Desde que proyectos de
espionaje y pinchazos como Echelon revelado por Winslow Peck, ó Prisma y
X-KeyScore revelados por Edward Snowden, descrubrieron las falencias en las
medios de transmisión, y que la intercepción de comunicaciones y datos se da
muy a menudo, son objetivos de varias personas, empresas e inclusive gobiernos.
Constantemente la
búsqueda de la privacidad ha movido grandes investigaciones, y grupos que
colaboraron cambiando la manera de trabajar en el envío de mensajes, por tanto se
amplió las exigencias de los usuarios finales en la tendencia de asegurar la
información que cada quien maneja.
Es así que en busca de
ese objetivo, en una de las tantas formas de envío de información como es el
correo electrónico. 1 2
QUE
ES EL CORREO ELECTRONICO SEGURO
El correo electrónico
seguro busca otorgarle cierta seguridad al envío de mensajes entre direcciones
de correo, a pesar que llegar a un 100% seguro es algo efímero, lo que se busca
es proteger a tal grado un mensaje que sea muy complicado descifrarlo.
Para esto existen
formas de garantizar la privacidad en el uso de correo electrónico, y
actualmente el más difundido es la encriptación mediante algoritmos de clave
asimétrica o clave pública, tanto para correos corporativos y servicios de
correo electrónico en línea. 3
Si se opta por un
servicio online de correo, al no existir en ningún país una ley que exija a una
empresa, a no revisar los datos de la cuenta, solo queda escoger la que ofrezca
mayor confiabilidad, que en su acuerdo asegure y garantice su privacidad, y por
su puesto decidamos confiar en ella.
Servicios de correo
como Hotmail, GMAIL, Yahoo encriptan el envío de correos electrónicos
garantizan hasta ese punto la privacidad; pero organizaciones de seguridad
nacional como la NSA obligan para entregar esa información, eliminando tal
privacidad.
Lavabit, Silent Circle,
Kim Dotcom empresas que dan servicios de correo electrónico, tuvieron que
cerrar para no incumplir su acuerdo de confidencialidad por presiones de la NSA;
Kim Dotcom cambiará sus servidores a países donde estén libres de esas
exigencias. Muchos otros servicios ya nacen en países lejos de las alianzas que
exigen mostrar dicha información (Estados Unidos, Reino Unido, Australia, Nueva
Zelanda y Canadá u otros ocultos aliados). 4
8
LA
PLATAFORMA S/MIME
S/MIME significa Extensiones
de Correo de Internet de Propósitos Múltiples / Seguro, es un estándar
de clave pública que firma cada correo electrónico, está basada actualmente en
el stándard de criptografía de clave
pública # 7, establecida en la norma RFC2315 y el estándar X.509 v3 para
definir el formato de los certificados.
Los objetivos principales de la
plataforma son de garantizar los principios de la seguridad como son: Autenticación,
Integridad y No repudio (mediante el uso de firma digital) y Privacidad y
seguridad de los datos (mediante el uso de cifrado).
Para que un correo
electrónico sea considerado seguro, consideraciones importantes relacionadas
con los principios de la seguridad, son que, el correo provenga realmente de
quien dice ser, que solo sea abierta por el destinatario a quien estaba
dirigido originalmente el mensaje, y que el mensaje llegue completo y sin ser
modificado por otras personas.
S/MIME especifica el
tipo application/pkcs7-mime (tipo smime "enveloped-data") para
envoltura de datos (cifrado): la entidad MIME completa a ser envuelta se cifra
y se empaca en un objeto que luego se inserta en una entidad MIME
application/pkcs7-mime.
La plataforma tiene dos
versiones, la primera versión fue creada por un consorcio privado y que tropezó
con el problema que no se reconoció como un estándar, es así que surge la
segunda versión liberada en el año 1999, y ésta tiene implementaciones en
software privativo como en software libre y definida como estándar sirve de
punto de trabajo para otros proyectos. 5 6
DIFERENCIAS
ENTRE PGP Y PEM
PGP(Pretty Good
Privacy) creada por Phil Zimmerman en 1991, su objetivo principal es proteger
la información mediante el uso de resúmenes hash, compresión de datos,
criptografía de clave simétrica y de la criptografía de clave pública, éste
estándar es el más extendido y aunque en la actualidad esta tecnología es
propiedad de Symantec, existen versiones libres como gnuPG.
