4.-“Pretty Good Privacy (PGP) Cifrado de correo electrónico

Flag_of_Europe.png

En 1991, Phil Zimmermann desarrolló el software de cifrado de correo electrónico llamado Pretty Good Privacy o PGP, que había prometido a los activistas por la paz para utilizar mientras organizaban el movimiento antinuclear.

Hoy, PGP es una empresa que vende un programa de cifrado propietario con el mismo nombre. OpenPGP es el protocolo abierto que define cómo funciona el cifrado PGP, y GnuPG (GPG para abreviar) es software libre, y 100% compatible con la versión propietaria. GPG es mucho más popular que PGP hoy, porque es libre para todo el mundo la descarga, y los cypherpunks confian más en ella porque es de código abierto. A veces intercambian los términos PGP y GPG.

Lamentablemente, PGP es notoriamente difícil de usar, Greenwald usa cómo ejemplo que no podía hablar inicialmente con Edward Snowden porque era difícil de instalar.

egotuus
Las diez cosas que debieras saber sobre el franquismo

Pares de claves y llaveros

Como con OTR, cada persona que desea enviar o recibir correo electrónico cifrado necesita generar su propia clave PGP, llamada un par de claves. Los pares de claves PGP se dividen en dos partes, la clave pública y la clave secreta.

Si tienes la clave pública de alguien, puedes hacer dos cosas: cifrar mensajes que sólo pueden descifrarse con su clave secreta, y verificar las firmas que se han generado con su clave secreta. Es seguro dar tu clave pública a quien quiera. Lo peor que cualquiera puede hacer con ella es cifrar mensajes que sólo tu puedes descifrar.

Con tu clave secreta puedes hacer dos cosas: descifrar mensajes cifrados con tu la clave pública, y firmar digitalmente los mensajes. Es importante mantener en secreto tu clave secreta. Con ella un atacante podría descifrar los mensajes que te estuvieran destinados, y podría falsificar mensajes en tu nombre. Las claves secretas están cifradas generalmente con una contraseña, de modo que incluso si tu equipo se ve comprometido y te roban la clave secreta, el atacante tendría que obtener tu clave de acceso antes de que pudiera tener acceso. A diferencia de OTR, PGP no tiene clave avanzada. Si se compromete tu clave secreta PGP y el atacante tiene copias de mensajes de correos electrónicos históricos codificados que has recibido, puede retroceder y descifrar retrospectivamente todos ellos.

NuitDebout_15MYa que necesitas las claves públicas de otras personas y así cifrar los mensajes para ellos, el software PGP te permite gestionar un llavero con tu clave privada, la clave pública, y todas las claves públicas de las personas con las que te comunicas.

El uso de PGP para cifrado de correo puede ser muy incómodo. Por ejemplo, si configuras PGP en tu equipo pero has recibido un correo electrónico cifrado en tu teléfono, no serás capaz de descifrarlo para leerlo hasta llegar a tu equipo.

Como OTR, cada clave PGP tiene una huella digital única. Puedes encontrar una copia de mi clave pública en la web Freedom of the Press Foundation, y mi huella es 5C17 6163 61BD 9F92 422C08B4D2 5A1E 9999 9697. Si miras mi clave pública verá que es bastante larga y sería difíciles de leer en el teléfono. Una huella es una forma más corta y cómoda para representar de forma exclusiva una clave. Con mi clave pública puedes cifrar mensajes que sólo yo puedo descifrar, siempre que no haya sido comprometida mi clave secreta.

Contraseñas

La seguridad del cifrado a menudo se basa en la seguridad de una contraseña. Dado que las contraseñas son fácilmente adivinadas por los ordenadores, los criptógrafos prefieren el término contraseña para alentar a los usuarios a poner contraseñas muy largas y seguras.

comic.jpg

Para tener sugerencias de cómo elegir buenas contraseñas, lee la sección contraseña de EFF defiende la privacidad en la frontera de los Estados Unidos: Una guía para los viajeros que llevan dispositivos digitales whitepaper, y también la Diceware Passphrase Home Page.

Además de proteger las claves secretas PGP, también necesita elegir buenas contraseñas para el cifrado de discos y protección de contraseña.

