Seguridad. Encriptar el correo. (obsoleto)

encriptarcorreo

 

¿Qué es el correo electrónico cifrado?

Correo electrónico cifrado es una forma de mantener el contenido de su correo electrónico a salvo de espionaje mientras viaja por Internet. El tipo más común de cifrado es OpenPGP (OpenPGP es la especificación, PGP es “Pretty Good Privacy” y es propietario, GPG es GNU Privacy Guard y es software libre). Hay muchos recursos en Internet que te pueden ofrecer una explicación detallada de cómo funciona el cifrado. Para nuestros propósitos, hay tres componentes que es necesario entender: la clave pública, la llave privada y la contraseña.

  • La clave pública está, como se puede deducir por su nombre, a disposición del público. A veces, la gente utiliza servidores de claves para compartir las claves públicas para hacer más fácil el envío de mensajes de correo electrónico mediante el cifrado. Cada vez que desees enviar correo electrónico cifrado, debes tener la clave pública del destinatarix. Del mismo modo, cada vez que alguien te quiere enviar correo electrónico cifrado, debe tener tu clave pública.
  • Una clave privada está conectada exclusivamente a una clave pública. Sin una clave privada el contenido de un mensaje cifrado es extremadamente difícil de extraer. En la era de las supercomputadoras nada es imposible, pero descifrar un mensaje sin la clave privada es extraordinariamente difícil. La clave privada es muy importante y se debe mantener en un lugar seguro en todo momento.
  • Tu contraseña debe tener al menos 21 caracteres de longitud, debe contener caracteres en mayúsculas y minúsculas, así como los símbolos (& $ “{@). Tu contraseña desbloquea la clave privada y permite que sea utilizada en conjunto con tu clave pública, para enviar y recibir correo electrónico cifrado.

¿Cómo utilizo correo electrónico cifrado?

Hay tres funciones básicas que se pueden realizar utilizando GPG: firma, cifrado y verificación.

  • Firma: Al firmar algo, utiliza tu clave privada y tu contraseña para generar un bloque de firma que se añade al elemento que estás firmando. Este bloque de firma se genera a partir de dos cosas:
  • (1) un valor numérico calculado a partir de los contenidos del mensaje y
  • (2) tu clave privada.
  • Verificación: Cuando alguien recibe algo que se ha firmado, se puede verificar utilizando la clave pública con la que se ha cifrado. La clave pública se puede descargar desde un servidor de claves, o tal vez por correo electrónico del remitente. Verificación establece dos cosas:
  • (1) el mensaje fue firmado por alguien que tiene acceso a la clave privada asociada, y
  • (2) el contenido del mensaje no se han modificado en tránsito.
  • Cifrado: Para cifrar un mensaje, necesitas la clave pública del destinatario. No necesitas una contraseña o una clave GPG de tu propiedad para cifrar algo. Sin embargo, la mayoría de los programas encriptarán cualquier cosa que envíes con tu propia clave pública. De lo contrario, una vez que se cifra un mensaje, ya no podrás leerlo. Una vez que está encriptado, el contenido del correo electrónico ya no se puede ver en tránsito. Sin embargo, el asunto, el remitente y el receptor son todavía visibles.

¿Puedo enviar y recibir correo electrónico cifrado mediante webmail de Riseup?

Uno de los programas de correo web utilizado en los servidores RiseUp le permite enviar y recibir correo electrónico cifrado. El software se llama IMP y es la segunda opción de inicio de sesión disponible en mail.riseup.net. Sin embargo, un problema con este software es que su clave privada se almacena en los servidores de Riseup. Esto hace que sea vulnerable a un proceso legal en los Estados Unidos (por ejemplo, una orden de registro o citación) y por lo tanto NO se recomienda.

Es mucho mejor para los usuarios de Riseup que quieran usar el correo electrónico cifrado, utilizar un cliente de correo electrónico (como Thunderbird) para enviar y recibir correo electrónico, mientras que mantiene su clave privada almacenada de forma segura en su máquina local.

¿Cuáles son las limitaciones de las comunicaciones cifradas?

Las comunicaciones cifradas no te protegen de vigilancia relacional, que es el seguimiento de las relaciones entre las personas. Por ejemplo, si ihatebush@riseup.net está enviando mensajes de correo electrónico cifrados con regularidad para joehill@riseup.net, alguien que estaba interceptando las comunicaciones entre los dos no puede saber lo que los dos están discutiendo, pero el hecho básico de que las dos personas se comunican regularmente es útil en sí mismo. Además, la línea de asunto del mensaje no está cifrada.

Firma y verificación no garantizan que el correo electrónico sea, de hecho, enviado a la dirección de correo electrónico asociada a la clave. Direcciones de correo electrónico de suplantación de identidad son muy fácil de encontrar. Por lo tanto, una persona con la dirección de correo electrónico federalagent@yahoo.com podría:

  • (1) crear una clave para joehill@riseup.net
  • (2) subir la clave de un servidor de claves pública y
  • (3) enviar un correo electrónico de federalagent@yahoo.com que parece provenir de joehill@riseup.net que se firma.

Si se limita a descargar la clave pública y verificar el mensaje, se mostrará una “buena firma de joehill@riseup.net” ¡a pesar de que el mensaje no proviene de joehill en absoluto! Esta es la razón por lo que la red de confianza es tan importante (véase más adelante).

¿Cómo puedo verificar la identidad del propietario de la clave?

