Flashcards: 331.2 - Certificados Cifrado Firma Autenticacion
36 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Qué comando exporta la clave pública de un usuario en formato ASCII (blindado)?
R: b). gpg2 --export --armor usuario@ej.com > pub.asc La opción --armor (o -a) produce salida en formato ASCII Base64, adecuada para enviar por correo electrónico o publicar en texto plano.
P: En el modelo Web of Trust de GPG, ¿cuántas firmas de confianza “marginal” se necesitan por defecto para considerar una clave como válida?
R: c). 3 Por defecto, GPG requiere al menos 3 firmas de claves con confianza “marginal” o 1 firma de una clave con confianza “full” para considerar una clave como válida.
P: ¿Qué comando crea una firma separada (detached) de un archivo sin modificar el original?
R: c). gpg2 --detach-sign archivo.txt --detach-sign crea un archivo de firma separado (archivo.txt.sig) sin modificar el archivo original. Esto es ideal para distribuir software con su firma.
P: ¿Cuál es la principal diferencia entre GPG/OpenPGP y S/MIME?
R: b). GPG usa un modelo de confianza descentralizado (Web of Trust), S/MIME usa jerárquico (PKI/CA) GPG/OpenPGP utiliza la Web of Trust donde los usuarios se firman mutuamente las claves. S/MIME se basa en certificados X.509 emitidos por Autoridades de Certificación en una estructura jerárquica.
P: ¿Qué archivo almacena la configuración del agente GPG, incluyendo el tiempo de caché de passphrases?
R: b). ~/.gnupg/gpg-agent.conf El archivo gpg-agent.conf contiene directivas como default-cache-ttl y max-cache-ttl que controlan cuánto tiempo el agente mantiene las passphrases en caché.
P: Un administrador necesita cifrar un archivo para dos destinatarios diferentes. ¿Qué comando es correcto?
R: b). gpg2 --encrypt -r user1@ej.com -r user2@ej.com archivo.txt Se utiliza la opción -r (o --recipient) múltiples veces, una por cada destinatario. GPG cifrará el archivo de forma que cualquiera de los destinatarios pueda descifrarlo con su clave privada.
P: ¿Qué algoritmo hash se considera actualmente como el estándar mínimo recomendado para firmas digitales?
R: c). SHA-256 SHA-256 es el estándar mínimo recomendado actualmente. MD5 está completamente roto, SHA-1 se considera obsoleto. SHA-256 y SHA-512 son las opciones recomendadas.
P: ¿Qué comando publica una clave pública en un servidor de claves?
R: b). gpg2 --keyserver hkps://keys.openpgp.org --send-keys ID --send-keys envía la clave pública identificada por su ID al servidor de claves especificado con --keyserver. El protocolo hkps:// utiliza HTTPS.
P: ¿Qué opción de gpg2 --clearsign produce un archivo que permite leer el texto original sin necesidad de GPG?
R: a). Es una característica inherente de --clearsign; el texto es legible dentro del archivo firmado --clearsign produce una firma “en claro” donde el texto original es visible directamente, enmarcado por cabeceras PGP. La firma se añade al final, permitiendo verificar la integridad sin perder legibilidad.
P: ¿Qué comando de OpenSSL se utiliza para firmar un correo electrónico con S/MIME?
R: b). openssl smime -sign -in msg.txt -signer cert.pem -inkey key.pem -out firmado.eml El subcomando smime de OpenSSL con la opción -sign firma un mensaje. Se necesita el certificado (-signer) y la clave privada (-inkey). La opción a) con cms también es válida técnicamente pero smime es la respuesta más directa para el examen.
P: ¿Qué nivel de confianza del propietario en GPG se reserva exclusivamente para las claves propias del usuario?
R: c) Correcta. El nivel ultimate indica confianza absoluta y solo debe asignarse a las claves del propio usuario. Asignar ultimate a claves ajenas compromete la integridad del modelo Web of Trust, ya que todas las claves firmadas por esa clave se considerarían automáticamente válidas.
