El Gobierno alemán ahora ha clasificado a los dos lo suficientemente seguros como para ser utilizados cuando se transmiten mensajes con niveles de confidencialidad VS-ONLY FOR SERVICE SERVICE (VS-NfD), EU RESTRICTED y OTAN RESTRICTED. Tras el escándalo de Rubicon/Crypto AG/CIA, esto es una prueba más de que la tecnología de cifrado libre es la única tecnología de cifrado confiable. Nota de prensa en alemán: gnupg.com/20200107-freigabe-vs-nfd.html

En mayo, un borrador del documento técnico publicado en efail.de recomendó que las personas dejen de usar los complementos de GPG para cifrar su correo electrónico. Al mismo tiempo, la EFF dio la alarma sobre vulnerabilidades aparentemente nuevas en GPG, haciéndose eco de las recomendaciones del documento. Otros redujeron aún más esta recomendación a una simple taquigrafía: deje de cifrar su correo electrónico, porque no es seguro. (Desde entonces, EFF ha modificado sus recomendaciones, dependiendo del cliente de correo y complemento GPG).

La comprobación de las sumas de verificación mediante MD5 o SHA-1 es una realidad desde hace años, pero si algo aprendimos de los recientes ataques a Linux Mint y Transmissión es que incluso eso puede no ser suficiente. Nada impide a un atacante manipular también las sumas de verificación para que coincidan. Para evitar esto y proporcionar un grado de seguridad mayor se inventaron las firmas GPG en la verificación de software, que nos permite comprobar que los archivos que estamos descargando son auténticos.

Documento donde se describe la técnica por la que es posible extraer una clave ECDH NISTP-521 generada aleatoriamente usando GnuPG desde la habitación contigua a una que contenga un portátil común realizando operaciones criptográficas. La técnica, aunque no está plenamente depurada, demuestra que es posible.

Leía ayer un artículo que me dejaba helado: The World’s Email Encryption Software Relies on One Guy, Who is Going Broke. Lo que traducido vendría a ser “el cifrado del correo electrónico mundial depende de un tipo que va a la quiebra“. El titular se refiere a Werner Koch, creador y principal desarrollador de GPG, y el caso que nos ocupa es increíble por varios motivos. Relacionada: www.meneame.net/story/gpg-sistema-cifrado-correo-electronico-pasa-6-ho

Han pasado dos noticias bastante interesantes en estos días, la primera, unas declaraciones de Kevin Mitnick, asegurando que la NSA había "Infiltrado" el código del PGP en la otra, que la NSA había "infiltrado" las decisiones para que el dispositivo generador de números aleatorios (/dev/random) del sistema Linux dependiera del hardware. ¿Afectan estas noticias la credibilidad del software libre?, ¡al contrario!, veamos por qué.

Recopilación de las herramientas opensource empleadas por la últimamente famosa Wikileaks

Los famosos y difíciles olímpicos Guinea Pig Games (GPG) han comenzado con una gran inauguración. Durante los siguientes días estos roedores mostraran su dedicación al deporte que han elegido. En su lucha por la supervivencia, sólo el más fuerte ganará a expensas de sus rivales gracias a su resistencia, destreza e increíbles hazañas. El premio esta servido y solo los mejores obtendrán el oro, la plata o el bronce.

C&P: Me llama bastante la atención ver algunos usuarios de Ubuntu Linux, que teniendo la necesidad y las herramientas para cifrar sus datos confidenciales, no lo hacen por falta de conocimiento (¿?) o curiosidad. En este artículo voy explicar el proceso de cifrado de datos, usando las herramientas que vienen incluidas en Ubuntu.

