PGP / OpenPGP Pretty Good Privacy: criptografía de clave pública para personas
La criptografía que permite a un desconocido al otro lado del planeta verificar que un documento es genuinamente nuestro.
Un esquema de criptografía de clave pública para firmar y cifrar archivos, mensajes y lanzamientos de software, escrito originalmente por Phil Zimmermann en 1991. Estandarizado como OpenPGP (RFC 4880, actualizado por RFC 9580 en 2024). La implementación de referencia de software libre es GnuPG (gpg). Se utiliza para verificar la integridad de los lanzamientos de software, firmar correos electrónicos, cifrar archivos en reposo y autenticar la identidad a través de un canal fuera de banda.
PGP es cómo hacemos verificables nuestras propias declaraciones.
TLS demuestra que estás hablando con un servidor controlado por el dominio del certificado; no demuestra que NordBastion como organización haya dicho algo en concreto. Para declaraciones que deben ser infalsificables —el warrant canary, los informes de transparencia, los artefactos de versión, los avisos firmados— TLS no es suficiente. PGP es la capa que falta.
Nuestras claves públicas están listadas en /pgp/ con sus huellas digitales. El canario de garantías está firmado con PGP en cada período; el informe de transparencia lleva una firma independiente; los archivos de versiones se distribuyen con ficheros .asc. Cualquiera que tenga una copia de nuestra clave pública puede ejecutar `gpg --verify` y tener certeza criptográfica de que el documento que posee fue producido por el titular de la clave privada correspondiente y no ha sido alterado desde entonces.
La otra cara: PGP solo funciona si verificas la huella dactilar de la clave contra una fuente independiente. La página /pgp/ muestra la huella, nuestro espejo Tor la lista, nuestros perfiles de keybase y redes sociales también la muestran; deberías comparar al menos dos antes de confiar en una clave recién importada. Esta es la parte inconveniente del protocolo y también la que otorga la propiedad que el resto del sistema realmente necesita.
Leer a continuación.
Las páginas que hacen referencia a este término.
Las preguntas que la gente realmente hace.
¿Qué hace PGP exactamente?
Dos cosas relacionadas. Primero, firma digitalmente archivos y mensajes para que cualquier persona con tu clave pública pueda verificar que un documento procede genuinamente de ti y no ha sido alterado —esto es en lo que se basan el warrant canary, el informe de transparencia y los archivos de versiones—. Segundo, cifra archivos y mensajes para un destinatario específico de modo que solo el poseedor de la clave privada correspondiente pueda descifrarlos.
¿Cuál es la diferencia entre PGP y OpenPGP?
PGP fue el programa original escrito por Phil Zimmermann en 1991 y posteriormente comercializado. OpenPGP es el estándar abierto derivado del formato de archivo y el protocolo de PGP, especificado por primera vez en el RFC 2440 (1998) y actualmente definido por el RFC 9580 (2024). Cuando hoy la gente dice «PGP», casi siempre se refiere a una implementación de OpenPGP, habitualmente GnuPG (gpg), que es la referencia del software libre.
¿En qué se diferencia PGP de TLS?
TLS autentica un servidor durante una conexión activa y cifra el canal entre dos endpoints: es privacidad a nivel de enlace que desaparece una vez que la conexión se cierra. PGP autentica a la persona u organización detrás de un dato y cifra ese dato para que permanezca cifrado en disco, en correo, en una cinta de copia de seguridad, para siempre. TLS protege la conversación; PGP protege el documento.
¿Cómo verifico una firma PGP de NordBastion?
Importa la clave de firma desde /pgp/ a tu llavero GnuPG local (`gpg --import nordbastion.asc`), verifica la huella digital frente a la publicada en el sitio y, a ser posible, frente a una copia fuera de banda (espejo Tor, publicación en redes sociales); luego ejecuta `gpg --verify