Pasos a seguir para la entrega (pdf)

Anuncio
Pasos a seguir para la entrega de prácticas
1. Para firmar las prácticas
Como se explica en el documento de ayuda GnuPG.pdf, para firmar digitalmente las prácticas necesitarás
un par de claves (privada y pública) y necesitarás que el profesor tenga tu clave pública y que esté seguro
de tu identidad. Para esto deberás seguir el siguiente protocolo:
•
Crea tu par de claves siguiendo las explicaciones de la sección 2.2 del documento de ayuda, si es que no lo
habías hecho ya. Recuerda que debes introducir tu verdadero nombre y una dirección de email válida que
suelas leer.
•
•
Envía esta clave pública por correo electrónico a los tres profesores de la asignatura.
Genera la huella dactilar de tu clave, mediante el comando:
$ gpg --fingerprint
e imprime el resultado en un papel (para imprimirlo, puedes redirigir la salida de gpg a un fichero y después
transferir este fichero a una máquina Windows). Una vez impreso fírmalo (con bolígrafo en este caso) y pon
debajo de la firma tu DNI.
•
Haz llegar a cualquiera de los profesores el papel que tiene la huella dactilar impresa y firmada. Con la
huella el profesor podrá validar la clave que le habías enviado por email y así disipar toda duda sobre su
validez.
•
Una vez hayas realizado las prácticas, comprime todos los ficheros que la componen para crear un único
archivo, que puedes llamarlo practicas.tar.gz. Debes firmarlo con el comando:
$ gpg --sign practicas.tar.gz
•
El fichero resultante, que se llamará practicas.tar.gz.gpg, es el que debes “subir” a través del
formulario web accesible desde la página de la asignatura. El profesor podrá verificar la firma digital gracias
a tu clave pública que le hiciste llegar por email y que validaste mediante la entrega en papel de su huella
dactilar.
2. Para cifrar las prácticas
Si quieres entregar las prácticas cifradas, de modo que sólo tu profesor pueda leerlas, necesitarás la clave pública
del profesor. En la página web de la asignatura tienes acceso a la misma. Deberás transferir el archivo a la máquina
de prácticas en la que hayas generado tus propias claves y desde allí “importarla” a tu anillo mediante el comando:
$ gpg --import
El siguiente paso es verificar su huella dactilar, para asegurarse de que es verdaderamente la clave del profesor.
Ejecutando el comando:
$ gpg --fingerprint key_profesor
donde key_profesor puede ser consultada en la página de la asignatura, obtendrás dicha huella dactilar, que deberás
comparar con la huella del profesor publicada también en la página de la asignatura.
¡No te precipites a firmar la clave! Aún si las huellas coinciden no podemos estar del todo seguros de no estar ante
un impostor, aunque habría de ser verdaderamente maquiavélico, ya que no sólo tendría que haber modificado las
claves públicas del profesor, sino también la página web de la asignatura para incluir en ella una huella dactilar
falsa.
1
La única forma de estar absolutamente seguro de que se trata de la clave pública del profesor es que éste te dé en
persona la huella dactilar, y eso será lo que hará. Un día en clase escribirá en la pizarra su key y su huella dactilar.
Te bastará comprobar que la huella coincide con la publicada en la página web de la asignatura (que llevarás
impresa a clase) y que ésta a su vez coincide con la salida del comando:
$ gpg --fingerprint key_profesor
en tu máquina. Una vez realizadas estas exhaustivas verificaciones, podrás firmar la clave del profesor con el
siguiente comando:
$ gpg --sign-key key_profesor
Esto añadirá tu firma digital a la clave que acabas de recibir. Con este paso estás “certificando” que la clave está
exhaustivamente verificada.
Si un compañero tuyo no ha podido ir a clase para verificar personalmente la huella dactilar de la clave del profesor,
siempre puedes exportar tu clave pública y tu copia de la clave del profesor (que viene firmada por ti) y enviar
ambas a ese compañero. Éste añadirá ambas claves a su anillo, pero sólo necesitará verificar tu clave pública
(consultando contigo las huellas dactilares, ya sea por teléfono o en persona). Cuando haya verificado tu clave, la
firmará. La clave del profesor ya no necesita verificarla, puesto que viene firmada por ti. Sólo necesitará indicar a
gpg que “confía ciegamente en tí”, como se explicó en la sección 3.5.2 del documento de ayuda. Cuando tengas la
clave pública del profesor firmada por ti mismo o por alguien de tu confianza, ya puedes cifrar la práctica antes de
entregarla. El comando siguiente cifrará y firmará a la vez:
$ gpg --sign --encrypt -r email_profesor practica.tar.gz
El fichero resultante (practica.tar.gz.gpg) sólo podrá ser leído por el profesor. Además, a través de la firma
podrá verificar tu autoría. Observa que ni siquiera tú podrás descifrar el archivo. Si prefieres, como garantía, ser
capaz de descifrar lo que has entregado, debes añadirte a ti mismo en la lista de destinatarios. Supongamos que eres
Alberto Nónimo (con email a.nonimo@example.com). En este caso utilizarías el siguiente comando:
$ gpg --sign --encrypt -r email_profesor -r a.nonimo@example.com practica.tar.gz
Como dirección de correo electrónico del profesor (email_profesor) debes utilizar la de tu profesor de prácticas en la
parte de la asignatura correspondiente y en caso de no pertenecer a ningún grupo de prácticas la de todos los
profesores en dicha parte.
2
Descargar