Privacidad

Bocados de Actualidad (11º)

Publicado en por Jose Alcántara / 1 comentario
Con una semana en blanco y muchos artículos que no he leído en los últimos días aquí dejo la décimo primera ronda de bocados de actualidad.

  • Dirson y el efecto google. Ríase usted del efecto menéame, visto lo visto.
  • Acalpixca y las 10 aplicaciones de RFID más estúpidas (nota. ¿no son todas un poco estúpidas?)
  • En ¿Quien vigila al vigilante? nos descubrieron antes que en ningún otro sitio los problemas del nuevo juguete que han sacado Nike y Apple para combinar con el iPod
  • La singularidad desnuda y el nuevo careo entre Google y el test de turing.
  • Dirson y la patente de google sobre la apariencia de su página de resultados
  • Genbeta y MadMACs para cambiar la dirección MAC de nuestra tarjeta para defender nuestra privacidad (un poco) si vamos a cibercafés con nuestro portátil.
  • Málaga en blanco y negro y un desesperado grito de socorro para los baños del carmen, uno de los lugares emblemáticos de la ciudad que están en peligro de ser tragados por el mar
  • Sonia Blanco o celebra su tercer aniversario bloguero. ¡Aupa bloguerona!

Es probable que a lo largo del día agregue algún enlace que me parezca interesante de cosas escritas durante el finde.

Privacidad

¿Somos egoístas cuando hablamos de privacidad?

Publicado en por Jose Alcántara / Comentarios desactivados en ¿Somos egoístas cuando hablamos de privacidad?
Infosniper ha publicado en kriptopolis una reflexión sobre privacidad, sobre la sobrevalorada o, mejor dicho, sobre lo asimétricamente valorada que está nuestra privacidad, o eso es lo que él percibe .

Me interesa y me parece útil su opinión porque como usuario de kriptopolis voy a dar por sentado que, al menos alguna vez, debe haberse topado con el tema y alguna vez se habrá preguntado ¿cuánto me interesa mi privacidad?

En su artículo picotea de muchos temas y creo que no lo he entendido bien, porque me da la impresión de que mezcla velocidad y tocino. Demos un pequeño repaso…

Para empezar me pongo en situación, voy a dar ventaja porque me voy a posicionar desde el principio (y mi postura ya la conocen mis lectores constantes): Yo soy firme defensor de la privacidad.

Infosniper me compara la privacidad con asaltar computadoras ajenas, instalar en ella malware, troyanos o usar la ingeniería social. Bueno, no es un mal símil, quizá todos hemos hecho alguna vez esas cosas. Yo desde luego no he creado nunca un virus (mis limitados conocimientos me lo impiden) ni lo he instalado en un pc ajeno, aunque reconozco que entrar a un sistema windows «in-situ» sin autorización es alarmante mente fácil. Incluso aunque esté protegido con contraseña será fácil acceder a los ficheros del sistema. ¿Violar un sistema informático es un atentado a la privacidad? Con toda seguridad, sí. Igual trato vamos a dar a la ingeniería social cuando ésta sirve para lo más general: Conseguir que alguien te facilite información delicada diciendo ser quien no eres. Otro punto a favor de Infosniper.

Esas eran las de velocidad, ahora vamos con el tocino…

¿Crackear un programa es un asalto a la privacidad? No. Puedes estar violando la licencia de uso del software, puedes estar violando leyes de propiedad intelectual o puedes estar saltándote leyes de protección de software (en EEUU está prohibida la ingeniería inversa, por ejemplo). Pero eso no es atentar contra la privacidad del autor. ¿O acaso me he perdido algo? Aquí no estamos de acuerdo.

Del mismo modo conducir borracho o hasta arriba de drogas no es un ataque a la privacidad de nadie. Puede ser una gilipollez, una putada para el que circula sobrio y por su carril, puede ser la muerte. Pero que yo sepa no es un ataque contra la privacidad de nadie. Que el común de los mortales sea capaz de volver a casa con 3 cervezas (o 17) en el cuerpo no significa que esté despreciando la privacidad de nadie. Quizá su vida, quizá la de alguien más; pero ¿qué pinta la privacidad? Otra vez pensamos diferente.

