Share
Créditos de la imagen: Email Self Defense - la Fundación de Software Libre.
Después de las revelaciones de Snowden en 2013, comencé a buscar mejorar la privacidad de mis comunicaciones por correo electrónico. Inicialmente, exploré la instalación de mi propio servidor de correo electrónico privado (Tuts +). En última instancia, aprendí que proteger su servidor de correo electrónico es difícil y es fundamental, por ahora, centrarse en el cifrado por mensaje.
Este es el primer tutorial de una serie en la que me centraré en cifrar su correo electrónico. En este tutorial, presentaré los conceptos generales de cifrado y cómo se pueden utilizar para proteger y verificar nuestros correos electrónicos. En el segundo tutorial, lo guiaré a través de la instalación del software de cifrado en su computadora y comenzar a enviar sus primeros mensajes..
También exploraremos el cifrado del correo electrónico basado en el navegador y el fortalecimiento de la "web de confianza", y luego cambiaremos un poco los temas para cifrar sus actividades de Internet con el uso de una VPN. Finalmente, como parte de la serie sobre la gestión de sus activos digitales después de su muerte, utilizaremos lo que hemos aprendido para crear un caché seguro de información importante para sus descendientes en caso de emergencia..
En esta serie, me referiré repetidamente a un gran recurso creado por Electronic Frontier Foundation (EFF) llamado La Guía de autodefensa de vigilancia. También es posible que desee leer uno de sus explicadores, Introducción a la criptografía de clave pública y PGP, que se relaciona con este tutorial particular paralelo. He tratado de hacer este tutorial un poco más fácil de leer.
Francamente, la arquitectura de nuestro sistema de correo electrónico global no está diseñada para la privacidad o la autenticación. De hecho, yo diría que está fundamentalmente roto en formas que necesitamos revisar para la era moderna de las comunicaciones digitales. Hasta entonces, la mejor manera de proteger nuestra privacidad y autenticar nuestras comunicaciones es Pretty Good Privacy, también conocida como PGP.
El activista y experto en tecnología Phil Zimmerman inventó el PGP en 1991. El gobierno de los Estados Unidos lo persiguió por su trabajo, y vale la pena leer sobre su trabajo y la historia..
En este tutorial, explicaré los conceptos básicos de PGP y cómo puede usarlo para garantizar la confidencialidad de sus comunicaciones en una sociedad de vigilancia y también cómo autenticar la identidad de las personas con las que se comunica..
Tenga en cuenta que participo en las discusiones a continuación. Si tiene alguna pregunta o sugerencia sobre un tema, por favor envíe un comentario a continuación. También puedes seguirme en Twitter @reifman o enviarme un correo electrónico directamente.
PGP es un sistema de cifrado que funciona con un par de claves que funcionan de manera simétrica. Un par de claves se conoce como clave privada y clave pública. Las personas deben mantener su clave privada segura y protegida en todo momento, no compartida con nadie. Sin embargo, pueden compartir su clave pública en intercambios de claves públicas de buena reputación y en persona.
Normalmente, los usuarios de PGP instalan algún tipo de software comercial o de código abierto compatible con el estándar OpenPGP. GnuPG es una implementación común de OpenPGP. Algunas de las imágenes que estoy usando en el tutorial son de la infografía de autodefensa de correo electrónico GnuPG de la Free Software Foundation.
Puede utilizar su software PGP para enviar mensajes cifrados. Su software cifrará el mensaje saliente con la clave pública de su destinatario.
El mensaje en sí mismo rebotará en Internet como una tontería, indescifrable para cualquiera que no tenga la clave privada del destinatario..
Cualquier autoridad de vigilancia que intercepte el mensaje no podrá descifrar su contenido..
Cuando su destinatario reciba el mensaje, ellos usarán su software PGP con su clave privada y su clave pública para descifrar el mensaje..
Si permite que su clave privada caiga en manos equivocadas, otras personas podrán hacerse pasar por usted enviándole mensajes cifrados en su nombre. También podrán leer los mensajes confidenciales que se le envíen con cifrado..
Tu clave privada podría ser robada sin que te des cuenta. Por ejemplo, si se coloca malware en su computadora, los delincuentes o espías del gobierno podrían obtenerlo de manera ilícita. Nunca lo sabrías.
Es muy importante proteger su clave privada con una contraseña increíblemente fuerte. Cuando Edward Snowden escribe su contraseña debajo de una manta en Citizenfour, está protegiendo su contraseña de clave privada de una posible videovigilancia..
Si le roban su clave privada, tal vez almacenada en una computadora portátil o unidad de disco, su contraseña hará que los perpetradores no puedan acceder a ella. Pero a la larga, podrán acceder a ella..
Si alguna vez descubre que su clave privada ha sido comprometida, puede notificar a otros para preservar la confianza de la web, que veremos más adelante..
PGP no cifrará la línea de asunto o la línea de dirección To: de mensajes cifrados, a veces se llama el sobre del mensaje. Por lo tanto, PGP no ocultará a quién conoces a menos que tenga una forma de intercambiar claves públicas anónimas con personas que usan direcciones de correo electrónico anónimas que solo acceden a su correo electrónico utilizando Tor para disfrazar su dirección IP.
Las firmas digitales pueden autenticar que un mensaje fue enviado por la persona que tiene la clave privada del remitente y verificar que no se haya alterado el mensaje..
Por lo general, esto se hace generando un hash criptográfico del mensaje original y luego cifrando el hash con la clave privada del remitente (lo contrario de lo que se hace para cifrar el cuerpo del mensaje). Esto se llama firmar el mensaje.. La imagen de abajo es de Wikipedia.
Incluso los cambios mínimos en el mensaje alteran radicalmente el hash.
Cuando el destinatario recibe el mensaje, descifra el hash con la clave pública del remitente y verifica el resultado. Si el hash es correcto, prueba que la persona que tiene la clave privada del remitente envió el mensaje. Si el hash es incorrecto, entonces el mensaje ha sido manipulado o no fue enviado por el presunto remitente.
Su capacidad para confiar en PGP se basa en la confiabilidad de la clave pública que recibió del remitente. Por ejemplo, si le envié un correo electrónico con mi clave pública, y la NSA interceptó el mensaje y lo reemplazó con su clave pública, podrían comenzar a enviarle mensajes cifrados que usted cree que son de mi parte. O, si ha estado intercambiando mensajes cifrados con su amigo y su clave privada ha sido comprometida, otras personas podrían estar leyendo sus mensajes privados..
Esto podría ser muy significativo si eres un espía o un activista..
La confiabilidad de las claves es conocida como la Web de Confianza..
Si lees sobre PGP, verás las "partes clave" mitológicas mencionadas (probablemente organizadas por Jake Applebaum). Probablemente nunca serás invitado a uno. (De hecho, me he encontrado con Jake un par de veces, pero no soy lo suficientemente bueno como para ser invitado a sus fiestas clave).
La mayoría de nosotros, las personas pequeñas, usamos servidores clave para intercambiar nuestras claves. Los usuarios en los que confiamos pueden firmar digitalmente las claves públicas de otras personas a las que deseamos enviar mensajes, lo que nos permite tener cierta certeza de la validez de claves públicas específicas.
En última instancia, la única forma de estar seguro de tener la clave pública real de alguien es intercambiarla con ellos personalmente..
Sin embargo, hay algunos nuevos servicios interesantes que intentan mejorar la red de confianza, que revisaré en los próximos episodios..
Espero que te sientas inspirado para asegurar tu correo electrónico. En el próximo tutorial, lo guiaré a través de la instalación del software de encriptación en su computadora, creando su primer par de claves y comenzando a enviar sus primeros mensajes seguros..
Por favor, siéntase libre de publicar sus preguntas y comentarios a continuación. También puedes contactarme en Twitter @reifman o enviarme un correo electrónico directamente. Puedes encontrar mis otros tutoriales navegando en la página de mi instructor Tuts +.
Accentsconagua