Unidad 8. Avanzado. Cifrado de correo (PGP).


¿Por qué cifrar el correo?

Enviar un e-mail a través de Internet es como enviar una "postal", el correo electrónico es un mensaje sin sobre. Cualquier mensaje de correo electrónico puede ser interceptado de origen a destino, leído y/o modificado (esto no quiere decir que se haga pero la posibilidad existe y además se puede hacer sin dejar ningún rastro de este hecho, además del hecho de que el envio de correo electrónico no se realiza en tiempo real, sino que se envía del servidor origen al servidor destino, por tanto un mensaje puede ser interceptado del servidor origen ser modificado y posteriormente enviarse al servidor destino).

PGP garantiza que el mensaje sólo será leído por quien debe leerlo y además asegura la integridad del mismo, es decir asegurar que nadie ha modificado su contenido. Para ello se recurre a la autenticación. El programa de cifrado añade al final del mensaje una firma electrónica creada cifrando un extracto del mensaje (message digest) con la clave secreta. El receptor del mensaje puede probar a descifrar esta firma con la clave pública del emisor. Si se puede, esto prueba que el emisor es quien se espera que sea, ya que - se supone - sólo él posee su clave secreta, y así, sólo él puede firmar. PGP es una herramienta que permite poner un "sobre y una firma electrónico" a nuestros correos electrónicos (e-mails) y además es gratuito.

 

¿Que es PGP ?

PGP Enterprise Security es una solución adaptable y compatible entre diferentes sistemas operativos, que permite a los usuarios proteger la correspondencia electrónica, las transacciones en línea y los archivos de datos mediante su cifrado de forma que únicamente los destinatarios autorizados puedan descifrar su contenido. Dado que los productos PGP contienen sólo algoritmos criptográficos con diferentes niveles de seguridad (longitudes  de claves), son una  buena protección para los datos que se envían por la red e incluso para los que se quieren guardar en un ordenador con un cierto nivel de seguridad e integridad.

PGP se conoce internacionalmente como el estándar de hecho para mantener la seguridad del correo electrónico y de los archivos tanto en el ámbito empresarial como en el doméstico.

PGP es tan fácil de utilizar que incluso los usuarios poco expertos pueden aprender a cifrar, descifrar, crear firmas digitales y verificar mensajes y archivos en cuestión de minutos. Asimismo, como funciona de forma uniforme con herramientas de productividad, aplicaciones de correo electrónico y sistemas operativos conocidos, se puede instalar fácilmente en toda una organización.

El PGP utiliza dos llaves para el juego de cifrar-descifrar mensajes.
Cada usuario tiene dos claves, una secreta o privada y una pública. La clave secreta ha de quedar sólo en poder del dueño, pero la clave pública puede y debe distribuirse.


Cualquiera que quiera enviar a un destinatario mensajes cifrados, tiene que hacerse con la clave pública de éste y utilizarla.

Una vez cifrado así el mensaje, sólo puede descifrarse con la clave privada. Ni siquiera puede el que ha cifrado el mensaje. Por otro lado, el conocer la clave pública no permite deducir la clave privada.

Aprendida la lección, el resto es muy fácil, ya que desde la versión 5, PGP funciona también para Windows y tiene un manual muy útil.

Para obtener la última versión de PGP hay que ir a la Página Internacional de PGP. Hay que seleccionar el sistema operativo y a continuación la versión más reciente de las que se le ofrezcan.

Elegiremos la opción Free PGP Desktop Trial Software, versión de prueba para uso empresarial, pero ilimitada para uso personal.

A continuación, simplemente sigue el siguiente enlace para descargar la última versión desde la página oficial de PGP:

http://www.pgpi.org/products/pgp/versions/freeware

Deberás de registrarte para poder utilizar el producto. Puedes poner cualquier dato en los camps obligatorios, pero es importante que introduzcas tu dirección de correo, ya que ahí te enviarán el enlace que te permita descargar el programa.

Cuando te llegue el eMail con el enlace, al ir a él, verás que te proporcionan un número de licencia. El programa te pedirá esa licencia durante la instalación.

Instalación en Windows

El programa normalmente está comprimido con zip , así que se descomprime en una carpeta cualquiera, ábrela y pulsa sobre el archivo ejecutable que contiene para iniciar la instalación.

Las primeras pantallas piden la aceptación de las condiciones, identificación, etc... Tras la instalación, habrá que reiniciar el equipo. La primera pregunta referente al programa propiamente dicho pregunta si ya se tenían claves anteriores (porque se haya actualizado la versión, por ejemplo) o, si no se tienen claves, para generar un nuevo par de claves.

Una vez que se genera las claves (pública y privada) se pide el nombre y dirección de correo electrónico al cual se asociarán estas claves. A continuación el programa pide la longitud de la clave. Cuanto mayor sea, mayor nivel de seguridad se tiene, a costa de mayor tiempo en la generación y descifrado de mensajes. Con 2048 hay suficiente seguridad.

A continuación pregunta que tiempo de validez o caducidad se le da a las claves que se van a generar. Seguidamente se pide una frase, o palabra clave, para proteger las claves, con lo que hay que poner una palabra o frase exactamente igual en las dos ventanas. Cuanto mayor sea la palabra o frase que se escoja, mayor nivel de seguridad existe.  Es necesario e importante recordar exactamente lo que se ha escrito, porque sino no se puede utilizar el cifrado. 

El programa da la posibilidad de enviar la clave pública, si se está conectado a Internet, a un servidor de claves. Esto es importante para que otros usuarios de Internet puedan enviar correos cifrados y que se puedan descifrar correctamente. También es recomendable hacer una copia de seguridad, por si cualquier razón se pierden.

 

Utilización de PGP

Una vez generadas las claves es importante cargar la parte pública en servidores de Internet para que aquellos que quieran enviarme correos cifrados puedan hacerlo.

Con PGP es posible firmar o comprobar una firma, cifrar o descifrar un mensaje. Cuando quiera cifrar un mensaje para otra persona debo de utilizar la clave pública de esa persona.

El acceso a estas funciones puede llevarse a cabo desde el menú Herramientas en Centro de confianza → Seguridad del correo electrónico o bien utilizando los propios programas de PGP.

 

 

Inicio 




© aulaClic. Todos los derechos reservados. Prohibida la reproducción por cualquier medio.
Febrero-2008.