Por eso su argumento de «mi privacidad sí, la de otros no», apoyado en esos comportamientos, no lo comparto. Yo abogo por mi privacidad y la de todos. De verdad no me interesa a qué se dedica la gente, no voy a investigarlo, y tan sólo me gustaría que si alguien se interesa en qué hago yo: Qué marca de ketchup compro, qué marca de refresco, en qué tiendas, a qué horas, qué dia de la semana, a quién le escribo correo o con quién chateo; tan sólo quiero que si alguien quiere saber la marca de mis zapatos, de mis pantalones, si los compré en rebajas, si mi reloj es casio o rolex, si en mi mochila hay una PDA, me lo pregunte así yo decido a quién se lo digo, que no pueda cualquier acceder a esa información privada. Averiguar todo eso sin que yo te lo diga es un ataque a la privacidad. Y no es que conducir borracho o tomar drogas no sea parecido a esto, es que no tiene nada que ver. Privacidad y seguridad no son siempre comparables o equivalentes; por mucho que la informática insegura ponga en peligro tu privacidad, ir por la calle de noche en un barrio marginal no es un ataque contral a privacidad, te puede costar algo de dinero, el reloj y (sobre todo) un buen susto, pero no es lo mismo. Otro en contra.

Sí, cuando Infosniper dice que se cansas de ver que la policía está corrupta le doy la razón. La policía, creo, no está corrupta. Hay policías corruptos. ¡Es un matiz tan importante! También hay albañiles corruptos que trabajan menos horas de las que deben, y profesores de universidad y abogados y políticos. Incluso hay informáticos corruptos capaces de crear malware para secuestrar tus datos bajo cifrado hasta que pagues por el rescate. Eso de la policía no tiene nada que ver con la privacidad. Y como nexo lejano lo único podría ser los planes del gobierno de introducir información biométrica en nuestros documentos oficiales, como ya ha sucedido con el pasaporte y está sucediendo con el dni electrónico. Esos datos y el mal uso que de ellos se pueda hacer (invasión a nuestra intimidad y rastreo de personas) por parte de un estado donde lo militar y lo policial cada vez tiene más peso sí es un problema de privacidad. Así me reitero, no es exceso de celo; en UK el 25% de la población está fichada por ADN, 5 millones de franceses lo están, en EEUU también tienen su base de datos de ADN. Todos tenemos Pasaportes RFID tan inseguros que lo mejor es protegerlos bien. Este casi se acerca, si es que creo entender por dónde van los tiros, pero si ese matiz queda demasiado lejos… en contra (leve).

No, no creo yo que los que decimos privacidad lo digamos con la boca pequeña, lo decimos por la grande: Privacidad para todos, lo decimos como los niños que juegan al escondite, «por mí y por todos mis compañeros». Y mientras nuestros diputados engordan con los turrones de la cesta pagada por nuestros impuestos (algo que ya mencionas tú) no es que haya que pedir que vigilen las calles (que también), sino que es nuestro turno de organizarnos y pedir una legislación adecuada, no para proteger al creador de un programa ni para impedir que un borracho conduzca. Todas esas cosas ya están legisladas y penadas y quizá lo que hace falta es gastar más dinero en educación. Lo que hay que pedir es legislación para proteger nuestra intimidad y nuestra privacidad, que la ley de protección de datos se queda corta cuando mi VISA, mis zapatos, mi cartón de leche, mis vaqueros, o mi pasaporte pueden decirle a cualquiera dónde compro, cuándo, publicar a los cuatro vientos mis hábitos de comida más íntimos o publicar mi nombre, nacionalidad, fecha de nacimiento, edad, estado civil, y mis huellas dactilares en mitad de la calle… Cosas que se pueden hacer con algunas tecnologías actuales y que la ley aún ignora.

Y que conste que mi intención no es otra que la de matizar que no estoy de acuerdo con parte de su reflexión, y esto era demasiado largo para un comentario. Además, ¿qué hostias? Démosle la razón a todo esos gurúes que se pasan el día hablando de la conversación.

Libertades

El regreso de «la autoridad competente»

Publicado en por Jose Alcántara / 3 comentarios
A partir de ahora, en España te podrán cerrar una página web sin orden judicial, y es que cualquier órgano administrativo competente podrá ahora cerrar tu página web. En su día ya comentamos el anteproyecto de esta reforma.

