PGP
¿Qué es PGP?
PGPPretty Good Privacy, esquema de cifrado y firma de extremo a extremo para correo, ficheros y mensajes, creado por Phil Zimmermann en 1991.
PGP (Pretty Good Privacy) aporta confidencialidad, integridad y autenticación mediante un esquema híbrido: una clave simétrica por mensaje (normalmente AES) cifra el contenido, y la clave pública RSA o ECC del destinatario envuelve esa clave de sesión. Las firmas digitales ligan el mensaje a su firmante. El formato OpenPGP está estandarizado en el RFC 4880 y modernizado en el RFC 9580 (Crypto-Refresh, 2024), que añade AEAD (OCB, GCM) y nuevos algoritmos. A diferencia del X.509 jerárquico de S/MIME, PGP utiliza una Web of Trust descentralizada en la que los usuarios se firman las claves entre sí. Lo implementan GnuPG, OpenPGP.js, Sequoia-PGP y otros, y se usa profusamente en firma de software (releases de distros Linux), periodismo y compartición de threat intel.
● Ejemplos
- 01
Un mantenedor firma el tarball de una release con su clave OpenPGP para que los usuarios verifiquen la descarga.
- 02
Un periodista publica su clave PGP pública para que las fuentes envíen documentos cifrados.
● Preguntas frecuentes
¿Qué es PGP?
Pretty Good Privacy, esquema de cifrado y firma de extremo a extremo para correo, ficheros y mensajes, creado por Phil Zimmermann en 1991. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa PGP?
Pretty Good Privacy, esquema de cifrado y firma de extremo a extremo para correo, ficheros y mensajes, creado por Phil Zimmermann en 1991.
¿Cómo funciona PGP?
PGP (Pretty Good Privacy) aporta confidencialidad, integridad y autenticación mediante un esquema híbrido: una clave simétrica por mensaje (normalmente AES) cifra el contenido, y la clave pública RSA o ECC del destinatario envuelve esa clave de sesión. Las firmas digitales ligan el mensaje a su firmante. El formato OpenPGP está estandarizado en el RFC 4880 y modernizado en el RFC 9580 (Crypto-Refresh, 2024), que añade AEAD (OCB, GCM) y nuevos algoritmos. A diferencia del X.509 jerárquico de S/MIME, PGP utiliza una Web of Trust descentralizada en la que los usuarios se firman las claves entre sí. Lo implementan GnuPG, OpenPGP.js, Sequoia-PGP y otros, y se usa profusamente en firma de software (releases de distros Linux), periodismo y compartición de threat intel.
¿Cómo defenderse de PGP?
Las defensas contra PGP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PGP?
Nombres alternativos comunes: Pretty Good Privacy, OpenPGP.
● Términos relacionados
- network-security№ 446
GnuPG (GPG)
Implementación libre del estándar OpenPGP (RFC 4880, RFC 9580) utilizada para firmar, cifrar y descifrar datos, incluidos correos y paquetes de software.
- network-security№ 955
S/MIME
Estándar IETF para firmar y cifrar de extremo a extremo mensajes MIME mediante certificados X.509 emitidos por una CA pública o corporativa.
- network-security№ 330
DKIM
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
- network-security№ 878
Infraestructura de clave pública (PKI)
Conjunto de políticas, software, hardware y autoridades de confianza que emite, distribuye, valida y revoca certificados digitales que asocian identidades con claves públicas.