INSTALACION Y CONFIGURACION DE SERVIDOR DE LLAVES PUBLICAS

Un Servidor de llaves es un servidor en el que se almacenan claves públicas. Se puede buscar la

clave pública de una persona en el servidor a travez del nombre. Una vez obtenida la clave, se
puede utilizar para enviar mensajes cifrados al dueño de la clave pública o bien para comprobar la
firma digital de un mensaje enviado por el dueño de la clave pública.

Lo primero que debemos realizar es bajar el paquete para ejecutar la instalación de nuestro servidor
de llaves; lo podemos hacer desde esta url en extension tar.gz:
http://sourceforge.net/project/showfiles.php?group_id=61738&package_id=58174&release_id=113365

1- Crearemos un directorio dentro de /etc donde trabajaremos todo lo que tenga que ver con el
servidor:
#mkdir pks

2- Ahora nos cambiamos al directorio que acabamos de crear y copiamos el paquete que se
encuentra en el escritorio:
#cd pks
#cp /home/torres/Desktop/pks-0.9.6.tar.gz

3-Descomprimimos el paquete en el directorio:

#tar -zxf pks-0.9.6.tar.gz
4-Ahora comenzamos con la instalacion:
#./configure

Nota: si a la hora de realizar el anterior comando no sale un error relacionado con gcc y cc la
solucion es instalar el siguiente paquete:
#apt-get install gcc

Seguidamente volvemos a ejecutar el comando ./configure y vemos como comienza a configurar el

paquete:
#./configure
5- Instalamos el paquete make para terminar la instalacion:
#apt-get install make

Ejecutamos el comando make install para que el sistema reconozca los comandos y demas
caracteristicas de nuestro servidor:
#make install

6-El servidor necesita una base de datos donde almacenara las llaves publicas de los usuarios, asi
que la crearemos con el siguiente comando:
#/usr/local/bin/pksclient /usr/local/var/db create
7-Copiamos el archivo de configuracion de nuestro servidor a /etc/pks e ingresamos al directorio:
#cp pksd.conf /etc/pks/
#cd ..

8-Editaremos el archivo de configuracion para que nuestro servidor pueda funcionar correctamente:
#nano pksd.conf

Dejandolo de la siguiente manera:

pks_bin_dir /usr/local/bin
db_dir /usr/local/var/db
www_dir /usr/local/var
### Set www_port to the port on which HTTP requests should be accepted.
### If you do not want to process HTTP requests, set this to 0.
www_port 82
### Set www_readonly to 0 if you want to allow ADD requests over HTTP
www_readonly 0
socket_name /usr/local/var/pksd_socket
### Specify the envelope sender address as the -f argument to
### sendmail. This is the address which will receive any bounces.
### If you don't use sendmail, then change this to an equivalent command.
### If you do not want to process mail requests, leave this unset.
mail_delivery_client /usr/sbin/sendmail -t -oi -fmailer-daemon
### Set this to the address which should be displayed as the From:
### address in all outgoing email, and as the maintainer in the body
### of each message.
maintainer_email PGP Key Server Administrator <nobody>
mail_intro_file /usr/local/share/mail_intro
help_dir /usr/local/share
mail_dir /usr/local/var/incoming
### If you change this, make sure to put a corresponding help file in
### the help_dir named above
default_language EN
### This is the email address of this site. It will be inserted in all
### outgoing incremental messages, so it should match whatever the
### downstream sites use as syncsite in their pksd.conf files.
# this_site pgp-public-keys@your-site
### Include a syncsite line for each site with which you are exchanging
### incremental requests.
# syncsite pgp-public-keys@pgp-server-1
# syncsite pgp-public-keys@pgp-server-2
### Set this to 0 to disable mailserver LAST requests completely, to a
### positive integer to limit LAST requests to that many days, or -1
### to allow any argument to LAST.
max_last -1
### Set this to the maximum number of keys to return in the reply to
### a last query. Setting it to -1 will allow any size reply.
max_last_reply_keys -1
### Set this to the maximum number of keys to return in the reply to
### an index, verbose index, or get query. Setting it to -1
### will allow any size reply.
max_reply_keys -1

9-Iniciamos nuestro servidor de llaves publicas con el siguiente comando y nos cambiamos de
terminal:
# pksd /etc/pks/pksd.conf
10-Despues de iniciar el servidor nos dirigimos a nuestro navegador web e ingresamos a su interfaz
web:
http://localhost:82 (puerto que especificamos en el archivo de configuración).