Censura, no tiene otra palabra. No ganamos para sustos despues de la creación del Consejo Audiovisual de Cataluña (CAC) y la apertura de la puerta a la vieja censura franquista nos encontramos la reforma y endurecimiento de la nunca suficientemente denostada LSSI.

¿Quién define quién es competente? ¿Con qué criterio se define qué es censurable? ¿con el criterio de los nunca bien atendidos intereses políticos del gobierno de turno? Si vivimos en democracia, ¿por qué nos reducen y amenazan la libertad de expresión?

***Y esta noticia lleva toda la semana en borrador así que ya la ha comentado todo el mundo:
Consejo asesor de telecomunicaciones para la sociedad de la información
Periodistas 21
El gobierno planea la censura en internet
Asociacion de internautas

y seguro que mucha más gente…

Así que ya sabes, a protestar antes de que la aprueben definitivamente y entre en vigor.

Privacidad

Terroristas grabados las 24 horas del día

Publicado en por Jose Alcántara / Comentarios desactivados en Terroristas grabados las 24 horas del día
Garzón ordena que se grabe a los 11 miembros de Al Qaeda detenidos recientemente en Ceuta las 24 horas del día. Lo harán «preservando su intimidad» (que alguien me explique como) y sobra decir que lo hacen «por nuestra seguridad».

Y digo yo, si los tienen metidos en celdas y bajo la vigilancia de un montón de agentes, ¿por qué ese empeño en grabarlos 24 horas al día? Avances en videovigilancia por nuestra seguridad policial, y esta vez no hay que ir hasta EEUU. En este momento recuerdo eso de que «la cárcel es un lugar donde se hacen experimentos sociales, pues si los presos pasan por el aro está claro que el resto de la población también lo hará».

Fuente: ABC (Vía Meneame)

Aeropuertos/Libertades/Privacidad

Camisetas de destrucción masiva

Publicado en por Jose Alcántara / Comentarios desactivados en Camisetas de destrucción masiva
¿Y si por llevar una camiseta con una pistola dibujada no te dejan volar? ¿Y si por llevar una camiseta anti-Bush no te dejan volar?

Estas preguntas que de tan inocentes podrían parecer estúpidas no lo son en absoluto. Lo primero sucedió hace algún tiempo y lo segundo acaba de sucederle a Allen Jasson, de nuevo en Londres, que tuvo que comprar una camiseta en el aeropuerto porque con la que llevaba, con el eslogan: El terrorista número 1 del mundo adornado con una imagen de GW Bush, no se le permitió volar.

No vuelo demasiado pero sí con cierta regularidad, y de verdad que cada vez más llego al aeropuerto y me enfado más y el enfado tarda menos en llegar. El otro día con los malditos retrasos incluso tuve que comprar agua en el duty free. Sí, esa misma agua que si la llevo yo es peligrosa pero si me la venden ellos entonces todo está bien.

Ya saben, agua de destrucción masiva, camisetas de destrucción masiva… Si todo lo que hacen lo hacen por nuestro bien.

Foto: Herald Sun.

Humor

Sabemos porqué vuelas

Publicado en por Jose Alcántara / Comentarios desactivados en Sabemos porqué vuelas

En una época de vigilancia intensiva en la cual los aeropuertos se han convertido en campo de batalla legal en el que introducir nuevas medidas contra nuestra privacidad y nuestros derechos, ¿no es muy atrevido para una aerolínea un eslogan publicitario como éste?

American Airlines dice: «We know why you fly» Que en cristiano significa «Sabemos porqué vuelas».
¿No es un poco atrevido decir algo así en estos tiempos de medidas antiterroristas-mercantilistas absurdas?

Gracias por el chivatazo, Alkar (que lo ha visto en Improbable)

COMOs/Seguridad

COMO y Por qué usar cifrado de correo: Tutorial apto para novatos.

