Encripta y firma tu correo (II): El servidor de claves

Buenas a todos!! Hoy vengo a hablar un poco más acerca de la seguridad y el cifrado en nuestros correos electrónicos.

Ya hablamos anteriormente de los fundamentos y el proceso básico a realizar a la hora de instalar nuestro cliente Thunderbird y demás elementos necesarios para comenzar a securizar nuestras comunicaciones por correo electrónico, pasando por alguna explicación acerca del cifrado de clave pública o criptografía asimétrica.

Antes de nada, nombrar el libro El Pequeño Libro Rojo del Activista en la Red de Marta Peirano, que estoy leyendo de nuevo y no puedo dejar de recomendar, tratando de forma fácil y directa cómo cifrar nuestras comunicaciones y protegernos ante la posible lectura de las mismas.

Quiero ampliar un poco el tutorial de forma breve indicando cómo subir a un servidor público de claves o keyserver nuestra clave pública. El servidor público de claves es un repositorio que contiene una gran cantidad de claves públicas accesibles a todo aquel que las requiera, asociadas a la identidad con la que queremos comunicarnos.

La principal ventaja de esto es que los que nos quieran mandar un correo electrónico cifrado no necesitarán pedirnos nuestra clave pública directamente antes de comenzar la comunicación segura; de esta forma no queda ningún cuerpo de mensaje sin cifrar en nuestra conversación. El servidor de claves que elegiremos en esta ocasión es PGP Global Directory.

Página principal y de subida de PGP Global Directory

Subir nuestra clave pública al servidor de claves

Tendremos que seguir el link que nos permite transferir nuestra clave pública PGP. Podremos subir nuestra clave pública que hayamos exportado desde nuestro cliente Thunderbird. Para realizar esta exportación, desde Thunderbird podemos desplegar el menú Enigmail en la barra de herramientas, y acceder al "Administrador de clave"s. Haciendo clic derecho en nuestro par de claves, elegiremos la opción "Exportar claves a un fichero" y exportaremos solamente nuestra clave pública. El archivo generado será el que subamos al keyserver, pulsando por último el botón Transmitir.

Exportado nuestra clave pública desde Enigmail

Una vez enviada nuestra clave pública al servidor, nos enviarán un correo electrónico de confirmación para verificar nuestra identidad.

Correo de confirmación de PGP Global Directory

Tras confirmar nuestra identidad siguiendo el link, ya tenemos nuestra clave pública subida al servidor de claves.

Agregar, firmar y confiar en la clave pública del servidor de claves

Valga la redundancia, podemos agregar la clave pública del servidor de claves a nuestro cliente Thunderbird, firmarla y confiar en ella. 

El fundamento de esto es en realidad simple. Firmando la clave pública de un contacto con nuestra propia clave privada estamos poniendo de manifiesto que estamos completamente seguros de que esta clave es correcta y pertenece a dicho contacto. Esto establece un modelo característico del protocolo PGP, que hace que la validación de las claves públicas se delegue en los contactos en los que confías. Si confías en un contacto, darás como válidas todas las claves públicas que dicho contacto haya firmado a su vez. (Más información aquí)

Como ejemplo podemos poner nuestro mismo caso. Firmando la clave que hemos importado del servdor de claves, aseguramos que dicha clave es legítima. Asimismo, confiando en la identidad de dicho servidor, damos como válidas todas las claves que él ha firmado; en este caso, todas aquellas que contiene el servidor. 

Confiamos en el servidor, dado que, como hemos comprobado, tiene sus mecanismos para verificar que una clave se corresponde a una dirección de correo real (la verificación por correo que nosotros mismos hemos confirmado). 

Para agregar la clave pública del servidor a nuestro cliente Thunderbird, podemos descargarla desde la página principal haciendo clic en el link correspondiente y posteriormente importándola desde el "Administrador de claves" (Archivo -> Importar claves desde un fichero). 

Importar una clave desde fichero

Hecho esto, para firmar la clave que hemos importado debemos hacer clic derecho en dicha clave y seleccionando la opción "Firmar clave". Confirmaremos la firma e introduciremos la contraseña de acceso a nuestra clave privada para acabar.