Software

Para instalar GPG, los usuarios de Windows pueden descargar Gpg4Win, y los usuarios de Mac OS X pueden descargar GPGTools. Si usas GNU/Linux ya debes de tener instalado GPG. GPG es un programa de línea de comandos, pero hay software que interactúa con clientes de correo electrónico que facilita mucho su uso.

Tendrás que descargar un cliente de correo electrónico para usar PGP correctamente. Un cliente de correo electrónico es un programa en tu pc que se abre para comprobar tu correo electrónico, en lugar de utilizar el navegador web. La instalación de PGP más popular es el cliente de correo electrónico Thunderbird con el añadido Enigmail. Thunderbird y Enigmail son software libre y se ejecutan en Windows, Mac y GNU/Linux.

PGP es muy difícil de utilizar de forma segura desde un navegador web. Si bien existen algunas extensiones de explorador que ayudan, recomiendo que te acostumbres a un cliente de correo electrónico de escritorio hasta que madure el uso en los navegadores. Es posible que utilices el cifrado PGP con Gmail, pero lo más fácil es configurar un cliente de correo como Thunderbird y ejecutar tu cuenta de Gmail a través de él.

Cifrado, descifrado y firma

Puedes enviar mensajes de correo electrónico codificados y firmar digitalmente utilizando la interfaz gráfica de usuario proporcionada por Thunderbird y Enigmail. He aquí un ejemplo de un correo electrónico cifrado que me estoy enviando a mí mismo. Cuando le digo enviar, mi software toma el cuerpo del mensaje y lo cifra usando mi clave pública, haciendo que el contenido ininteligible a los intrusos, y también a mi proveedor de correo electrónico.1y2

Cuando abrí este correo me pidió que escribiera mi contraseña de cifrado para descifrarlo. Ya que se cifró con la clave pública, la única manera de poder descifrar es con mi clave secreta. Ya está protegida con una contraseña, he necesitado escribir mi contraseña para descifrar temporalmente mi clave secreta y así utilizarla para descifrar el mensaje.

PGP no es sólo para el correo electrónico

Aunque PGP se suele usar para cifrar correo electrónico, nada impide que lo uses para cifrar cualquier cosa y publicarlo utilizando cualquier medio. Puedes enviar mensajes cifrados con PGP en blogs, redes sociales y foros.

Kevin Poulsen publicó un mensaje cifrado PGP en el sitio web de Wired destinado a Edward Snowden. Mientras Wired tiene una copia de la clave pública real de Snowden, sólo alguien en posesión de la clave secreta de Snowden puede descifrar este mensaje. No sabemos cómo Wired tiene una copia de la clave pública de Snowden.

He aquí un mensaje cifrado con la clave pública. Sin tener acceso a mi clave secreta asociada, la NSA no deberían ser capaces de romper el cifrado. (NSA, hágamelo saber si lo consigue).

—–BEGIN PGP mensaje—–

Versión: GnuPG v1.4.12 (GNU/Linux).

