• INICIO
  • REPARACION DE ORDENADORES
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION DE ORDENADORES
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

PGP. Porque quiero y porque puedo.

11/7/2017

 
Imagen
Seguramente si eres habitual de la curiosidad informática, sepas que significan estas iniciales (PGP) y para qué sirve este sistema, pero por si tienes mala memoria o se te suelen olvidar las cosas como a mí, o simplemente no lo habías oído nunca, en hacking-etico.com te lo contamos.

PGP, sigla de Pretty Good Privacy (Privacidad bastante Buena, en el idioma de Cervantes) es un cifrado desarrollado por Zimmermann cuyo objetivo es claro, proteger el contenido de los correos y firmar documentos digitalmente para autentificarlos.
Es un cifrado “abuelo” ya que salió a la palestra en 1991 y hoy en día sigue siendo un método de cifrado bastante seguro.
Podríamos dedicar varios capítulos a este tema, mucho más profundos, pero vamos a centrarnos en el uso básico-normal de PGP para el cifrado de correos electrónicos.

Pero… ¿y por qué este título tan atrevido? Pues sencillo, este título resume perfectamente el por qué  PGP está al alcance de todos y cómo todos pueden utilizarlo si así lo desean. Digamos que no hay excusa para no utilizarlo, para no usar nuestros correos cifrados.

Además, podemos usarlo en clientes de correo que lo incorporan nativamente o simplemente usar alguna extensión como Mailvelope para Firefox o Chrome.

No obstante, su comprensión inicial es un poco confusa sino estás familiarizado con PGP o con este paranoico mundo (con razón). Además, si usamos mails gratuitos (o no) ¿quién nos garantiza que nadie nadie pueda leerlos?

Como PoC o como muestra de cómo se usa, vamos a poner de ejemplo el plugin MAILVELOPE, una sencilla extensión que podemos usar en nuestro navegador FIREFOX o CHROME y subirnos al carro del cifrado. Comentar que no es necesario que tengáis una cuenta corporativa o de empresa sino con cuentas Gmail también vale y desde su acceso Webmail.

Informar que existen diversas apps para cifrar ficheros, firmarlos o para clientes de correo como Enigmail, que sirve para Thunderbird y Seamonkey y hace la función de mailvelope.

Proveedores de correo.

Importante esto. Mailvelope trae por defecto un listado de proveedores de correo que hace que sencillamente no tengamos que tocar esta parte de la configuración. Si instalamos la extensión y entramos en Gmail, automáticamente lo detecta y saldrá un icono para redactar el correo en modo ninja xD.

Imagen
Probablemente nuestro proveedor de correo, si usamos alguno corporativo o si usamos algún HORDE, RoundCube, etc…no lo tenga activado (hay algún otro método para ello) pero para eso está la lista de proveedores de correo. En esta opción podemos configurar o, mejor dicho, añadir nuestro sitio de correo, para que mailvelope lo detecte cuando lo carguemos. Digamos que es la “activación” de nuestro correo.
Imagen

Cómo funciona. Clave privada y clave pública.

Aquí entran en juego dos claves, la privada y la pública. La clave pública será la que podamos transmitir a nuestros contactos, ponerla en nuestra firma de correo o trasladarla por otros medios para que alguien que quiera mandarnos un mail, cifre con esa clave pública que nosotros facilitamos para que solamente nosotros, podamos descifrar el contenido del mensaje utilizando la clave privada.

Sino, únicamente recibiré un mensaje con caracteres alfanuméricos sin sentido (salvo en Matrix ).

¿Y cómo se descifra? Pues porque tenemos la clave privada, al generar nuestro “pack” de cifrado se nos genera una clave privada y una pública, la pública es la que pasaremos como “método de cifrado” o “token de cifrado” como si pasáramos una contraseña autogenerada de cientos de caracteres para que alguien cifre el correo. El “antídoto” o clave privada la conocemos solo nosotros (sino no estamos haciendo nada), y con esa clave privada tiene la “llave” para descifrar lo cifrado. Por tanto se deduce que la clave privada debe estar guardada bajo llave en un búnker en Alaska, mínimo.


Creando claves
El algoritmo que se emplea para PGP, y el recomendable es el RSA con un tamaño de clave de 4096 bits. Para generar nuestro pack de claves, simplemente tenemos que ir a las opciones de le extensión MAILVELOPE, y proceder a rellenar los campos.

Imagen
En el nombre, poner algo que lo identifique ya que podéis usar varias claves para diferentes cuentas según necesitéis y viene bien saber cuál es cual.

En correo, es importante que pongáis el correo con el que vais a usar PGP ya que se utiliza también para la generación de las claves.