Publicado en por Jose Alcántara / 17 comentarios
Este CÓMO trata todos los puntos necesarios para entender porqué hay que usar cifrado en el correo y cómo usarlo. Lo cierto es que ahora que he reunido y estructurado toda la información quizá es un poco largo, para tranquilidad de todos tengo que decir que el tutorial es para todos los públicos pues no me meto en la parte dura matemática (ya que a mí también se me haría muy costosa), sólo nos quedamos con la idea y el cómo usarlo de un modo sencillo. Vamos a tratar los siguientes puntos:

1. ¿Por qué usar cifrado en el correo electrónico?
2. En qué consiste y cómo lo usamos.
3. Diceware, generación de contraseñas completamente aleatorias.

Sin entretenernos demasiado más vamos a pasar directamente al CÓMO.

1. ¿Por qué usar cifrado en el correo electrónico?

Para aumentar la confidencialidad de tus correos, para evitar que nadie envíe correos haciéndose pasar por tí (esto es alarmantemente fácil con el protocolo POP3) y para verificar que el correo te ha llegado íntegro.

2. En qué consiste y cómo lo usamos.

El sistema de cifrado más usual, que vamos a describir en este CÓMO usa un sistema de doble clave, o de clave asimétrica. No os asustéis, es fácil de entender. Tenemos dos claves: Una que es pública y otra que es privada. La pública se la das a conocer a tus amigos y en general, a todo aquel con el que mantengas correspondencia. La privada es tuya, sólo tuya (como cualquier contraseña). En estos sistemas un mensaje codificado con una de las dos claves (la pública o la privada, no importa) sólo puede ser decodificado empleando la otra clave. Como tener las dos piezas de un puzzle.

La clave pública ya la conocen tus amigos, así que con la clave privada lo que haces es firmar correos. Codificas el mensaje y tus amigos al recibirlo en su buzón se darán cuenta que sólo se descifra con tu clave, lo cual le confirma que lo has enviado tú. Evidentemente, esto de codificar/descodificar lo hace el programa de nuestro amigo (normalmente su cliente de correo), que guarda todas las claves públicas de sus amigos (¡eso nos incluye a nosotros!) para que sea más cómodo. Tus amigos usan tu clave pública para certificar realmente que el correo lo has escrito tú.

Con este sistema tu amigo está seguro de que tú has enviado el correo, ya hemos dicho lo fácil que resulta enviar correos simulando ser otro remitente, así que es importante.

La clave privada no la conoce nadie (excepto tú, claro), de modo que con la clave pública tus amigos te envían correos cifrados que sólo tú puedes leer (decodificar) usando tu clave privada. Un sistema genial para transmitir mensajes confidenciales o para evitar que diversos sistemas automáticos (como servidores smtp de empresa o gmail) rastreen el correo. Tú usas tu clave privada para descodificar correos cifrados que te envían tus amigos a tí y solo a tí.

2.1 Proceso completamente automático

Ni tú ni tu amigo tenéis que hacer nada especial para usar este sistema, salvo (lógicamente) añadir las claves públicas de tus amigos a la configuración de tu programa de correo. Lo más importante en este punto es estar seguro de que la clave pública de tu amigo es realmente la suya. Ya hemos visto que con este sistema la fiabilidad sobre quién escribe es total, pero hay un principio para todo, un mensaje antes del cual no existe esa seguridad… para evitar eso lo mejor sin duda es darse las claves en persona (si es posible), por teléfono…

Este sistema aumenta drásticamente la seguridad de nuestro correo, aumentando nuestra confidencialidad y nuestra privacidad, impidiendo que algún fisgón pueda leer un correo que no debe leer (sea cual sea nuestro motivo).

2.2. El programa

Si usas Linux ya tendrás GPG instalado, si usas windows necesitarás descargarlo (Descarga GNUpg para Windows). Una vez instalado y generado tu par de claves sólo queda darles a tus amigos tu clave pública y pedirle a ellos la suya.

Con ésto hemos acabado la primera parte del tutorial.

2.3 Cómo usar el cifrado de correo

Ahora vamos a ir al segundo punto. Cómo utilizar GPG en Windows.