Este estándar maneja
los anillos ó redes de confianza (WOT) los cuales tienen la idea que cualquier
integrante del anillo sea designado como introductor de confianza, todos podrán
escoger quien es su introductor, y distribuirán además su clave y una colección
de firmas certificadas por otras personas. Esto llevará a la aparición
(espontánea) de un anillo de confianza descentralizado y resistente a los
fallos para todas las claves públicas.
PEM(Privacy Enhanced
Mail) es un estándar competidor de PGP pero que no fue tan utilizado como PGP, al
ser poco utilizado es muy poca la biografía al respecto, al igual que PGP
utiliza la criptografía asimétrica para la firma de mensajes y la simétrica
para la encriptación de los mismos.
Los problemas de PEM, fue
que el estándar dependía de la implementación previa de una jerarquía de claves
públicas de infraestructura (PKI) con una sola raíz. Hecho que no hizo posible
su implementación por su alto costo, y la significación legal por depender de
una sola raíz.
Sugirió además el uso
de la plataforma MIME y MOSS los cuales no tuvieron gran aceptación, dando
mayor apoyo al estándar S/MIME parte de PGP.
PEM se basa en el uso
de DEKS e IKS, el primero es utilizado para verificar la integridad de mensaje
en el emisor y el receptor se genera un DEK
para cada mensaje transmitido, y el segundo son las claves que se
intercambian para poder descifrar los mensajes enviados, en caso de usarse
clave pública ó simétrica ésta variará.
ESTADO
ACTUAL DE PGP
La tecnología inicial
PGP creada por Zimmerman es propiedad de Symantec, a partir de esta adquisición,
software en especial empresarial por pago fue desarrollado y actualmente en
oferta; Pero otros desarrollos se hicieron en este sentido y están disponibles
distintos programas para varias plataformas, por ejemplo GnuPG la cual es código
abierto y está disponible para cualquiera.
Hay una gran variedad de
aplicaciones web y programas de Escritorio o móviles que utilizan la tecnología
PGP para cifrar comunicaciones y archivos. Entre la gran variedad las más
conocidas son: 7
PGP
Desktop (ahora Symantec Encryption): El primer programa
para usar PGP. Tras la adquisición de PGP por Symantec, este programa
desapareció, dando paso a una serie de aplicaciones variadas de pago, enfocadas
sobre todo a la empresa, y que están enfocadas a distintas posibilidades de
PGP, como cifrado de correos electrónicos, cifrado de datos en redes locales o
cifrado de discos duros locales.
GnuPG
o GPG: Paralelamente al desarrollo de PGP, el mundo open
source decidió crear su alternativa libre y gratuita, GnuPG (Gnu Privacy
Guard). Esta herramienta, disponible para varias plataformas, incluyendo OS X a
través de GPG Suite. Aunque por defecto funciona desde línea de comandos, en su
página oficial encontrarás programas con entorno gráfico para usar GPG,
acrónimo de GnuPG.
GPGshell:
Uno de los programas más populares que utiliza GnuPG para cifrar archivos. Su
aspecto es muy simple pero ofrece todas las opciones de GPG pero con menús,
ventanas y sin tener que abrir la línea de comandos.
Enigmail:
Una extensión para Thunderbird y Seamonkey que permite cifrar mensajes de
correo electrónico usando el estándar OpenPGP. Se integra muy bien en estos
gestores de correo y permite crear claves distintas por cada cuenta de usuario,
entre otras opciones.
GNUPGK:
Otro programa que se basa en GnuPG para cifrar y descifrar toda clase de
archivos. Entre otras cosas, ofrece soporte para PGP, y además se integra en el
menú contextual de Windows para ejecutar las acciones más sencillas directamente
desde el botón derecho del ratón.
COMO
FUNCIONA PGP
El proceso de
funcionamiento de PGP utiliza de criptografía simétrica y criptografía
asimétrica, este criptosistema hibrido, permite aprovechar lo mejor de cada
uno: El cifrado simétrico es más rápido que el asimétrico o de clave pública,
mientras que éste, a su vez, proporciona una solución al problema de la
distribución de claves.
Al usar PGP para cifrar
un texto en claro, éste es comprimido fortaleciendo la seguridad criptográfica
ya que la mayoría de las técnicas de criptoanálisis buscan patrones presentes
en el texto claro para romper el cifrado. La compresión reduce esos patrones en
el texto claro, aumentando enormemente la resistencia al criptoanálisis.
Se crea una clave de
sesión secreta que solo se empleará una vez, esta clave es un número aleatorio
generado a partir de movimientos de ratón y teclas que se pulsen durante unos
segundos, también puede combinarlo con la clave anteriormente generada.
