Como se explica en el documento de ayuda GnuPG.pdf, para firmar digitalmente las prácticas necesitarás un par de claves (privada y pública) y necesitarás que el profesor tenga tu clave pública y que esté seguro de tu identidad. Para esto deberás seguir el siguiente protocolo:
· Crea tu par de claves siguiendo las explicaciones de la sección 2.2 del documento de ayuda, si es que no lo habías hecho ya. Recuerda que debes introducir tu verdadero nombre y una dirección de email válida que suelas leer.
· Envía esta clave pública por correo electrónico a los tres profesores de la asignatura.
· Genera la huella dactilar de tu clave, mediante el comando:
$ gpg --fingerprint
e imprime el resultado en un papel (para imprimirlo, puedes redirigir la salida de gpg a un fichero y después transferir este fichero a una máquina Windows). Una vez impreso fírmalo (con bolígrafo en este caso) y pon debajo de la firma tu DNI.
· Haz llegar a cualquiera de los profesores el papel que tiene la huella dactilar impresa y firmada. Con la huella el profesor podrá validar la clave que le habías enviado por email y así disipar toda duda sobre su validez.
· Una vez hayas realizado las prácticas, comprime todos los ficheros que la componen para crear un único archivo, que puedes llamarlo practicas.tar.gz. Debes firmarlo con el comando:
$ gpg --sign practicas.tar.gz
· El fichero resultante, que se llamará practicas.tar.gz.gpg, es el que debes «subir» a través del formulario web accesible desde la página de la asignatura. El profesor podrá verificar la firma digital gracias a tu clave pública que le hiciste llegar por email y que validaste mediante la entrega en papel de su huella dactilar.
2. Para cifrar las prácticas
Si quieres entregar las prácticas cifradas, de modo que sólo tu profesor pueda leerlas, necesitarás la clave pública del profesor. En la página web de la asignatura tienes acceso a la misma. Deberás transferir el archivo a la máquina de prácticas en la que hayas generado tus propias claves y desde allí «importarla» a tu anillo mediante el comando:
$ gpg --import
El siguiente paso es verificar su huella dactilar, para asegurarse de que es verdaderamente la clave del profesor. Ejecutando el comando:
$ gpg --fingerprint key_profesor
donde key_profesor puede ser consultada en la página de la asignatura, obtendrás dicha huella dactilar, que deberás comparar con la huella del profesor publicada también en la página de la asignatura.
¡No te precipites a firmar la clave! Aún si las huellas coinciden no podemos estar del todo seguros de no estar ante un impostor, aunque habría de ser verdaderamente maquiavélico, ya que no sólo tendría que haber modificado las claves públicas del profesor, sino también la página web de la asignatura para incluir en ella una huella dactilar falsa.
La única forma de estar absolutamente seguro de que se trata de la clave pública del profesor es que éste te dé en persona la huella dactilar, y eso será lo que hará. Un día en clase escribirá en la pizarra su key y su huella dactilar. Te bastará comprobar que la huella coincide con la publicada en la página web de la asignatura (que llevarás impresa a clase) y que ésta a su vez coincide con la salida del comando:
$ gpg --fingerprint key_profesor
en tu máquina. Una vez realizadas estas exhaustivas verificaciones, podrás firmar la clave del profesor con el siguiente comando:
$ gpg --sign-key key_profesor
Esto añadirá tu firma digital a la clave que acabas de recibir. Con este paso estás «certificando» que la clave está exhaustivamente verificada.
Si un compañero tuyo no ha podido ir a clase para verificar personalmente la huella dactilar de la clave del profesor, siempre puedes exportar tu clave pública y tu copia de la clave del profesor (que viene firmada por ti) y enviar ambas a ese compañero. Éste añadirá ambas claves a su anillo, pero sólo necesitará verificar tu clave pública (consultando contigo las huellas dactilares, ya sea por teléfono o en persona). Cuando haya verificado tu clave, la firmará. La clave del profesor ya no necesita verificarla, puesto que viene firmada por ti. Sólo necesitará indicar a gpg que «confía ciegamente en tí», como se explicó en la sección 3.5.2 del documento de ayuda. Cuando tengas la clave pública del profesor firmada por ti mismo o por alguien de tu confianza, ya puedes cifrar la práctica antes de entregarla. El comando siguiente cifrará y firmará a la vez:
$ gpg --sign --encrypt -r email_profesor practica.tar.gz
El fichero resultante (practica.tar.gz.gpg) sólo podrá ser leído por el profesor. Además, a través de la firma podrá verificar tu autoría. Observa que ni siquiera tú podrás descifrar el archivo. Si prefieres, como garantía, ser capaz de descifrar lo que has entregado, debes añadirte a ti mismo en la lista de destinatarios. Supongamos que eres Alberto Nónimo (con email a.nonimo@example.com). En este caso utilizarías el siguiente comando:
$ gpg --sign --encrypt -r email_profesor -r a.nonimo@example.com practica.tar.gz
Como dirección de correo electrónico del profesor (email_profesor) debes utilizar la de tu profesor de prácticas en la parte de la asignatura correspondiente y en caso de no pertenecer a ningún grupo de prácticas la de todos los profesores en dicha parte.