Ya hemos explicado el sistema que nos va a servir para comprobar la identidad del remitente, así como el sistema que nos va a permitir cifrar mensajes. Una aplicación para usar este sistema es GPG (Gnu Privacy Guard), software libre. Lo primero que hacemos es bajarnos la última versión desde www.gpg.org

1. El primer paso sería ubicarnos en el directorio donde tenemos instalado el ejecutable de GPG, y teclear el siguiente comando:

gpg –gen-key

Durante el proceso de generación se nos irán haciendo diversas preguntas, como el tipo de cifrado que queremos utilizar, la intensidad de cifrado, la fecha de expiración de la clave en cuestión y naturalmente nuestro nombre y apellidos así como una dirección de correo, que es lo que va a constituir el USERID. Tomaremos las opciones por defecto, ya que en la mayoría de los caso éstas son apropiadas para nuestra seguridad.

Al generar la clave se nos va a preguntar por una frase de paso, es decir, una contraseña. Esta contraseña nos va a asegurar que nadie más que nosotros mismos va a poder usar esta clave GPG, por lo que es importante elegir una contraseña fuerte y difícil de adivinar, pero que sea lo suficientemente clara para nosotros como para no olvidarla, puesto que si esto sucede no podremos volver a utilizar más la clave gpg relacionada. Para obtener una frase de paso fuerte usaremos DiceWare, pero ese es el tercer punto de este tutorial, así que lo olvidamos hasta más tarde. Es importante no olvidar que si perdemos/olvidamos nuestrta frase de paso no podremos volver a acceder a la información cifrada, por lo cual se recomienda tener una copia aparte de la misma.

Si seguimos las opciones del programa que hemos ejecutado antes a estas alturas ya debemos haber generado nuestro par de claves, pero para que el resto de la gente pueda comprobar nuestros mensajes firmados, tenemos que darles nuestra clave pública.

Esto se puede hacer de varias maneras.

  1. Dándoselas en persona (la mejor, pero hoy en día no siempre es posible ya que nuestros contactos pueden estar a cientos de kilómetros)
  2. Enviándosela por correo
  3. Subiéndola a un servidor de claves públicas

Servidores de claves hay muchos, pero todos ellos están interconectados, es decir, que subiendo la clave a un servidor, el resto ya tiene conocimiento de la existencia de nuestra nueva clave. Por estar en España yo recomiendo utilizar el servidor de claves de RedIRIS. El comando para enviar la clave al servidor es:

gpg –send-keys –keyserver pgp.rediris.es USERID.

Tecleada lógicamente, desde donde tengamos instalado gpg, USERID es el número de la clave que quieres enviar al servidor de claves. La clave que has generado y su número los puedes comprobar con el comando gpg –list-keys. Este comando listará todas las claves memorizadas hasta el momento por GPG. Si acabamos de instalar GPG, solo debería salir la nuestra.

Este sería el proceso para remitir nuestra clave a un servidor de claves público, pero es posible que deseemos que tan sólo unos pocos tengan conocimiento de nuestra clave pública. Pues bien, para ello deberemos volcar esta clave a un fichero de texto. El comando para ello sería:

gpg -a -–export USERID > miclave.asc.pub

El comando que deberiamos ejecutar para importar una clave volcada en un fichero, es:

gpg -–import miclave.asc.pub

Normalmente nos va a bastar con subir nuestras claves públicas a un servidor al efecto. Para comprobar la indentidad de alguien y bajarnos su clave pública desde un servidor definido al efecto, podemos teclear la orden:

gpg –keyserver pgp.rediris.es –recv-keys USERID

La salida del comando te debe dar algo parecido a esto:

gpg: key USERID: «Nombre Apellido Apellido » not changed

Donde USERID es un código hexadecimal de 8 caracteres (huella de la firma) y la clave referida es mi clave pública, pero podéis llevar ese proceso con cualquier otra clave.

2.4 Certificados de revocación.

¿Qué pasa si se me olvida mi contraseña o pierdo mi clave privada?

Pues en este caso, o en el caso de nuestra clave haya sido comprometida, tenemos que generar un certificado de revocación y subirlo a un servidor de claves. Un certificado de revocación es un comunicado en el cual adviertes de que esa clave ya no es fiable. El certificado de refocación se genera con el siguiente comando:

gpg -o revocacion.asc –gen-revoke USERID

Importamos nuestro certificado de revocación…

gpg –import revocacion.asc

… y lo subimos al servidor de claves (elegiremos RedIRIS de nuevo):

gpg –keyserver pgp.rediris.es –send-keys USERID.