Y la contraseña, importante, porque es un método de control para cuando intentes utilizar la clave privada o una cuenta determinada para “desbloquear” un correo y compruebe que eres tú el propietario. Esta es una protección por si utilizas ordenadores públicos, te dejas el correo abierto y alguien husmea. Obviamente es una circunstancia más que puede darse, como que te roben el equipo y tengas guardada en el navegador la contraseña del correo y puedan acceder a tu bandeja, pero sin la pass maestra, esto no ocurría. Hay que ponerse en lo peor ¿no? xD

La opción de subir las claves públicas al servidor de Mailvelope debería estar DESMARCARDA bajo mi punto de vista. Así no aparece en el listado de claves públicas del mailvelope (que puedes borrar cuando quieras) y tampoco aparecerá tu cuenta de correo ( ¿posible método de obtención de cuentas de correo para phishing? )aunque esto agilizaría el importar claves públicas de personas que busques o que quieras enviarle mensajes cifrados con su clave pública, pero hay mucha duplicidad de claves, y probablemente la cifremos con claves que el destinatario tenga en desuso etc… así que mejor pedírsela directamente y no perdemos tiempo.

Aclarar que podemos elegir el tipo de cifrado y caducidad de las claves. Luego con clicar en Generar, ya empezará el proceso de generación de claves.

Imagen
Vemos ahora nuestro par de claves generadas (recordar que van ligadas).
Imagen
Ahora, ya solo falta difundir nuestra clave pública bien en la firma de correo o bien por fichero (o si preferís que estén publicadas en mailvelope). Para ello nos situamos encima de la clave generada, y le damos a la “i” para observar estas opciones:
Imagen
Ahora si clicamos en la pestaña exportar, veremos opciones de exportación, tanto de la privada como de la pública como de las dos a la vez (por si queremos utilizar también la misma clave en otros equipos personales).
Imagen
Una vez que copiemos o bajemos la clave pública (vamos a suponer que no vamos a usar la privada en ningún otro equipo), podemos pasársela a nuestro contacto, que utiliza Gmail, para que cifre su mensaje con NUESTRA clave pública para que NOSOTROS seamos los ÚNICOS que podamos descifrar este mensaje.

Nuestro contacto, suponiendo que usa mailvelope, tendría que importar la clave pública para cifrar el mensaje. Lo vemos:

Imagen
Una vez importando bien por fichero o pegando todos los caracteres, nuestro contacto podrá usar nuestra clave pública para cifrar los mensajes dirigidos a nosotros.
Imagen
Nuestro contacto, puede redactar desde su Gmail, un correo para nosotros de la siguiente forma. Lo vería así:
Imagen
Imagen
Al meter el destinatario del correo (en nuestro caso es inventado), nos detecta automáticamente la cuenta-clave pública que nosotros le hemos pasado y que él ha importado y podemos autocompletarla. ¡Clicamos en cifrar, y magia!
Imagen
Tenemos un mail sin sentido ninguno, en apariencia, claro está. Ahora simplemente nuestro contacto nos lo envía a la dirección de correo nuestra y lo recibiremos en nuestra bandeja de entrada. Si tenemos el mailvelope instalado en el navegador y ambas claves originales (privada al menos sí o sí), podremos ver que contiene el mensaje cifrado.
Imagen
Ahora, tendremos que introducir la contraseña con la que protegimos nuestras claves en el plugin, para que nadie tenga o pueda tener acceso. Si queremos que recuerde la contraseña temporalmente (para no estar continuamente metiendo clave) podemos guardarla. La duración de este guardado podemos configurarlo en las opciones de mailvelope.
Imagen
Imagen
Y veremos el contenido. Automáticamente, si activamos que guarde temporalmente la pass, podremos descifrar los mensajes simplemente con darle clic al icono de mailvelope que nos sale encima del contenido cifrado.
Imagen
Conclusiones

Como veis, este plugin tiene una versatilidad espectacular. Podemos usar casi cualquier cliente Webmail y usar PGP sin que lo traiga nativo. Obviamente lo ideal es que cada cliente lo implemente nativamente y no tengamos que depender de terceros para dichas tareas, pero al menos subimos un escalón más nuestra privacidad. Si alguien quisiera o estuviera leyendo nuestros correos previamente, ahora se lo pondremos mucho más complicado y al menos si los lee, que se lo merezca por ingenio o mejor no


Recordar guardar en buen lugar la clave privada, nada de almacenar en la nube, o sistemas que escapen de nuestro control ya que únicamente la clave privada es la que puede descifrar el mensaje cifrado con nuestra clave pública.

Espero que os haya gustado, y sobre todo que os sirva para vuestro día a día, aunque es una “incomodidad” más, no está de sobra que cifremos al menos correos con información sensible.

Mailvelope: https://www.mailvelope.com/en

FUENTE: https://hacking-etico.com

Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Archivos

    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION DE ORDENADORES
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG