Share
Este es el siguiente tutorial de una serie que se enfoca en cifrar su correo electrónico. En el primer tutorial, presentamos los conceptos generales de cifrado y cómo se pueden utilizar para proteger y autenticar nuestros correos electrónicos. En el segundo tutorial, lo guié a través de la instalación del software de cifrado en su computadora y de comenzar a enviar sus primeros mensajes; utilizamos GPGTools para Mac OS X, una integración de GnuPG de código abierto.
En este tutorial, lo guiaré a través del uso de un nuevo servicio que fortalece Web of Trust, creando un sofisticado registro de auditoría de autenticación para la validez de las claves públicas..
Además de leer los episodios anteriores, puede consultar la Guía de autodefensa de vigilancia de Electronic Frontier Foundation y su explicador sobre la verificación clave..
En los próximos episodios, exploraremos el cifrado del correo electrónico basado en el navegador y luego cambiaremos los temas un poco para cifrar sus actividades de Internet con el uso de una VPN. Finalmente, como parte de la serie sobre la gestión de sus activos digitales después de su muerte, utilizaremos lo que hemos aprendido para crear un caché seguro de información importante para sus descendientes en caso de emergencia..
Solo un recordatorio, participo regularmente en las discusiones a continuación. Si tiene alguna pregunta o sugerencia sobre un tema, por favor envíe un comentario a continuación. También puedes seguirme en Twitter @reifman o enviarme un correo electrónico directamente.
Desde el principio, la efectividad de PGP está limitada por Web of Trust. ¿Qué tan seguro está de que la persona que le envió un mensaje realmente tiene la clave privada que la firmó? ¿O qué tan seguro está de que el mensaje que cifró con la clave pública de alguien no es realmente un impostor? Dependiendo de la importancia de la confidencialidad y la validez de sus mensajes, estas preguntas pueden significar literalmente la vida o la muerte..
Keybase es un intento de crear una red de confianza en nuestras cuentas sociales y en los sitios web que alojamos. Es un servicio gratuito creado por dos de los co-fundadores de OKCupid, Chris Coyne y Max Krohn..
La idea básica de Keybase es que si confía en que yo, Jeff Reifman, controlo mi cuenta de Twitter, mi cuenta de GitHub y mis sitios web personales y de consultoría, entonces puede confiar en la clave pública que ha sido autenticada mediante publicaciones en esas cuentas y sitios web. De hecho, si hace clic en los enlaces anteriores, son publicaciones en todos esos lugares (o entradas de DNS) que ayudan a autenticar mi clave pública alojada en Keybase.
Keybase en realidad explica su implementación de Web of Trust para cada uno. Este es un ejemplo de por qué debería confiar en mi clave pública de Keybase dado un registro TXT de DNS para mi sitio web, JeffReifman.com.
Esencialmente, usé mi clave privada para firmar mi huella digital de clave pública.
Luego, Keybase creó un hash de esta firma y me pidió que publicara un registro DNS TXT para JeffReifman.com.
Puede verificar el registro DNS con la herramienta de búsqueda de su elección.
Keybase también me pidió que twitteara un hash similar a mi cuenta de Twitter @reifman.
Si mis sitios web o mi cuenta de Twitter son pirateados o comprometidos, puedo revocar estas verificaciones a través del sitio de Keybase. Del mismo modo, otros usuarios de Keybase lo descubrirán cuando intenten cifrar mensajes para mí y notifiquen a Keybase.
Si es un informante que desea enviarme documentos confidenciales (tal vez trabaje en el Departamento de Ingresos del Estado de Washington y se sienta obligado a enviarme por correo electrónico los pagos de impuestos estatales reales de Microsoft de 1991 a 2012), podría usar Tor para crear una dirección de correo electrónico anónima. y cifre un mensaje para mí usando la clave pública validada en el perfil de Keybase para Jeff Reifman:
Por supuesto, nunca lo harías porque podría considerarse ilegal y vergonzoso para Microsoft, a menos que fueses un informante..