11- Seguidamente realizaremos las pruebas respectivas para saber si el servidor sí recibe las llaves
publicas de los usuarios y los certificados de revocacion de llaves.
Para realizar esto necesitamos implementar pgp:
# apt-get install pgp
12-Generamos el par de llaves para un usuario:
#gpg --gen-key

Por favor seleccione tipo de clave deseado:

(1) DSA y ElGamal (por defecto)
(2) DSA (sólo firmar)
(5) RSA (sólo firmar)
Su elección: 1
El par de claves DSA tendrá 1024 bits.
las claves ELG-E pueden tener entre 1024 y 4096 bits de longitud.
¿De qué tamaño quiere la clave? (2048)
El tamaño requerido es de 2048 bits
Por favor, especifique el período de validez de la clave.
0 = la clave nunca caduca
<n> = la clave caduca en n días
<n>w = la clave caduca en n semanas
<n>m = la clave caduca en n meses
<n>y = la clave caduca en n años
¿Validez de la clave (0)? 5m
La clave caduca mar 25 ago 2009 16:47:47 COT
¿Es correcto? (s/n) s
Nombre y apellidos: kaka kaka
Dirección de correo electrónico: kaka@misena.edu.co
Comentario: primeras claves de kaka
Ha seleccionado este ID de usuario:
"kaka kaka (primeras claves de kaka) <kaka@misena.edu.co>"

¿Cambia (N)ombre, (C)omentario, (D)irección o (V)ale/(S)alir? V

Necesita una frase contraseña para proteger su clave secreta.

13-listamos la llave que generamos anteriormente:

#gpg --list-keys
14-Exportamos la llave para poder subirla al servidor:
#gpg -a -o /home/torres/Desktop/clave-kaka --export

15-Visualizamos la llave y la copiamos para ingresarla en la interfaz del servidor en el explorador

web:
# more /home/torres/Desktop/clave-kaka
16-Despues de copiar la llave nos dirigimos al explorador web donde se encuetra el servidor de llaves e
ingresamos en el campo Enter ASCII-armored PGP key here:

17-Vemos como el servidor acaba de adicionar la llave de nuestro usuario:

18-Volvemos a nuestro servidor y buscamos la llave que acabamos de subir en la opcion Search
String:

19-Ahora nos muestra la llave de nuestro usuario “kaka”:

20-Generamos un certificado de revocacion para la llave de el usuario “kaka”:
#gpg -o rev-kaka.asc --gen-revoke -a 74CF2BC5 (id de la llave del usuario)

sec 1024D/74CF2BC5 2009-03-28 kaka kaka (primeras claves de kaka) <kaka@misena.edu.co>

¿Crear un certificado de revocación para esta clave? (s/N) s

Por favor elija una razón para la revocación:
0 = No se dio ninguna razón
1 = La clave ha sido comprometida
2 = La clave ha sido reemplazada.
3 = La clave ya no está en uso
Q = Cancelar
(Probablemente quería seleccionar 1 aquí)
¿Su decisión? 3
Introduzca una descripción opcional; acábela con una línea vacía:
>
Razón para la revocación: La clave ya no está en uso
(No se dió descripción)
¿Es correcto? (s/N) s

Necesita una frase contraseña para desbloquear la clave secreta

del usuario: "kaka kaka (primeras claves de kaka) <kaka@misena.edu.co>"
clave DSA de 1024 bits, ID 74CF2BC5, creada el 2009-03-28

Certificado de revocación creado.

21-Importamos el certificado de revocacion:

#gpg --import rev-kaka.asc
22-Listamos de nuevo las llaves y vemos como la llave nos muestra que se encuentra revocada:
#gpg --list-keys

23- Exportamos la llave pero en este caso esta revocada:

#gpg -a -o /home/torres/Desktop/rev-kaka.asc --export

24-Miramos la llave revocada que se encuentra en el escritorio y la copiamos:

#more /home/torres/Desktop/rev-kaka.asc
25-La copiamos de nuevo en la interfaz web del servidor de llaves publicas:

26-Añadio con éxito en nuevo certificado de revocacion:

27-Buscamos de nuevo al usuario “kaka” en el servidor y podemos observar como sale la llave
revocada:

REFERENCIAS:
http://es.wikipedia.org/wiki/Wikipedia:Portada