2.5 Interfaz gráfica para el programa

¿Que tú odias los comandos porque son cosa complicada y de freaks? Bueno, hemos usado todo esto de los comandos por dos motivos: Porque así no se necesita un programa adicional para hacer funcionar el invento y porque en estos comandos reside el meollo de todo este tema de seguridad.

Si hablamos de interfaz gráfica voy a recomendar Enigmail para Thunderbird, una extensión también válida para Mozilla Mail. También es software libre y su descarga (también es gratuita) la podéis hacer desde mozdev.En este punto es importante que descarguemos el fichero «xpi» en el mismo idioma en el que tengamos Thunderbird puesto que de otro modo no funcionará. Al ser una extensión para Thunderbird sirve para Windows y para Linux, en tanto empleéis este cliente de correo.

Si sois un raro usuario preocupado por la privacidad que además usa Outlook (o alguno de su familia, programas que desde luego no recomiendo) y no queréis cambiar a Thunderbird podéis utilizar GPGOE.


Es uno de esos programas que tanto nos gustan de «descomprimir y usar», sin instalador ni nada por el estilo. Tan sólo hay que añadir (según leí) el icono de firmar y encriptar a la barra de Outlook para hacerlo más fácil y eso es todo. Se supone que a partir de ese momento cuando abras un mensaje de correo te notifica en todo momento si la firma es correcta o no lo es. Es más básico y menos completo que Enigmail pero hace su trabajo. Debo admitir que no he usado este sistema.

3. Diceware

Diceware se traduciría como Dadoware en castellano. La información completa está en The Diceware Passphrase Home Page.

Aquí tan sólo vamos a explicar por encima y rápidamente cómo fabricar una frase de paso resistente para usar nuestro sistema de cifrado GPG. Al igual que para todo lo anterior, para usar esto no hace falta ser un experto informático, ni un gurú de la seguridad.

3.1 Frase de paso.

¿Qué es una frase de paso? En español suena raro porque todo el tiempo hablamos de contraseña. Vale, una frase de paso también es una contraseña, pero es una contraseña especial formada por varias palabras que componen una frase sin mucho sentido pero fácil de recordar. De modo que sea difícil presuponerla o averiguarla, pero fácil de recordar para cuando la necesitemos emplear. Esta frase de paso será más larga que una contraseña normal (pudiendo llegar a ser muy larga, más de 100 caracteres).

De hecho esta frase de paso la vamos a generar antes de instalar nuestro GPG y generar nuestro par de claves, la tendremos preparada para cuando hagamos esa instalación. ¿Por qué entonces lo explico al final? Pues porque lo primero era explicar porqué usamos cifrado, y luego explicar el cómo lo usamos. Este proceso es crítico, una mala frase de paso será fácilmente crackeable y de nada nos servirá tener un sistema de cifrado GPG si nos pueden levantar la clave para descifrar el correo a las primeras de cambio.

Diceware es un método de elección de frases de paso que emplea dados (dice, en inglés) para seleccionar aleatoriamente palabras de una lista especial llamada la Lista Diceware. Cada palabra en la lista está asociada a un número de 5 dígitos. Todos los dígitos están entre 1 y 6, lo que permite usar el resultado de lanzar 5 dados, para seleccionar de la lista una palabra única. Como ejemplo una muestra de la lista Diceware en Español:

22156 alfa

22161 alfar

22162 alfil

22163 alfiz

22164 alfoz

22165 alga

22166 algar

22212 algo

22214 alguno

22215 alhaja

22216 alhoz

22222 aliar

22223 alias

22224 Alicia

La lista completa contiene exactamente 7776 palabras no repetidas. 7776 son las posibles combinaciones de 5 dados.

En la(s) Lista(s) [1 y 2] Diceware en Español, las palabras son palabras cortas en español [ver ¿Cómo se generó?]. La longitud media de las palabras es de 3,26 caracteres. Las palabras más largas tienen 6 letras.

Existen listas Diceware para otros idiomas como Inglés, Alemán, Francés, Polaco, Chino, Finés, y Japonés , pero nos centramos en lo nuestro que es el español.
 
