Para ver un sumario de uso.
Para ver un sumario breve de comandos de uso para PGP, solamente teclea:
pgp -h
Encriptar un mensaje.
Para encriptar un archivo plaintext (sin encriptar) con la llave pública del receptor, teclea:
pgp -e archivo-texto ID-receptor.
Este comando produce un archivo ciphertext llamado archivotexto.pgp. Un ejemplo específico es:
pgp -e carta.txt Alicia
o:
pgp -e carta.txt "Alicia S"
Este primer ejemplo busca tu archivo de key ring público "pubring.pgp" para cualquier certificado de llave pública que contenga el string "Alicia", en cualquier parte del campo user ID. El segundo ejemplo podría encontrar algún ID de usuario que contiene "Alicia S". No puedes usar espacios en el string en la línea de comando, a menos que lo encierres el string entre comillas. La búsqueda no es case-sensitive. Si este encuentra una llave pública que corresponda a dicho string, este la usará para encriptar el archivo plaintext "carta.txt", produciendo un archivo ciphertext llamado "carta.pgp".
PGP intenta comprimir el plaintext antes de encriptarlo, por lo tanto mejora grandemente la resistencia al criptoanálisis. De este modo el archivo ciphertext será más pequeño que el archivo plaintext.
Si tú quieres enviar este mensaje encriptado a través de un canal E-mail, conviértelo en un formato "radix 64" ASCCI imprimible, añadiendo la opción -a. (pgp -a archivotexto userID).
Encriptando un mensaje para múltiples receptores.
Si tú quieres enviar el mismo mensaje a más de una persona, tú debes especificar la encriptación del archivo para varios receptores, uno con el cual pueda desencriptar el mismo archivo ciphertext. Para especificar múltiples receptores, solamente añade más user Ids en la línea de comando, como esta:
pgp -e carta.txt Alicia Antonio Katya
Este creará un archivo ciphertext llamado carta.pgp que podrá ser desencriptado tanto por Alicia, Antonio y Katya. Cualquier número de receptores puede ser especificado.
Firmando un mensaje.
Para firmar un archivo plaintext con tu llave secreta teclea:
pgp -s archivotexto.txt [-u userID]
NOTA: Los corchetes denotan un campo opcional, pero no se teclearán los corchetes.
Este comando produce un archivo firmado llamado archivotexto.pgp. Un ejemplo específico es:
pgp -s carta.txt -u Benjamin
Este busca tu archivo key ring secreto "secring.pgp" para cualquier certificado de llave secreta que contiene el string "Benjamin" en alguna parte en el campo ID del usuario. Tu nombre es Benjamin, no es así? La búsqueda no es case-sensitive. Si este encuentra una llave secreta que concuerde, este la usará para firmar el archivo plaintext "carta.txt", produciendo un archivo firmado llamado "carta.pgp".
Regresar Menu PGP
Si dejas vacío el campo userID, la primera llave en tu key ring secreto es usado como la
llave secreta por default para tu firma.
PGP intenta comprimir el mensaje después de firmarlo. De este modo el archivo firmado probablemente será más pequeño que el archivo original, el cual será útil para muchas aplicaciones. Sin embargo, esto hace que sea legible para el observador humano, aunque si el mensaje original fue un texto ordinario ASCII. Esto sería bueno, si tú pudieras hacer un archivo firmado que era todavía directamente leíble para el humano. Esto podría ser particularmente útil para enviar un mensaje firmado como E-mail.
Para firmar mensajes E-mail, donde tú probablemente quieres que el mensaje sea legible, esto será probablemente más conveniente usar CLEARSIG. Este permite que la firma sea solicitada en forma imprimible al final del texto, y también deshabilita la compresión del texto. Esto significa que el texto es todavía leíble por el receptor , no será leíble si el receptor no usa PGP para checar la firma.
Ahora se explicará un ejemplo:
pgp -sta mensaje.txt
Este creará un mensaje firmado en el archivo "mensaje.asc", comprendido del texto original, siendo leíble, adjunto con una firma certificada ASCII, y listo para ser enviado a través de un sistema E-mail. Este ejemplo asume que estas usando las características normales para habilitar la bandera CLEARSIG en el archivo config.
Firmar y después encriptar.
Para firmar un archivo plaintext con tu llave secreta, y después encriptarlo con la llave pública del receptor:
pgp -es archivotexto userIDreceptor [-u userIDtuyo]
Este ejemplo produce un archivo ciphertext anidado llamado archivotexto.pgp. Tu llave secreta para crear la firma es automáticamente buscada en tu key ring secreto vía tu user ID. La llave pública de encriptación del receptor es automáticamente buscada un tu key ring público vía IDreceptor.