Esta clave de sesión se
usa con un algoritmo simétrico (IDEA, Triple DES) para cifrar el texto claro.
Una vez que los datos están
cifrados, la clave de sesión se cifra con la clave pública del receptor
(criptografía asimétrica) y se adjunta al texto cifrado, y el conjunto es
enviado.
En el lado receptor se
sigue el proceso inverso, se usa la clave privada para recuperar la clave de
sesión, simétrica, que PGP luego usa para descifrar los datos.
Las claves empleadas en
el cifrado asimétrica se guardan cifradas protegidas por contraseña en el disco
duro. PGP guarda dichas claves en dos archivos separados llamados llaveros; uno
para las claves públicas y otro para las claves privadas.
El uso de la clave
pública es muy útil para el codificado de mensajes y la verificación de firmas,
es crucial que una vez enviada a alguien o alguna entidad realmente
'pertenezca' al destinatario intencionado.
Los usuarios también
deben asegurar por algunos medios que la llave pública en un certificado
realmente pertenece a la persona/entidad que lo reclama, los productos de PGP
han incluido un certificado interno 'examen del esquema' para asistir junto a
este; un modelo de confianza que ha sido llamado una web de confianza (WoT).
Una llave pública dada (o más expresamente, información que liga un nombre de
usuario a una llave) puede ser digitalmente firmada por un usuario tercero para
dar testimonio a la asociación entre alguien (realmente un nombre de usuario) y
la llave.
En criptografía, esta
web de confianza ó también conocida como anillo de confianza es un concepto
usado en PGP, GnuPG, y otros sistemas compatibles con OpenPGP.
Se basa en que los
participantes del anillo firman entre sí sus claves públicas con sus llaves
privadas, certificando de esta manera que la llave pública pertenece a la
persona física a la que se atribuye.
Con el paso del tiempo,
acumulará claves de otras personas que podrá designar como introductores de
confianza. Todos los demás elegirán sus propios introductores de confianza. Y
todos gradualmente acumularán y distribuirán junto con su clave una colección
de firmas certificadas por otras personas, en la expectativa de que quien
quiera que la reciba confiará por lo menos en una o dos de las firmas. Esto
llevará a la aparición (espontánea) de un anillo de confianza descentralizado y
resistente a los fallos para todas las claves públicas.
Los participantes en un
anillo de confianza deben firmar entre sí sus claves públicas, certificando que
avalan la correspondencia entre el nombre atribuido a la clave y la clave en sí
misma. Esto sucede a menudo en fiestas conocidas como fiestas de firmado de claves
(key signing parties, en inglés).
De este modo se
implementa un modelo de confianza descentralizado que contrasta con el modelo
centralizado basado en PKI (que sólo considera certificados firmados por
autoridades certificadoras). Existen multitud de anillos de confianza, y un
usuario puede pertenecer a cuántos de ellos desee. 9 10 11 12
NUEVAS
TENDENCIAS EN CORREO ELECTRONICO SEGURO
Mejorar la seguridad en
el envio y recepción de datos es una tarea de nunca acabar, a pesar de
tecnologías para el correo seguro, este trabajo se complementa con muchas otras
soluciones como soluciones en hardware, software y bastante capacitación al
usuario final.
Como ejemplo de una
solución en hardware está el Sophos Email Appliance, éste aporta a la seguridad
de correo mediante la encriptación de mensajes, filtros, control y gestión
sobre virus y SPAM.
Servicios Gestionados
de Seguridad (MSSP) son servicios contratados a proveedores de servicios
externos que permiten a las organizaciones mantener un alto nivel de seguridad
y al mismo tiempo mejorar la eficiencia de negocio y minimizar los costes. Realizan
bloqueo de virus, bloqueo de spam, detección de intrusos, firewalls, la gestión
de redes privadas virtuales (VPN) y también la gestión de las modificaciones y
actualizaciones de los sistemas.
Security as Service (Seguridad
en la nube) son servicios de seguridad basados en la nube, para hacer frente a
la falta de personal o habilidades. Se encargan de asegurar el correo
electrónico seguro, gateways web, administración de identidades y accesos
(Identity and Access Management – IAM) y evaluación en remoto de la
vulnerabilidad, tendrán una demanda creciente.
Capacitación al usuario
final y a CISO de empresas es muy importante, la vulnerabilidad principal del
correo electrónico sigue siendo el usuario y sin constante y adecuada
capacitación los riesgos seguirán presentes en toda empresa.
No hay comentarios :
Publicar un comentario