11 jul 2013

Instalación y uso de GPG para cifrar el correo (I)

Como hemos analizado en el Boletin 191 de Segu-Info, el elemento básico que se necesita para cifrar el correo es un software para generar y administrar el par de claves públicas y privadas y hacer que funcionen con cualquier programa de correo electrónico. En Windows, no hay escasez de aplicaciones propietarias que harán las dos cosas, siendo quizás el más conocido Symantec PGP Desktop E-mail. Sin embargo este tutorial se centra en el software de código abierto GNU Privacy Guard, que está disponible gratuitamente en Windows, Mac y Linux.

GnuPG, o simplemente GPG, está disponible principalmente como herramienta de línea de comandos, lo que significa que no tiene interfaz gráfica y muchos usuarios se podrían sentir incómodos al usarla. En lugar de aprender una larga lista de comandos de GPG, muchos usuarios optan por instalar la aplicación gráfica de GPG. En Windows, Gpg4win tiene todo lo que se necesita para generar mensajes cifrados, enviarlos y posteriormente ser descifrados por el receptor, utilizando cualquier programa de correo electrónico estándar. Obviamente ambos usuarios (emisor y receptor) deben utilizar GPG.

Al momento de escribir esto, la versión más reciente de Gpg4win es la 2.1. Después de descargarlo es recomendable (no obligatorio) confirmar que el instalador no ha sido modificado y realmente proviene del sitio legítimo de gpg4win.org.

Para hacer esto, se necesita comprobar el checksum SHA1 del archivo descargado y asegurarse que coincide con el hash "a94b292c8944576e06fe8c697d5bb94e365cae25" que aparece en la página de descarga. Para el que prefiera interfaz gráfica para hacerlo puede utilizar HashCalc (hay muchos otros). Luego de instalar HashCalc, se puede abrir el programa descargado "gpg4win-2.1.1.exe" y verificar que el hash
Como se puede ver la firma SHA1 coincide con el informado con la página de GPG, lo cual confirma que el instalador no ha sido modificado y es confiable y se puede proceder a instalarlo y de seleccionar sus componententes.
Asegúrese de instalar todos los componentes disponibles incluyendo GPA. Por ahora no se usará S/MIME, por lo tanto si aparece alguna pantalla referida a certificados raiz de confianza, se puede obviar esa opción. Con esto se finaliza el proceso de instalación.

Ahora, en Inicio-Todos los programas, debería aparecer una carpeta denominada "Gpg4win". La primera vez que se ejecuta es necesario crear las claves privada y pública y para eso se debe eligir "GPA (GNU Privacy Assistant)". Usaremos esta aplicación para generar el par de claves y después se usará para almacenar las claves públicas de las otras personas de quienes se recibirán mensajes cifrados
 La primera vez que se abra GPA (también se puede usar Kleopatra para el mismo fin), aparece una pantalla preguntando si se quiere generar una clave privada. Eso es exactamente lo que se quiere hacer, entonces se selecciona "Generar clave ahora".

En la pantalla que sigue, se debe ingresar el nombre y la dirección de correo, sabiendo que, al menos en principio, se deberá generar un par de claves por cada correo electrónico que se utilice.

Aquí también se pregunta para realizar un backup de las claves. El mismo se puede realizar más tarde, cuando se esté seguro que se ha realizado todo correctamente.

Luego, se necesitará una passphrase para proteger la clave privada generada. Dicha frase de paso es una contraseña secreta más larga de lo normal y que se utilizará siempre que se quiera acceder a la clave privada generada. Esto previene del acceso no autorizado a usuarios malintencionados en el caso que la clave se pierda o sea robada. En otras palabras, esta frase es extremadamente sensible y se recomienda que tenga al menos unos 30 caracteres y no sea fácilmente predecible.

Cuando haya finalizado, se generarán el primer par de claves: la pública podrá ser compartida con otras personas para que ellos puedan enviarle mensajes cifrados que solo tú puedes leer y la clave privada se usará para descifrar dichos mensajes.