Firmando la clave pública del servidor de claves

Por último, confiaremos en la clave del servidor. Desde el "Administrador de claves", haremos clic derecho en la clave del servidor y accederemos a sus propiedades. En el apartado de configuración básica, clicaremos en el botón para cambiar la opción "You rely on certifications" o "Confío en las certificaciones". Confiaremos totalmente en ella y aceptaremos el cambio.

Confiando en la clave del servidor

Con esto hemos terminado todo el proceso de asociación con un servidor de claves para poner nuestra clave pública a disposición de cualquiera que la necesite para establecer con nosotros una comunicación cifrada. En caso de profesiones en las que la privacidad de la información sea clave, como por ejemplo en el periodismo, el ofrecer al público la clave necesaria para contactar con nosotros de forma segura denota profesionalidad y disposición a proteger al interlocutor o confidente.

Un saludo y espero que os sirva para aprender!!
hartek

Encripta y firma tu correo: Thunderbird y PGP

Buenos días a todos! Hoy vuelvo para contaros cómo cifrar correos electrónicos de forma fácil y segura mediante el cliente de correo Thunderbird y OpenPGP en Windows.

Aunque las comunicaciones por correo realizadas a través de un cliente web (las páginas web de hotmail, gmail, yahoo...) están cifradas mediante el acceso web seguro HTTPS, normalmente el mensaje en sí no está cifrado. Si por algún método consiguen vulnerar este protocolo HTTPS y capturar el mensaje, podrán leerlo sin mayor problema.

El protocolo PGP (Pretty Good Privacy) se encarga de solucionar este problema. Cuando firmas un mensaje digitalmente, el mensaje contiene información que verifica tu identidad. Cuando cifras un mensaje, haces que sea ilegible para todo aquel que no tenga los medios o la llave para descifrarlo. El protocolo PGP se encarga de que tu mensaje esté firmado y cifrado, dando a la comunicación garantías en cuanto a la identidad del emisor y a la no vulneración de su contenido (que no sea interceptado ni modificado en el proceso de envío).

Para el encriptado se utiliza el sistema criptográfico asimétrico o de clave pública. Tenemos dos claves o "llaves": una clave pública de cifrado, y una clave privada de descifrado. Cuando alguien quiere enviarte un mensaje cifrado, utilizará tu clave pública (que puedes difundir sin problemas) para cifrar el mensaje y enviártelo. Cuando lo recibas, podrás utilizar la clave privada de descifrado (que bajo ningún concepto debes compartir) para descifrar el mensaje.

El fundamento es que es prácticamente imposible descubrir la clave privada de descifrado aunque poseas la clave pública de cifrado; es decir, cualquiera puede cifrar mensajes para ti con este sistema, pero solamente tú puedes descifrarlos.

Thunderbird es un cliente de correo electrónico que nos permite recibir y enviar correos con nuestras cuentas de hotmail, gmail, yahoo y prácticamente cualquier otro proveedor. Es de código abierto y permite la instalación de extensiones que ofrecen diversas funcionalidades. En este caso, partiendo de una instalación de Thunderbird ya configurada con nuestra cuenta de correo electrónico (el proceso de instalación y configuración es muy rápido y sencillo).

Cliente Thunderbird en funcionamiento (¡y un poco de publi amiga!)

Debemos instalar primero GnuPG (GNU Privacy Guard, también llamado GPG) en nuestro ordenador. Este programa es una implementación del estándar OpenPGP (PGP de código abierto), que proporciona librerías y herramientas para utilizar este protocolo. No nos entretendremos mucho aquí con explicaciones avanzadas; es tan simple como descargarlo de la página oficial y seguir los pasos de instalación.

Lo siguiente será instalar la extensión Enigmail en Thunderbird, que nos permitirá utilizar las utilidades GPG en nuestros correos. Aunque podemos descargarlo de la página oficial, es más fácil si desde el mismo Thunderbird accedemos al menú (el icono grande con tres rayas horizontales), seleccionamos la opción "Complementos" y lo buscamos en nueva pestaña que nos aparece.