Si dejas en blanco tu propio campo de user ID, la primera llave en tu key ring secreto es usada por default como llave secreta para tu firma.
Nota que PGP intenta comprimir el plaintext después de encriptarlo.
Si deseas enviar este mensaje encriptado a través de un canal E-mail, conviértelo en un formato "radix -64" ASCII imprimible añadiendo la opción -a.
Múltiples receptores pueden ser especificados añadiendo más user Ids a la línea de comandos.
Usando encriptación convencional
Algunas veces necesitas encriptar un archivo por el camino antiguo, con criptografía convencional de llave sencilla. Esto es usado para proteger archivos que estarán almacenados y que no serán enviados a nadie más. La misma persona que encriptó el archivo también lo decriptará, criptografía de llave pública no es realmente necesaria.
Para encriptar un archivo plaintext con criptografía convencional, teclea:
pgp -c archivotexto
Este ejemplo encripta el archivo plaintext llamado archivotexto, produciendo un archivo ciphertext llamado archivotexto.pgp, sin usar una criptografía de llave pública, key rings, user IDs, o cualquier otra cosa. Este te solicitará una frase clave para usarla como llave convencional para encriptar el archivo. Esta frase clave puede no ser igual (debería no ser) que la misma frase clave que usaste para proteger tu llave secreta. Nota que PGP intentará comprimir el plaintext antes de encriptarlo.
PGP no encriptará el mismo plaintext de la misma manera dos veces, esto lo hará sólo si tu usas la misma frase de paso todo el tiempo.
Desencriptar y checar firmas.
Para desencriptar un archivo encriptado, o para checar la integridad de la firma de un archivo firmado:
pgp archivo-ciphertext [-o archivo-plaintext]
Los corchetes denotan un campo opcional, así que realmente no podrían teclearse.
El nombre de archivo ciphertexto es identificado por tener una extensión por default de ".pgp". El nombre de archivo de salida opcional plaintext especifica donde poner la salida plaintext. Si no es especificado ningún nombre, el nombre de archivo ciphertext es usado, sin extensión. Si una firma se encuentra dentro de un archivo encriptado, este es automáticamente desencriptado y la integridad de la firma es checada. El user ID de la persona que firmó es desplegada.
Nota que el desenvolvimiento de un archivo ciphertext es completamente automático, considerando que si el archivo ciphertext es solamente firmado, solamente encriptado, o ambos. PGP usa el prefijo de la llave ID en el archivo ciphertext para encontrar automáticamente la llave secreta desencriptadora en tu key ring secreto. Si hay una firma anidada, PGP entonces usa el prefijo de la llave ID en la firma anidada para automáticamente encontrar la llave pública apropiada en tu key ring público para checar la firma. Si todas las llaves de control están ya presentes en tus key rings, la intervención del usuario no es requerida, excepto cuando sea requerido tu password para tu llave secreta. Si el archivo ciphertext fue encriptado convencionalmente sin criptografía de llave pública, PGP reconoce este y te pedirá una frase clave para decriptarlo convencionalmente.
Manejo de llaves
Desde el tiempo de Julio Cesar, el manejo de llave siempre ha sido la parte más dura de la criptografía. Una de las principales partes desgustantes de PGP es su manejo sofisticado de llaves.
RSA Generación de llave
Para generar tu propio y único par de llaves pública/secreta de un tamaño específico, teclea:
pgp -kg
PGP te mostrará un menú de tamaño de llaves recomendados (bajo grado comercial, alto grado comercial, o grado "militar") y te preguntará qué tamaño de llave deseas, más de unos cientos de bits. Mientras más grande sea la llave, mayor será la seguridad que tu obtengas, pero pagarás un precio en velocidad.
Regresar Menu PGP
Además te preguntará por un user ID, el cual significa tu nombre. Es una buena idea usar
tu nombre completo como user ID, porque entonces habrá menos riesgos de que otra persona
use la llave pública incorrecta para encriptar el mensaje para ti. Espacios y puntuación
son guardados en el user ID. Esto te podrá ayudar si tú tecleas tu dirección E-mail en
corchetes angulares después de tu nombre, como esto:
Robert M. Smith rms@xyzcorp.com
Si tú no tienes dirección E-mail, usa tu número telefónico o alguna otra información que te podría ayudar para que tu user ID sea único.
