windows e Linux entre outros. A continuación amósase un exemplo de validación empregando GPG.

• En primeiro lugar, debemos gardar o código fonte da páxina nun arquivo. En Internet Explorer 6 debemos ir a Arquivo -> Gardar como e seleccionar a opción Páxina Web, só HTML. En Internet Explorer 7 debemos premer en Páxina -> Gardar como e seleccionar a opción Páxina Web, só HTML. En Mozilla Firefox a operación é idéntica á empregada na versión 6 de Internet Explorer.

• A continuación, debemos importar a chave pública de INTECO, par ao que deberemos executar o seguinte comando:

  gpg --keyserver pgp.rediris.es --recv-key 84970D98

• Para finalizar, executaremos o seguinte comando para validar a páxina descargada anteriormente, substituíndo nombre_archivo pola ruta á devandita páxina:

  gpg --verify nombre_archivo

Se a verificación é correcta, veremos unha mensaxe parecida á seguinte:

gpg --verify home_inteco.html gpg: Signature made Wed Feb 21 13:56:46 2007 using RSA key ID 84970D98 gpg: Good signature from "Inteco, S. A. " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: F78B 4796 75DE 5EF3 5C77 196B 64CC 15DA 8497 0D98

En caso contrario, obteremos unha mensaxe de erro:

gpg --verify home_inteco_modificada.html gpg: Signature made Wed Feb 21 13:57:48 2007 using RSA key ID 84970D98 gpg: BAD signature from "Inteco, S. A. "