Mientras se genera la clave, asegúrese de setear una fecha de expiración para no permitir que sea válida por siempre (fecha de revocación). De esta manera, las claves que los nuevos usuarios abandonen, se pierdan o no nunca se usen, no permanecerán en los servidores públicos de forma indefinida. Recuerde también hacer backup de la clave privada en un lugar que sea extremadamente seguro. Almacenarlo en un dispositivo USB que esté guardado es un lugar físico seguro es un buen método. La clave privada nunca debe ser compartida.

También puede querer subir la clave pública (nunca la privada) a uno o más servidores, como los del MIT. Estos servidores proporcionan a los usuarios una forma confiable de buscar y obtener las claves públcias de otras personas a quien se desee escribir (este paso no es obligatorio).

Ahora que se ha generado el primer par de claves, se importará la clave pública de alguien más (generalmente un archivo .ASC), para poder escribirle mensajes cifrados. La clave tendrá la siguiente forma:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.17 (MingW32)

mQENBE/FhJ8BCADGhV//J7rdAKow2YlX2SwK5WtouAKnSncsw0gUc59zfMau95xA
dCR/0zhZKUIVA9mvRthJ8YLnFQvaPyoiWq/rZJXRgA3ywA5Bi8aj/TJhHlTRRVIm
llPMmaiKIrCJSG3oC7EXcGHK/ErfgnxIz/4ZGH4SEX9b7ERcjd5HVNgMizeKwNmJ
ml5mUeKDd47H3uTeHkV9Ii5m7T2YHCklgtXtfPV0iIGAI48l3i3CUKiUYdOr96SM
6hglvSI3zOLNOHBDWHO0eRN9g7WDyX2o3GhlXK8B9m631hcyPieqZ7sIKy8O1EYR
==== ===== ==== ===== ==== ===== ==== ===== ==== ===== ==== ====
1vPl3falThGV9EuQ3LifqXOg9BjyitYB09O+ARckzNd81j5kS9HFGJh3PaAbhHkn
IUrCK46Rjz76zOkuunbInkc6Pbg4nHjl/wIHSFQXs7I+4khDJtBh0yFW5rV7yFIG
v8zHSuZJqQ0FpwSJ19gBoBOtAVMKdJYvJRaw+JZcf2xqcYPOZIa/iCSe3LSVnIMV
CXA28ZKQB10tZTm0y1V8fXXLuJd24+bN9hFr3fP1dj/w21EPQP1bCMGtNKCJ1DwR
KTxdheirEBmS/0LO5nS561Y2UMQGhiK3Iku3RVCm7+qZLthAf7Q=
=na8+
-----END PGP PUBLIC KEY BLOCK-----


Esta clave puede ser obtenida de los servidores públicos, se puede enviar por correo, se puede entregar en mano, etc. La única condición aquí es estar seguro que la clave pública utilizada es de quien dice ser. Por ejemplo mi clave pública puede ser descargada desde aquí. Si ya tiene otras claves públicas, las mismas pueden importarse y ser utilizadas de la misma manera.

Si se desea utilizar GPG para Mac o para Linux, el procedimiento no varía demasiado y puede verificarse aquí. Una de las aplicaciones con entorno visual que se puede utilizar en Mac OS X es GPGTools y para Linux se puede seguir el tutorial publicado por Genbetadev.


Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Esta bien. Pero y para Iphone, Blackberry y Android?

    ResponderBorrar
  2. J03h,

    Puedes usar (ipgmail) http://ipgmail.com/ para iPhone y APG (https://play.google.com/store/apps/details?id=org.thialfihar.android.apg&hl=es) para Android.
    PGP también está soportado en Blackberry. Lee aquí: http://docs.blackberry.com/es-es/smartphone_users/subcategories/?userType=1&category=Security&subCategory=PGP+Support+Package+for+BlackBerry+Smartphones

    Cristian

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!