Por ahora, Keybase es en su mayoría solo por invitación, pero cuando se publica este episodio, es probable que esté disponible para el público. Actualmente, hay una cola de registro para la versión beta:
Una vez que se haya registrado, debe importar o generar un par de claves públicas / privadas y verificar sus cuentas sociales y sitios web.
Primero, agregamos una clave pública, así que elegí Necesito una clave publica:
Luego, Keybase usa matemáticas, matemáticas complicadas, para generarme un par de claves pública / privada:
Ver, un montón de matemáticas:
Cuando está listo, ofrece alojar su clave privada también. Dependiendo del nivel de amenaza con el que viva, puede sentirse cómodo con esto o puede exportar su clave privada a una unidad USB.
Aquí está mi perfil de Keybase ahora con mi huella digital de clave pública. Cualquier persona que desee enviarme un mensaje cifrado puede obtener mi clave pública en https://keybase.io/jeffreifman:
Pero por supuesto, tendrían pocas razones para confiar en que soy yo. Necesitamos trabajar a través de Keybase para verificar nuestra clave pública con mis cuentas sociales y sitios web.
Empecemos con mi cuenta de Twitter..
Keybase me pedirá el nombre de mi cuenta de Twitter. Soy @reifman.
Entonces, Keybase utilizará su frase de contraseña Para firmar tu identidad en Twitter:
Cuando esté listo, le pedirá que twittee este hash firmado:
Así es como se ve el tweet en tu cuenta:
Facilito que la gente encuentre mi clave pública al vincular mi perfil de base de claves en mi perfil de Twitter.
Una vez que Keybase verifica que he twitteado, muestra esta verificación en mi perfil:
Ahora, vamos a verificar mi cuenta de GitHub. Keybase le pedirá que publique un archivo como GitHub Gist:
Aquí está la prueba que te piden que publiques (la tuya sería diferente):
### Prueba de Keybase Por lo presente reclamo: * Soy newscloud en github. * Soy jeffreifman (https://keybase.io/jeffreifman) en keybase. * Tengo una clave pública cuya huella digital es 4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D Para reclamar esto, estoy firmando este objeto: "json " body ": " key ": " fingerprint " "n" ":" github "," nombre de usuario ":" newscloud "," tipo ":" paquete de mensajes de correo electrónico "," nombre de archivo de información de correo electrónico "," antecesor de correo electrónico ":" recíproceso de instalación de correo electrónico de correo electrónico ":" "" " "seqno": 3, "tag": "signature" "con la tecla [4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D] (https://keybase.io/jeffreifman), con la firma:" --- --BEGIN PGP MESSAGE ----- Versión: Keybase OpenPGP v2.0.8 Comentario: https://keybase.io/crypto yMIZAnicbZJdSBVBGIaPptax algunas de las partes de este artículo. iFJSEKEXNyIs0KjE0qV2xi6C5Geb9 nvdl5puvP26VKzai / mPa0RtrcFnE6xf7Qq68zWOjtRzx0RrOW8uVs + VNN8wSZvkt wwxyXk6giEmCKGEJMKRBgaoSQDrjJQAhU0RF11RZl3jKebhSX8Bx2DEEB9hew2dr 9qHYoLb6H758uQAggBpCUFZFDamIV2QVUJnoAFBFJwQohIiySDHgRQVBTaKAp6JM ZR1QXpMUIskYAGzHhZbjIMaarGBFEQlgMoYEKbyINBFDjKgKVQcMMMvEFcymy5iu W8zQK7DJ1Xk4u1BlaMzpwgpQYgRLQ + Rfk8nCAe2EL0QdS7DG72hhRopX3MXEMKnd Q9tUxayA4TM5L7RJLWg4dijwsqBKKi95OFbtNyxWbDiEKEsKsJeH81usyo5URUKo pDPCM8h0EQpEgDxlosYLFEKNQQSRgFQVSxISBCpipFKm27 + lMl1GAuSc91SaPs6L 7GviEjsyYJSYOBiyGFfX21MU5YqIdcVERzpT4Ip1b / w7G89vrl6MOeduzA4fe5e8 ZfvjqdSF / M7c1kPhxYXOGffO + rF5OHFSCGjDvt0 / 5idmUlon + xrWD6RUj7S1xJ0q evSgPckTn1GU3DuWsC1afzWbFTUUuWsqdhw2ZSZW9lxWdPP3y7OscPJ4493pXq27 c3zTVOjgwJKb + 5p5dfRLR87F4e93mgb9iR0DCW2z1 / I + q2nuS58qsn7lDN7y9syZ ewKg680HGiwIV3f3Pml82J9Nmp + F09 + 3ub4VVDRkpktDBSMZOUeWrvws5M + 33D4Q PZG7bu2G01lto / MX0tLqts4RvH / 6bdKZHU / v5Tdn9UUtVd0viPdfL5s5 / MZI7Wod cHVGtltLfwDbHyoj = 4Oej ----- FINALIZAR MENSAJE PGP ----- "Y finalmente, estoy demostrando la propiedad de la cuenta de Github al publicar esto como una esencia ### Mi identidad auditable públicamente: https://keybase.io/jeffreifman ### Desde la línea de comandos: Considere el [programa de línea de comandos de keybase] (https://keybase.io/docs/command_line). "Bash # búscame arriba id de keybase jeffreifman # cifrar un mensaje para mí keybase cifrar jeffreifman -m 'un mensaje secreto ...' # ... y más ... "
Cuando se verifique, mi credencial de GitHub se publicará en mi perfil de Keybase:
Ahora, vamos a verificar mi sitio web de Jeff Reifman:
Puede publicar un archivo de texto o establecer una Registro DNS TXT. Elegí este último. Keybase le pedirá su nombre de dominio:
Luego, le pedirá que publique este registro DNS TXT:
Puede llevar algunas horas propagarse y ser verificado por Keybase:
Al usar estos caminos de autenticación, las personas que encuentran mi clave pública en Keybase pueden estar relativamente seguras de que están cifrando los mensajes para el Jeff Reifman correcto, o todas sus cuentas han sido hackeadas y ni él ni nadie más lo ha notado (es poco probable).
Así es como se ve mi perfil de Keybase completamente verificado:
Keybase también facilita el envío de mensajes cifrados a otros usuarios de Keybase. Le envié una nota a Chris Coyne para hacerle saber que estaba escribiendo este tutorial..
Entro en mi frase de contraseña y haga clic Firmar y cifrar. Es fácil.
Keybase es también una sofisticada aplicación de línea de comandos. También puedes usarlo para cifrar y descifrar mensajes. De hecho, hay ventajas en hacer esto. Su cliente puede realizar verificaciones de verificación que no son tan confiables como usar el sitio web (lo cual podría verse comprometido de varias maneras sin que usted se dé cuenta).
Una vez cifrado, Keybase me proporcionará texto sin formato que puedo pegar en un correo electrónico a Chris:
Si alguien que no sea Chris lo recibe, todo lo que verán es un alboroto:
Del mismo modo, para descifrar un mensaje, puedo pegar un mensaje PGP desde cualquier lugar en Keybase, ingresar mi frase de contraseña y haga clic Descifrar:
Keybase se vuelve más útil a medida que más contactos lo usan. Afortunadamente, invitar a amigos y colegas a Keybase es fácil:
Incluso puedes reclamar invitaciones si la gente no las usa..
Keybase da un gran paso hacia adelante para facilitar el envío y la recepción de mensajes cifrados para las personas. Estoy emocionado de ver cómo el servicio continúa evolucionando..
¿Que estas esperando? Invite a algunos amigos a unirse a usted en Keybase y comience a enviar correos electrónicos de manera más segura con el cifrado. Es hora de cifrar tu email.
Por favor, siéntase libre de publicar sus preguntas y comentarios a continuación. También puedes contactarme en Twitter @reifman o enviarme un correo electrónico directamente. Puedes encontrar mis otros tutoriales navegando en la página de mi instructor Tuts +.
Accentsconagua