Así que ya has configurado el correo electrónico cifrado y felizmente el envío y recepción de mensajes. Pero, ¿cómo sabes que en realidad te estás comunicando con la persona que crees? Ahí es donde las huellas digitales entran en juego.

Cada clave pública tiene una huella digital única. La huella digital se genera a través de una función hash, que es como un portal de un solo sentido. Para cualquier entrada específica, hay una y sólo una salida correspondiente. Al igual que las huellas dactilares son únicas, no hay una sola huella digital para una clave pública específica. ¿Por qué es útil? Porque, a fin de estar seguros de la integridad del proceso, es necesario asegurarse de que cuando usted recibe un correo electrónico firmado por joehill@riseup.net en realidad está recibiendo correo electrónico de su amigo Joe Hill. Hay dos (o posiblemente tres) formas de lograr esto:

  1. Tú y Joe os conocéis en persona y Joe te da una copia electrónica de su clave pública.
  2. Tú y Joe os conocéis en persona y Joe te da una copia de la huella digital para comprobar que la huella digital coincide con la de la clave pública.
  3. (Menos seguro) Si sabes Joe muy bien y reconoce su voz, Joe podía leer la huella digital por la huella digital phone.The no es información secreta – cualquier persona puede generar la huella digital con la clave pública.

¿Cómo puedo firmar una clave y por qué iba yo a querer?

Llevando el tema un paso más allá, vamos a suponer que has intercambiado con Joe claves de forma segura. Ahora ya está y puedes enviar de forma segura correos a Joe, sabiendo que en realidad estás intercambiando correos electrónicos con él (porque es la firma de sus correos electrónicos), y sabiendo que el contenido de la comunicación está a salvo de espionaje (porque estás cifrando tus mensajes de correo electrónico con la clave pública de Joe). Pero supongamos que Joe se reúne con Rita para una acción, e intercambian sus claves de forma segura. Tú conoces y confías en Joe, pero no has conocido a Rita. ¿Cómo se puede establecer que la clave de Rita es genuina sin necesidad de conocerla en persona?

Introducción a la red de confianza y firmado clave.

Una vez que Joe ha verificado la clave de Rita de forma segura, Joe puede firmar la clave pública de Rita. Hay dos escuelas de pensamiento sobre la firma clave:

  • Un grupo cree que sólo debe firmar una persona clave (incluso de alguien que has conocido durante mucho tiempo ) si se ha comprobado que el verdadero nombre asociado a la dirección de correo electrónico coincide con la de una identificación con foto emitida por el gobierno (por ejemplo, un pasaporte).
  • Otros firmarán claves sin verificar el verdadero nombre del propietario de la clave, que establece que el titular de la dirección de correo electrónico es el dueño de la llave, pero no que el verdadero nombre asociado a la dirección de correo electrónico es propietaria de la clave.

Si confías que Joe para verifica cuidadosamente las claves individuales, entonces se puede establecer en el llavero un nivel de confianza en la clave de Joe. Entonces, si no has conocido a alguien en persona para verificar sus llaves, pero Joe sí, se puede establecer un nivel de confianza de una clave basada en el hecho de que Joe ha firmado.

Puedes organizar un Grupo de Firmas para animar a tus amigos y colegas al intercambio de claves y firmarlos. Esto proporciona una vía para verificar la identidad de las personas que no conoces mediante las personas en que confías plenamente.

¿Algún otro consejo sobre el correo electrónico cifrado?

¡Me alegra que me hagas esa pregunta! 😛

  • Guardar la clave privada en una partición del disco duro cifrada – Esto protege la integridad de la llave en caso de que tu equipo sea perdido, robado o confiscado.
  • No compartas tu clave privada con nadie y no guardes la clave privada en una computadora pública.
  • USA UNA CONTRASEÑA FUERTE – Tu contraseña es tu última defensa contra el uso no autorizado de tu clave. No arruines todo el asunto mediante una contraseña débil. La frase de contraseña ha de tener más de 21 caracteres y no debe contener palabras que aparezcan en un diccionario u otras combinaciones fáciles de adivinar. Una frase de contraseña aleatoria que mantengas escrita en un lugar seguro, es mejor que una larga frase que incluya palabras del diccionario.
  • UTILIZAR LÍNEAS DE “SUBJECT” GENÉRICAS – las líneas con el asunto de los mensajes de correo electrónico no están cifradas. Por lo tanto, siempre se debe utilizar líneas de asunto muy genéricas en sus comunicaciones cifradas.
  • Organiza una Fiesta FIRMA – Anima a tus amigos a obtener una clave GPG y firmar cada una de las llaves.
  • ENVÍA correos encriptados, incluso cuando el contenido no sea importante – ¡Esto es vital! Si el tráfico de correo electrónico cifrado sólo implica comunicaciones secretas, se crea una cantidad mucho más pequeña de tráfico a ser analizado. Si todo el mundo usa correo electrónico cifrado en todas las comunicaciones, incluso para decidir sobre qué tipo de pizza vais a comer, esto aumentaría la cantidad de tráfico de correo electrónico cifrado, haciendo más difícil su desencriptación.

¿Cómo configuro el correo electrónico cifrado OpenPGP en mi ordenador?

Ver nuestra sección de Howto de claves OpenPGP . También hay una sección dedicada a integrar tus llaves para usar correo electrónico cifrado en Thunderbird

Comentarios desde Facebook

Leave a Reply