Instalando Enigmail desde Thunderbird

Una vez instalado el complemento, deberemos reiniciar el programa. Cuando vuelva a iniciarse, nos aparecerá una ventana ofreciéndonos configurar Enigmail; indicaremos que queremos configurarlo ahora y, en el siguiente paso, que queremos una configuración estándar.

El siguiente paso que nos aparece es la creación de las claves de las que hablamos anteriormente. Se nos pedirá una contraseña para cifrar nuestra clave privada (valga la redundancia). Esto sirve para garantizar que eres la única persona que puede utilizar dicha clave para descifrar los mensajes que se te envíen cifrados, aunque alguien robe el archivo que contiene la clave privada.

Diálogo de la generación del par de claves

Una vez haya terminado de generarse el par de claves, se nos indica que es posible crear un certificado de revocación. Este archivo sería utilizado si por alguna razón sospechamos que nuestro par de claves ha sido comprometido y la comunicación ya no es segura, informando a nuestros contactos de dicho suceso para que no sigan utilizando la clave antigua para enviarte correos cifrados. Dado que nunca sobra un pequeño plan de contingencia para esos casos, lo generaremos también, siguiendo los pasos que se van indicando.

Tras esto, ya tendremos Enigmail perfectamente configurado y listo para funcionar.

Enviar y recibir una clave pública

Para que puedan enviarte mensajes cifrados, debes enviar primero tu clave pública. Para ello, en la ventana de creación de un nuevo mensaje, podemos acceder en la barra de menú a la entrada Enigmail, y seleccionar la opción "Adjuntar mi clave pública". 

Adjuntando una clave pública a un mensaje

Una vez llega el mensaje al destinatario, solo tendrá que descargar dicha clave e importarla a su cliente de correo. En caso de Thunderbird, solo tendremos que acceder al administrador de claves (accesible desde el menú Enigmail de la barra de herramientas) e importar el archivo una vez descargado.

Enviar un correo firmado digitalmente o cifrado

Un correo firmado digitalmente garantiza al receptor del mensaje que el emisor del mismo es "quien tiene que ser". El fundamento es que el mensaje queda firmado con nuestra clave privada, a la que solamente nosotros tenemos acceso. El receptor, que posee una copia de nuestra clave pública, puede verificar con la misma que la firma que contiene el mensaje se corresponde con nuestra clave privada y por tanto el emisor del mensaje es verídico.

Además, podemos cifrar el mensaje con la clave pública del destinatario, con el objetivo ya descrito anteriormente de proteger el contenido del mensaje, dado que solamente el destinatario podrá leerlo. En caso de no tener guardada la clave pública del destinatario, se nos pedirá que la importemos (a veces se nos pedirá elegirla aunque esté ya importada). Tanto el firmado como el cifrado se pueden realizar con los botones correspondientes que aparecen en la ventana de redacción de correos (el lápiz y el candado).

Podemos hacer una prueba muy simple mandándonos a nosotros mismos un mensaje cifrado y firmado, comprobando que Thunderbird, que ya tiene nuestras claves, puede verificar la autenticidad del mensaje y descifrar su contenido. Al recibir el mensaje, se nos ofrecerá la opción de descifrarlo (Reparar mensaje) con nuestra clave privada introduciendo nuestra contraseña para ello, y podremos leer el contenido.

Recepción de nuestro mensaje firmado y cifrado

Revocar nuestra clave

Por último, si piensas que tu clave privada ha sido vulnerada (robada, modificada o cualquier otro caso) debes revocar el par de claves. Para ello podemos ir a la administración de claves de Thunderbird, hacer click derecho en la clave correspondiente y revocarla, así como avisar a nuestros contactos de que no sigan utilizando dicha clave para cifrar vuestras comunicaciones. 

Con esto termina nuestro breve recorrido de hoy en el cifrado de las comunicaciones por correo electrónico. Espero que os guste y os sirva para aprender un poco. 

Un saludo hackers! 

hartek