P: ¿Qué opción de gpg2 permite generar una clave de forma rápida con valores por defecto especificando algoritmo y tamaño?
R: b) Correcta. --quick-generate-key permite generar un par de claves sin el diálogo interactivo completo, aceptando el nombre/email y opcionalmente el algoritmo como argumentos directos. Para la generación interactiva completa se usa --full-generate-key.
P: ¿Qué protocolo utilizan los servidores de claves GPG cuando se especifica el esquema hkps://?
R: b) Correcta. hkps:// (HKP Secure) utiliza HTTPS para la comunicación con servidores de claves, proporcionando cifrado TLS. El protocolo hkp:// estándar utiliza HTTP sin cifrar en el puerto 11371.
P: Un administrador necesita verificar que un archivo no ha sido modificado desde que fue firmado. ¿Qué propiedad criptográfica garantiza esto?
R: c) Correcta. La integridad es la propiedad que garantiza que los datos no han sido alterados. Las firmas digitales verifican la integridad calculando un hash del contenido y cifrándolo con la clave privada del firmante. Cualquier modificación posterior invalidará la firma al no coincidir el hash.
P: ¿Qué directiva en ~/.gnupg/gpg-agent.conf establece el tiempo máximo absoluto (en segundos) que una passphrase permanece en caché?
R: b) Correcta. max-cache-ttl define el tiempo máximo absoluto en segundos que una passphrase se mantiene en caché, independientemente de cuántas veces se use. default-cache-ttl define el tiempo de caché desde el último uso. Ambas se configuran en gpg-agent.conf.
P: ¿Qué formato de certificado utiliza S/MIME a diferencia de GPG/OpenPGP?
R: c) Correcta. S/MIME utiliza certificados X.509 emitidos por Autoridades de Certificación (CA) dentro de una infraestructura PKI jerárquica. GPG/OpenPGP utiliza su propio formato de certificado basado en el estándar OpenPGP (RFC 4880), con un modelo de confianza descentralizado (Web of Trust).
P: ¿Cuál es el propósito del archivo ~/.gnupg/trustdb.gpg?
R: b) Correcta. El archivo trustdb.gpg contiene la base de datos de confianza (trust database) de GPG, donde se registran los niveles de confianza del propietario (owner trust) asignados a cada clave. Esta información es utilizada por el modelo Web of Trust para calcular la validez de las claves.
P: ¿Qué algoritmo de cifrado asimétrico basado en curvas elípticas es considerado moderno y seguro para firmas digitales en GPG?
R: c) Correcta. Ed25519 es un esquema de firma digital basado en la curva Edwards Curve25519. Es moderno, eficiente y ofrece alta seguridad con claves más pequeñas que RSA. DSA está obsoleto, 3DES es un cifrado simétrico y RSA-4096, aunque seguro, no está basado en curvas elípticas.
P: En cifrado híbrido, ¿cuál es el orden correcto de las operaciones al cifrar un mensaje?
R: b) Correcta. El cifrado híbrido combina la eficiencia del cifrado simétrico con la seguridad de distribución del cifrado asimétrico. Se genera una clave simétrica aleatoria de sesión, se cifra el contenido con ella (rápido para datos grandes), y finalmente se cifra solo la clave simétrica con la clave pública del destinatario.
P: ¿Qué diferencia principal existe entre gpg2 --sign archivo.txt y gpg2 --detach-sign archivo.txt?
R: b) Correcta. --sign crea un archivo binario (.gpg) que contiene tanto el documento original como la firma integrada. --detach-sign genera únicamente el archivo de firma (.sig) por separado, dejando el archivo original intacto. La firma separada es ideal para distribución de software donde se quiere mantener el archivo original sin modificar.
P: Escribe el comando para importar una clave pública GPG desde un archivo llamado clave-publica.asc.