HQIMA86M3VXog5+ZAQ//WEP9ZiiCMSmLk/Pt54d2wQk07fjxI4c1rw+jfkKQAi4n

6HzrX9YIbgTukuv/0Bjl+yp3qcm22N6B/mk+P/3Cbxo+Pn3gsq5OLFNenQO3RMNM

I9RC+qJ82sgPXX6i9V/KszNxAyfegbMseoW9FcFwViD14giBQwA7NDw3ICm89PTj

Y+YBMA50iRqdErmACz0fHfA/Ed5yu5cOVVa8DD12/upTzx7i0mmkAxwsKiktEaKQ

Vg8i1gvzqeymWYnckGony08eCCIZFc78CeuhODy0+MXyrnBRP9p++fcQE7/GspKo

SbxVT3evwT2UkebezQT2+AL57NEnRsJzsgQM4R0sMgvZI7I6kfWKerhFMt3imSt1

QGphXmKZPRvKqib59U57GsZU1/2CMIlYBVMTZIpYKRh6NgE8ityaa4gehJDl16xa

PZ8z3DMNt3CRF8hqWmJNUfDwUvXBEk8d/8Lkh39/IFHbWqNJh6cgq3+CipXH5HjL

IVh7tzGPfB6yn+RETzcZjesZHtz4hFudOxTMV0YnTIv0FGtfxsfEQe7ZVmmfqGNG

GlxE0EfbXt0psLXngFMneZYBJqXGFsK3r5bHjRm6wpC9EDAzXp+Tb+jQgs8t5eWV

XiQdBpNZnjnGiIOASOxJrIRuzbTjo389683NfLvPRY8eX1er58ebjLvDhvDZ2jS

PwGuWuJ/8QNZou1RfU5QL0M0VE3ACm4wP5zfUGnW8O1vKY9rK5/9evIiA/DMAJ+

GF20Y6WzGg4llG9qCAnBkc3GgC7K1zkXU5N1VD50Y0qLoNsKy6eengXvmiL5EkFK

RnLtP45kD2rn6iZq3/Pnj1IfPonsdaNttb+2fhpFWa/r1sUyYadWeHs72vH83MgB

I6h3ae9fli5tYLs2m6u8rKFM8zZhixSh

=A8P.

—–Fin de mensaje PGP—–

Verificación de identidad

Como con OTR, es importante comprobar las claves PGP de las personas con las que te comunicas. En PGP puede hacer esto utilizando tu clave privada para firmar digitalmente la clave pública de alguien.

Desde Thunderbird puedes hacer clic en el menú OpenPGP y abrir la gestión de claves. Puedes comprobar la opción “Mostrar todas las claves por defecto” en la casilla de verificación para ver todas las claves en tu llavero. Desde aquí puede importar claves de archivos, desde el portapapeles o desde servidores de claves. También puedes generar nuevos pares de claves, y ver los detalles de todas las claves de tu llavero.

 

connombre

Como con las claves OTR, cada clave PGP tiene una huella digital única. Y cómo con OTR, necesitas leer toda la huella para estar seguro de que la clave pública que se está viendo pertenece realmente a la persona que crees que pertenece.

Puedes hacer clic con el botón derecho sobre una clave de la lista e ir a Ver Detalles para ver su huella. Aquí están los detalles de la clave PGP que el software de cifrado de disco TrueCrypt utiliza para firmar digitalmente las versiones de su software.

correo2.png

También como OTR, necesitas reunirte en persona, hablar por teléfono, o usar una sesión de OTR ya comprobada para comparar cada carácter de la huella.

Después de haber verificado que la clave pública pertenece a la persona que piensas que lo es, puedes hacer clic en “Seleccionar Acción” y elegir “Signo clave”.

correo3.png

En la captura de pantalla anterior he comprobado el apartado: “Local signature (cannot be exported)“. De esta manera, puedes firmar claves PGP, que son necesarias para Enigmail y otros software PGP para mostrar mensajes de seguridad que tienen sentido, pero no corras el riesgo de una publicación accidental de que te comuniques con un servidor de claves PGP.

Si recibes un correo electrónico cifrado de alguien que conoces, pero el correo electrónico no está firmado digitalmente, no puedes estar completamente seguro de que en realidad fuera escrito por la persona que crees. Es posible que pudiera ser alguien que falsificó o comprometió su dirección de correo electrónico.

Si tu contacto te dice en este mensaje de correo electrónico que ha generado una nueva clave, debes reunirte en persona o hablar con ella por teléfono y leer sus huellas antes de que puedas estar seguro de que no estás bajo un ataque.

Los ataques

Si no compruebas las identidades no tienes forma de saber si eres o no eres víctima de un ataque MITM.

El periodista del Washington Post Barton Gellman, al que Edward Snowden confió información sobre el programa Prism de la NSA, escribió sobre su experiencia usando PGP.

  • El jueves, antes de que el Post publicara la primera historia, me puse en contacto en un nuevo canal. Él no me esperaba allí y me respondió alarmado.
  • ¿Nos conocemos?”, escribió.
  • Le envié una nota en otro canal para verificar mi “huella digital”, una precaución que habíamos estado utilizando durante algún tiempo. Cansado, le envíe el equivocado. “Esta no es la huella correcta“, escribió, listo para contar. “Estás obteniendo MITM”. Estaba hablando sobre un ataque “hombre en el Oriente”, una norma técnica de la NSA para omitir el cifrado. Rápidamente corregí mi error.

Snowden tenía motivos para ser cauteloso e insistir en que se comprobara la nueva huella PGP. PGP, si se utiliza correctamente, proporciona las herramientas necesarias para evitar ataques MITM. Pero estas herramientas sólo funcionan si los usuarios están atentos a la verificación de identidad.

licenciacc4

ambos.png

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s