Interesantes palabras de Phil Zimmermann, después de artículos como www.diariovasco.com/20081111/politica/eta-cifra-mensajes-20081111.html. "Cuestionar el derecho a la privacidad de todos los ciudadanos, tan sólo porque un reducido grupo de individuos presuntamente utilice cifrado para ocultar sus actividades criminales, equivale a querer prohibir la venta de cuchillos de cocina porque a cualquier tarado se le pudiera ocurrir clavarlos en el abdomen de alguien". www.kriptopolis.org/la-muerte-se-vende-como-cuchillos-de-cocina

Mezclar el IRC, las quedadas, las copas y la firma de claves PGP/GPG, puede tener consecuencias negativas insospechadas... esta genial viñeta me ha hecho recordar aquel anuncio que decía "el alcohol no mejora tus relaciones sexuales". ;-)

Este fin de semana tenemos a nuestra disposición un taller sobre privacidad programado en la Termens Lan Party. Incluye una introducción a la privacidad, criptografía y GPG. Después de la charla se ofrecerá una signing-party para aquellos que estén interesados. [Está en catalán pero se entiende]

FireGPG es una extensión de Firefox la cual trae una interface para encriptar, desencriptar, firmar o verificar la firma de un texto en cualquier página web usando GPG. Por ahora solo soporta Gmail pero en el futuro soportará otros correos basados en web. Disponible en inglés y francés. En estos momentos está en estado Beta. Requiere tener instalado GPG. ;-)

GPG-Crypter es un sencillo interfaz gráfico que facilita el uso cotidiano del cifrado mediante GPG. De hecho, puede que sea el más sencillo de todos, a costa -eso sí- de que sus funcionalidades sean muy pocas. Así, GPG-Crypter no dispone de ningún sistema de gestión de claves, ni tampoco permite realizar firmas digitales. Sin embargo, para alguien que ya tenga su GPG configurado y en marcha, puede resultar muy cómodo a la hora de cifrar-descifrar pequeños mensajes y ficheros que se vayan a enviar por correo electrónico o mensajería...

Novedosa técnica para enviar mensajes encriptados entre dos personas sin la necesidad de compartir ningún tipo de llave (ni pública ni privada)

Lista de cuatro herramientas de codigo libre para aumentar la seguridad de tu sistema encriptando la informcion, la lista contiene una explicacion de lo que cada programa hace, articulo esta en ingles.

How-to bastante extenso en el que se detalla paso a paso el proceso de instalación y uso de sistemas de cifrado de correo electrónico, algo muy importante si queremos mantener nuestras comunicaciones como algo privado en un momento en que con la excusa del terrorismo están revisando cada vez más cosas. Sirve para linux y para windows.

El 25 de noviembre se celebrará una keysigning party en Barcelona, la hora y lugar aun están por decidir, pero ya puedes comenzar a enviar tus claves para participar.

Freenigma proporciona cifrado a tu webmail (Yahoo!, GMail, Hotmail, etc.) Se trata de un plugin para tu Firefox que implementa una versión de GPG, cifrando y descifrando el texto de tus correos antes de mandarlos y después de recibirlos del server. Para usarlo es necesario registrarse, y dicho registro es válido para usar Freenigma en cuantas cuentas de correo desees. Por ahora sólo funciona con otros usuarios de Freenigma, aunque están trabajando para que en el futuro se puedan enviar a otros usuarios que usen cifrado OpenPGP estándar.

Serie de tres manuales (este el primero) que explican de manera clara el uso del correo seguro,la elección de contraseña segura y navegación segura,para evitar ser víctimas de espionaje,robo de claves y tomar conciencia,que no porque se sea una persona "decente",debe permitirse que cualquiera pueda leer nuestras comunicaciones.En el comentario,los dos enlaces restantes.

Parece que después del bombazo de la pass de root en Ubuntu, le toca el turno a una aplicación emblemática de los sistemas GNU: GPG, implementación libre de PGP. Se ha detectado un bug que permite añadir al inicio o al fin de un mensaje cifrado determinado contenido sin alterar la verificación de firma.

"El problema radica en que si bien GnuPG detecta
adecuadamente cuando una firma es incorrecta, por modificación de los
datos originales asociados, y muestra esa información en pantalla, el
código de retorno que proporciona el programa al terminar su ejecución
es "cero", que significa que la firma es correcta. "