Correo
seguro para principiantes (III)
por Cristian F. Borghello
http://www.rompecadenas.com.ar/correo/correoseguro3.htm
publicado el 8/12/2005
En
artículos anteriores analizamos las posibles amenazas
a las que estamos expuestos al utilizar el e-mail y la forma
en que la criptografía puede ayudar a mitigar esas
amenazas.
En
este artículo mostraré algunos puntos básicos
para aplicar en forma práctica los conceptos desarrollados
anteriormente.
Para
ello será necesario un cliente de correo (Outlook,
TheBat!, ThunderBird, IncredibleMail, etc) y un programa de
criptografía para administrar las claves y los mensajes
cifrados/firmados (PGP o GnuPG).
Como
este artículo fue pensado para dar y afianzar conceptos
no desarrollaré el ejemplo sobre ningún sistema
operativo, cliente de correo o herramienta de criptografía
específicos.
Solo
diré que existen soluciones, cualquiera sea la plataforma
elegida, e incluso existen combinaciones totalmente gratuitas.
Dejo
al lector el desafío de instalación y configuración
de cada caso específico.
Doy
por hecho que ya se tiene una cuenta de correo configurada
en su cliente de correo favorito por lo que solo nos resta
instalar la herramienta de criptografía elegida.
Para
el caso de PGP (http://www.pgp.com/ y http://www.pgpi.org/), si bien
la última versión disponible es la 9.0, recomiendo
instalar las versiones freeware ya que su código fuente
ha sido ampliamente verificado y se ha asegurado la inexistencia
de puertas traseras o la utilización de claves universales.
La
última versión que cumple con esas características
es la 6.5.8.
Por
otro lado, GnuPG (http://www.gnupg.org/) ha sido
y será libre, gratuito y abierto. Si bien su utilización
puede ser un poco mas "dura" es ampliamente recomendada ya
que la disponibilidad de su código fuente hace posibles
auditorias sobre el mismo. Para GnuPG se puede, opcionalmente,
instalar un administrador de claves para administrarlo en
forma gráfica y prescindir de la "amigable" línea
de comando.
En
mi caso he elegido WinPT (http://www.winpt.org/).
Recomiendo
firmemente la lectura de los manuales que acompañan
a cada herramienta. Las mismas también se encuentran
en castellano y son de fácil comprensión.
Finalizada
la instalación de la herramienta, debemos generar nuestro
par de claves (Privada y Pública) y definir como cuenta
de mail a utilizar aquella que hemos configurado en el cliente
de correo.
Para
generar estas claves la herramienta solicita una FRASE CLAVE
(frase, no palabra). Esta frase será necesaria a la
hora de utilizar nuestro par de claves.
El
resultado de esta generación seran 2 archivos, generalmente
nombrados"secring" y "pubring" o similar.
Cabe
destacar que la Clave Pública (archivo pubring) es
aquella que debemos publicar y dar a todas aquellas personas
con las que deseemos intercambiar mensajes; y la Clave Privada
(archivo secring) JAMÁS debe ser publicada ni expuesta
y debe mantenerse asegurada de la mejor forma posible. Aún
así, si la Clave Privada es comprometida, el atacante
necesitará la frase clave para poder utilizarla.
El
intercambio de Claves Públicas puede hacerse persona
a persona o bien puede optarse por su publicación en
servidores destinados a tal fin.
Para
comenzar el intercambio de mails encriptados solo debemos
obtener la Clave Pública del destinatario y encriptar
el mail con esa clave. De esta manera el mail sólo
podrá ser desencriptado y leído por el destinatario.
Para
firmar un mensaje sólo debemos entregar nuestra Clave
Pública a quien deseemos que verifique nuestra firma,
y luego debemos enviar el mail firmado con nuestra Clave Privada.
Como vimos en el artículo anterior nuestra Clave Privada
prueba nuestra (y solo nuestra) autoría del mail.
Para
finalizar dejo una imagen de como se ve:
Publicado originalmente en Segu-Info
[Artículos relacionados]
|
M.
Guglielmetti
Javier
Matuk
Ignacio
Osendi
Alberto
González
Boletines
MMagazine Tenemos 2 boletines gratis de salida
semanal, que llegan a más de 80 mil personas. Súmese
a MasterMagazine y/o a MM Seguridad.