R: gpg2 —import clave-publica.asc. El comando --import permite añadir claves (públicas o privadas) al anillo de claves local desde un archivo. El formato puede ser binario o ASCII armored (.asc).
P: Escribe el comando para cifrar el archivo datos.txt de forma simétrica con el algoritmo AES-256 usando GPG.
R: gpg2 —symmetric —cipher-algo AES256 datos.txt. --symmetric (o -c) indica cifrado simétrico con passphrase. --cipher-algo AES256 especifica el algoritmo. Se generará el archivo datos.txt.gpg y se solicitará una passphrase para proteger el cifrado.
P: Escribe el comando para verificar la firma separada documento.txt.sig contra el archivo original documento.txt.
R: gpg2 —verify documento.txt.sig documento.txt. El comando --verify comprueba la validez de una firma. Para firmas separadas (detached), se deben especificar ambos archivos: primero el archivo de firma y luego el archivo original. GPG verificará que la firma corresponde al contenido y que fue creada con una clave válida.
P: Escribe el comando para generar un HMAC SHA-256 de un archivo llamado mensaje.txt usando OpenSSL con la clave secreta “mi-secreto”.
R: openssl dgst -sha256 -hmac “mi-secreto” mensaje.txt. El subcomando dgst de OpenSSL calcula resúmenes (hashes). La opción -hmac genera un código de autenticación de mensajes basado en hash (HMAC) combinando SHA-256 con la clave secreta proporcionada, verificando tanto integridad como autenticidad.
P: Escribe el comando para recargar la configuración del agente GPG sin reiniciar el servicio.
R: gpg-connect-agent reloadagent /bye. gpg-connect-agent permite comunicarse con el agente GPG en ejecución. El comando reloadagent recarga la configuración desde ~/.gnupg/gpg-agent.conf sin necesidad de reiniciar el demonio. /bye cierra la conexión con el agente.
P: Tip de examen: Conoce a fondo los comandos de gpg2 para gestión de claves, cifrado y firma. E…
R: Conoce a fondo los comandos de gpg2 para gestión de claves, cifrado y firma. Entiende la diferencia entre el modelo de confianza de GPG (Web of Trust) y el de PKI (jerárquico).
P: Tip de examen: En la práctica, se usa cifrado asimétrico para intercambiar una clave simétrica …
R: En la práctica, se usa cifrado asimétrico para intercambiar una clave simétrica de sesión, y luego cifrado simétrico para los datos (cifrado híbrido).
P: Tip de examen: Una clave se considera válida si está firmada por al menos una clave de confianz…
R: Una clave se considera válida si está firmada por al menos una clave de confianza “full” o por tres claves de confianza “marginal”.
P: Tip de examen: El protocolo hkps:// usa HTTPS para la comunicación con servidores de claves. …
R: El protocolo hkps:// usa HTTPS para la comunicación con servidores de claves. hkp:// es la versión sin cifrar en puerto 11371.
P: Que es/son Introducción?
R: Este subtema cubre el uso práctico de la criptografía para proteger datos, verificar identidades y garantizar la integridad de la información. Se centra en GnuPG (GPG) como herramienta principal, junto
P: Que es/son Firmas Digitales?
R: Las firmas digitales garantizan autenticidad (quién lo firmó) e integridad (que no se ha modificado).
P: Que es/son Algoritmos Hash?
R: Los algoritmos hash generan un resumen de longitud fija a partir de datos de cualquier tamaño. Son fundamentales para firmas digitales y verificación de integridad.
P: Que es/son Servidores de Claves?
R: Los servidores de claves permiten publicar y buscar claves públicas GPG.
P: Que es/son gpg-agent?
R: El gpg-agent es un demonio que cachea passphrases y gestiona claves privadas, evitando tener que introducir la passphrase repetidamente.
P: Que es/son S/MIME (Secure/Multipurpose Internet Mail Extensions)?
R: S/MIME usa certificados X.509 (no GPG) para cifrar y firmar correo electrónico.
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: