13 - Correo seguro para principiantes (y III) - 15/08/2005

Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Ver Primer Artículo: Correo seguro para principiantes (I)

Ver Segundo Artículo: Correo seguro para principiantes (II)

En este artículo mostraré algunos puntos básicos para aplicar en forma práctica los conceptos desarrollados anteriormente.

Para ello será necesario un cliente de correo (Outlook, TheBat!, ThunderBird, IncredibleMail, etc) y un programa de criptografía para administrar las claves y los mensajes cifrados/firmados (PGP o GnuPG).

Como este artículo fue pensado para dar y afianzar conceptos no desarrollaré el ejemplo sobre ningún sistema operativo, cliente de correo o herramienta de criptografía específicos.

Solo diré que existen soluciones, cualquiera sea la plataforma elegida, e incluso existen combinaciones totalmente gratuitas.

Dejo al lector el desafío de instalación y configuración de cada caso específico.

Doy por hecho que ya se tiene una cuenta de correo configurada en su cliente de correo favorito por lo que solo nos resta instalar la herramienta de criptografía elegida.

Para el caso de PGP (http://www.pgp.com/ y http://www.pgpi.org/), si bien la última versión disponible es la 9.0, recomiendo instalar las versiones freeware ya que su código fuente ha sido ampliamente verificado y se ha asegurado la inexistencia de puertas traseras o la utilización de claves universales.

La última versión que cumple con esas características es la 6.5.8.

Por otro lado, GnuPG ha sido y será libre, gratuito y abierto. Si bien su utilización puede ser un poco mas "dura" es ampliamente recomendada ya que la disponibilidad de su código fuente hace posibles auditorias sobre el mismo. Para GnuPG se puede, opcionalmente, instalar un administrador de claves para administrarlo en forma gráfica y prescindir de la "amigable" línea de comando.

En mi caso he elegido GPG4Win.

Recomiendo firmemente la lectura de los manuales que acompañan a cada herramienta. Las mismas también se encuentran en castellano y son de fácil comprensión.

• Manual de PGP (otro en español)
• Manual de GnuPG (otro)
• HowTo de GnuPG
• Instalación y primeros pasos de GnuPG con ThunderBird
• GnuPG y Outlook 2010

Finalizada la instalación de la herramienta, debemos generar nuestro par de claves (Privada y Pública) y definir como cuenta de mail a utilizar aquella que hemos configurado en el cliente de correo.

Para generar estas claves la herramienta solicita una FRASE CLAVE (frase, no palabra). Esta frase será necesaria a la hora de utilizar nuestro par de claves.

El resultado de esta generación seran 2 archivos, generalmente nombrados"secring" y "pubring" o similar.

Cabe destacar que la Clave Pública (archivo pubring) es aquella que debemos publicar y dar a todas aquellas personas con las que deseemos intercambiar mensajes; y la Clave Privada (archivo secring) JAMÁS debe ser publicada ni expuesta y debe mantenerse asegurada de la mejor forma posible. Aún así, si la Clave Privada es comprometida, el atacante necesitará la frase clave para poder utilizarla.

El intercambio de Claves Públicas puede hacerse persona a persona o bien puede optarse por su publicación en servidores destinados a tal fin.

Para comenzar el intercambio de mails cifrados solo debemos obtener la Clave Pública del destinatario y cifrar el mail con esa clave. De esta manera el mail sólo podrá ser descifrado y leído por el destinatario.

Para firmar un mensaje sólo debemos entregar nuestra Clave Pública a quien deseemos que verifique nuestra firma, y luego debemos enviar el mail firmado con nuestra Clave Privada. Como vimos en el artículo anterior nuestra Clave Privada prueba nuestra (y solo nuestra) autoría del mail.

Para finalizar dejo una imagen de como se ve:

• Clave Pública
• Clave Privada
• Mensaje Firmado
• Mensaje Cifrado
• Ejemplo de lo que no debemos hacer

Buenos Aires, 15 de agosto de 2005