 

3.2 Uso de Diceware

Vamos a necesitar uno o más dados (numéricos). Los dados vienen con muchos juegos de mesa y también se venden en tiendas de juguetes, de manualidades y de magia. Los venden en casi cualquier tienda de juegos y en muchas papelerías. Es muy importante NO usar, en ningún caso, un programa de ordenador o un generador electrónico de dados: ¡NO son aleatorios!

1. Primero, copiamos y guardamos la Lista Diceware en Español (DW-Español-1.txt) Alternativamente puede hacerlo con la Lista Alternativa Diceware en Español (DW-Español-2.txt).

2. Decidir cuántas palabras tendra nuestra frase de paso. El número recomendado es 5, si somos muy paranoicos podemos coger alguna más. En la FAQ de Diceware explican la importancia de esto.

3. Ahora lanzamos un dado cinco veces (o cinco dados ordenados de izquierda a derecha una vez) por cada palabra que deseemos para nuestra frase, y escriba los resultados, en grupos de 5 dígitos, en un papel. (Use un lápiz y un papel que no dejen huellas en los papeles inferiores, p. ej. NO en un bloque de papel). En total serán 25 o 30 tiradas. Menos de 2 minutos, para los que tengan prisa en acabar con este tutorial :)

4. Buscamos en la Lista Diceware cada grupo de cinco números y anotamos la palabra correspondiente. Por ejemplo, «22236» [en  la Lista Diceware en Español (DW-Español-1.txt)] significa que su próxima palabra en la ëfrase de pasoí será «aljibe».

5. Una vez completado elp roceso, las palabras anotadas formarán nuestra nueva frase de paso. Las memorizamos y luego rompemos el papel o lo guardamos en un lugar que sea verdaderamente seguro.

¡Y eso es todo!

***Más consejos para obtener algo de seguridad adicional

  • Si imprimimos la lista, que sea sin cambiar la configuración del documento. Esas listas están formateadas para que en 36 páginas de 4 columnas, los 2 primeros dados sean iguales para cada página, lo cual facilita la búsqueda.
  • Recomendamos emplear la frase de paso exactamente como ha sido generada, sin ordenar las palabras ni nada de eso. Para mantener el azar al 100%.
  • Si queremos una frase más larga, podemos añadir cuantas palabras queramos… pero recuerda que luego hay que memorizarla.
  • Si la frase, incluidos los espacios entre palabras, resultara de menos de 14 caracteres, le recomendamos volver a empezar desde el principio y crear otra. Lo mismo debe hacer si ha resultado una frase reconocible en español (castellano). Ambas situaciones son muy improbables.
  • En la FAQ de Diceware hay algunas sugerencias mnemotécnicas.
  • Para una seguridad adicional, sin añadir otra palabra, inserte en su frase de paso un carácter especial o un dígito escogido al azar. Esta es la forma de hacerlo con seguridad: lance un dado para escoger una palabra en su frase de paso; láncelo otra vez para escoger una letra en la palabra. Láncelo otras 2 veces para escoger el carácter a añadir de la tabla siguiente:

TERCER lanzamiento

     1 2 3 4 5 6

 C 1 ~ ! # $ % ^

 U 2 & * ( ) – =

 A 3 + [ ] \ { }

 R 4 : ; » ‘ < >

 T 5 ? / 0 1 2 3

 O 6 4 5 6 7 8 9

Está claro que tener una contraseña con 20 caracteres es más complicado que usar «liverpool» o «azucar» pero desde luego es mucho más seguro. No debemos olvidar que cuando empleamos cifrado de clave pública, la seguridad de su mensaje depende de la frase de paso, así que hay que escogerla del mejor modo posible.

Apéndice: Referencias
No tiene sentido reinventar la rueda, ya hay muchos tutoriales para casi todo así que en lugar de partir de cero cuando me decidí a hacer este pensé en tomar como punto de partida diversa documentación que tenía por ahí guardada y desde la que he partido para reunir, completar, modificar, en fin, todo eso. Por mencionar lo más significativo:
Topopardo: Cómo funciona el cifrado digital
Cómo utilizar GPG en Windows
Diceware

Este blog usa cookies para su funcionamiento.    Más información
Privacidad