Además PGP preguntará por una "frase clave" para proteger tu llave secreta en caso de que esta caiga en manos incorrectas. Nadie puede usar tu archivo de llave secreta sin esta frase clave. Esta frase clave es como un password, excepto que esta puede ser una frase u oración completa con muchas palabras, espacios, puntuaciones o cualquier otra cosa que tu quieras. No pierdas esta frase clave, no hay manera de recuperarla si la pierdes. Esta frase clave será necesaria cada que utilices tu llave secreta. La frase clave es case-sensitive, y no debe ser muy corta o fácil de adivinar. Esta nunca será desplegada en la pantalla. No olvides escribirla donde nadie pueda verla, y no la almacenes en tu computadora. Si tu no quieres una frase clave (estás mal), sólo presiona enter en el prompt de frase clave.
El par de llaves pública/secreta es derivada de un amplio número random derivados principalmente de intervalos entre tus golpes de tecla. El software te pedirá teclear algún texto random (golpes de tecla), para ayudar a acumular algunos bits random para las llaves. Cuando pregunta, deberías de dar algunos golpes de tecla que sean razonablemente random. Se recomienda no teclear secuencias repetidas de caracteres.
El par de llaves generadas se encontrarán en tu key ring público y key ring privado. Después podrás usar el comando -kx, opción para extraer (copiar) tu llave pública nueva de tu key ring público y ponerlo en un archivo separado de llave pública adecuado para distribuirlo a tus amigos. El archivo de llave pública puede ser enviado e incluido en sus key rings públicos. Naturalmente, deberás de guardar tu archivo de llave secreta para ti mismo, y deberás incluirlo en tu key ring secreto. Cada llave secreta en un key ring es protegido individualmente con su propia frase clave.
No des a nadie tu llave secreta. Por la misma razón, no hagas par de llaves para tus amigos. Cada quien deberá hacer su propio par de llaves. Siempre deberás tener control físico de tu llave secreta, y no la expongas en una computadora de tiempo compartido. Guardala en tu propia computadora personal.
Añadir una llave a tu Key Ring
Algunas veces tu querrás añadir a tu keyring una llave que te envió alguien, en la forma de un archivo llave.
Para añadir el contenido de los archivos de llave pública o secreta a tu key ring público o secreto (nota que los corchetes denotan un campo opcional):
pgp -ka archivollave key ring
La extensión default del archivo llave es ".pgp". El nombre de archivo key ring opcional por default será "pubring.pgp" o "secring.pgp", dependiendo si el archivo llave contiene una llave pública o secreta. Podrías especificar un nombre de archivo key ring diferente, con la extensión por default ".pgp".
Si la llave ya existe en tu key ring, PGP no la añadirá de nuevo. Todas las llaves en tu archivo llave son añadidas al key ring, exepto para duplicados.
Remover una llave o user ID de tu Key Ring</b>
< Para remover una llave o user ID de tu key ring:
pgp -kr userid [key ring]
Este busca el user ID específico en tu key ring, y lo remueve si este encuentra el correspondiente. Recuerda que cualquier fragmento de el user ID deberá ser el exacto para la comparación. El nombre de archivo key ring opcional se asume que sea "pubring.pgp". Este podrá ser omitido, o tú puedes especificar "secring.pgp" si tu quieres remover una llave secreta. La extensión default de key ring es ".pgp".
Si más de un user ID existe para esta llave, se te preguntará si tu quieres remover únicamente el user ID especificado, mientras que deja intactos los otros user IDs.
Extrayendo (copiando) una llave a tu Key Ring.
Para extraer (copiar) una llave a tu público o secreto key ring:
pgp -kx userID archivollave [key ring]
Este copia no destructivamente la llave especificada por el user ID de tu público o secreto key ring al archivo llave especificado. Este es particularmente usado si tu quieres proporcionar una copia de tu llave pública a alguien.
Si la llave tiene alguna firma certificándose unida a tu key ring, estas son copiadas fuera de la llave.
Si quieres que la llave extraída se representen en caracteres ASCII imprimibles para propósitos de E-mail, usa la opción -kxa.
Visualizando el contenido tu Key Ring.
Para visualizar el contenido de tu key ring público:
pgp -kv v userID keyring
Este lista las llaves en el key ring que corresponden al user ID especificado. Si omites el user ID, todas las llaves del key ring son listadas el nombre de archivo opcional key ring se asume que es "pubring.pgp". Este puede ser omitido, o puedes especificar "secring.pgp" si quieres listar las llaves secretas. Si quieres especificar un nombre de archivo key ring diferente, tú puedes. La extensión default de key ring es ".pgp".
Para ver todas las firmas certificadas unidas a cada llave, usa la opción:
pgp -kvv user ID key ring
Si quieres especificar un nombre de archivo key ring particular, pero quieres ver todas las llaves en él , trata esta alternativa:
pgp archivollave
Sin especificar opciones de comando, PGP lista todas las llaves en archivollave.pgp, y también añadirlas a tu key ring, si no están todavía en tu key ring.