Esta web utiliza cookies, puedes ver nuestra Aviso sobre política de cookies Si continuas navegando estás aceptándola
Política de cookies +
Mostrando entradas con la etiqueta openpgp. Mostrar todas las entradas
Mostrando entradas con la etiqueta openpgp. Mostrar todas las entradas

Correo Electronico Seguro


Desde que proyectos de espionaje y pinchazos como Echelon revelado por Winslow Peck, ó Prisma y X-KeyScore revelados por Edward Snowden, descrubrieron las falencias en las medios de transmisión, y que la intercepción de comunicaciones y datos se da muy a menudo, son objetivos de varias personas, empresas e inclusive gobiernos.
Constantemente la búsqueda de la privacidad ha movido grandes investigaciones, y grupos que colaboraron cambiando la manera de trabajar en el envío de mensajes, por tanto se amplió las exigencias de los usuarios finales en la tendencia de asegurar la información que cada quien maneja.
Es así que en busca de ese objetivo, en una de las tantas formas de envío de información como es el correo electrónico. 1 2
QUE ES EL CORREO ELECTRONICO SEGURO
El correo electrónico seguro busca otorgarle cierta seguridad al envío de mensajes entre direcciones de correo, a pesar que llegar a un 100% seguro es algo efímero, lo que se busca es proteger a tal grado un mensaje que sea muy complicado descifrarlo.
Para esto existen formas de garantizar la privacidad en el uso de correo electrónico, y actualmente el más difundido es la encriptación mediante algoritmos de clave asimétrica o clave pública, tanto para correos corporativos y servicios de correo electrónico en línea. 3
Si se opta por un servicio online de correo, al no existir en ningún país una ley que exija a una empresa, a no revisar los datos de la cuenta, solo queda escoger la que ofrezca mayor confiabilidad, que en su acuerdo asegure y garantice su privacidad, y por su puesto decidamos confiar en ella.
Servicios de correo como Hotmail, GMAIL, Yahoo encriptan el envío de correos electrónicos garantizan hasta ese punto la privacidad; pero organizaciones de seguridad nacional como la NSA obligan para entregar esa información, eliminando tal privacidad.
Lavabit, Silent Circle, Kim Dotcom empresas que dan servicios de correo electrónico, tuvieron que cerrar para no incumplir su acuerdo de confidencialidad por presiones de la NSA; Kim Dotcom cambiará sus servidores a países donde estén libres de esas exigencias. Muchos otros servicios ya nacen en países lejos de las alianzas que exigen mostrar dicha información (Estados Unidos, Reino Unido, Australia, Nueva Zelanda y Canadá u otros ocultos aliados). 4 8
LA PLATAFORMA S/MIME
S/MIME significa Extensiones de Correo de Internet de Propósitos Múltiples / Seguro, es un estándar de clave pública que firma cada correo electrónico, está basada actualmente en el stándard  de criptografía de clave pública # 7, establecida en la norma RFC2315 y el estándar X.509 v3 para definir el formato de los certificados.
Los objetivos principales de la plataforma son de garantizar los principios de la seguridad como son: Autenticación, Integridad y No repudio (mediante el uso de firma digital) y Privacidad y seguridad de los datos (mediante el uso de cifrado).
Para que un correo electrónico sea considerado seguro, consideraciones importantes relacionadas con los principios de la seguridad, son que, el correo provenga realmente de quien dice ser, que solo sea abierta por el destinatario a quien estaba dirigido originalmente el mensaje, y que el mensaje llegue completo y sin ser modificado por otras personas.
S/MIME especifica el tipo application/pkcs7-mime (tipo smime "enveloped-data") para envoltura de datos (cifrado): la entidad MIME completa a ser envuelta se cifra y se empaca en un objeto que luego se inserta en una entidad MIME application/pkcs7-mime.
La plataforma tiene dos versiones, la primera versión fue creada por un consorcio privado y que tropezó con el problema que no se reconoció como un estándar, es así que surge la segunda versión liberada en el año 1999, y ésta tiene implementaciones en software privativo como en software libre y definida como estándar sirve de punto de trabajo para otros proyectos. 5  6
DIFERENCIAS ENTRE PGP Y PEM
PGP(Pretty Good Privacy) creada por Phil Zimmerman en 1991, su objetivo principal es proteger la información mediante el uso de resúmenes hash, compresión de datos, criptografía de clave simétrica y de la criptografía de clave pública, éste estándar es el más extendido y aunque en la actualidad esta tecnología es propiedad de Symantec, existen versiones libres como gnuPG.
Este estándar maneja los anillos ó redes de confianza (WOT) los cuales tienen la idea que cualquier integrante del anillo sea designado como introductor de confianza, todos podrán escoger quien es su introductor, y distribuirán además su clave y una colección de firmas certificadas por otras personas. Esto llevará a la aparición (espontánea) de un anillo de confianza descentralizado y resistente a los fallos para todas las claves públicas.
PEM(Privacy Enhanced Mail) es un estándar competidor de PGP pero que no fue tan utilizado como PGP, al ser poco utilizado es muy poca la biografía al respecto, al igual que PGP utiliza la criptografía asimétrica para la firma de mensajes y la simétrica para la encriptación de los mismos.
Los problemas de PEM, fue que el estándar dependía de la implementación previa de una jerarquía de claves públicas de infraestructura (PKI) con una sola raíz. Hecho que no hizo posible su implementación por su alto costo, y la significación legal por depender de una sola raíz.
Sugirió además el uso de la plataforma MIME y MOSS los cuales no tuvieron gran aceptación, dando mayor apoyo al estándar S/MIME parte de PGP.
PEM se basa en el uso de DEKS e IKS, el primero es utilizado para verificar la integridad de mensaje en el emisor y el receptor se genera un DEK para cada mensaje transmitido, y el segundo son las claves que se intercambian para poder descifrar los mensajes enviados, en caso de usarse clave pública ó simétrica ésta variará.

ESTADO ACTUAL DE PGP
La tecnología inicial PGP creada por Zimmerman es propiedad de Symantec, a partir de esta adquisición, software en especial empresarial por pago fue desarrollado y actualmente en oferta; Pero otros desarrollos se hicieron en este sentido y están disponibles distintos programas para varias plataformas, por ejemplo GnuPG la cual es código abierto y está disponible para cualquiera.
Hay una gran variedad de aplicaciones web y programas de Escritorio o móviles que utilizan la tecnología PGP para cifrar comunicaciones y archivos. Entre la gran variedad las más conocidas son: 7
PGP Desktop (ahora Symantec Encryption): El primer programa para usar PGP. Tras la adquisición de PGP por Symantec, este programa desapareció, dando paso a una serie de aplicaciones variadas de pago, enfocadas sobre todo a la empresa, y que están enfocadas a distintas posibilidades de PGP, como cifrado de correos electrónicos, cifrado de datos en redes locales o cifrado de discos duros locales.
GnuPG o GPG: Paralelamente al desarrollo de PGP, el mundo open source decidió crear su alternativa libre y gratuita, GnuPG (Gnu Privacy Guard). Esta herramienta, disponible para varias plataformas, incluyendo OS X a través de GPG Suite. Aunque por defecto funciona desde línea de comandos, en su página oficial encontrarás programas con entorno gráfico para usar GPG, acrónimo de GnuPG.
GPGshell: Uno de los programas más populares que utiliza GnuPG para cifrar archivos. Su aspecto es muy simple pero ofrece todas las opciones de GPG pero con menús, ventanas y sin tener que abrir la línea de comandos.
Enigmail: Una extensión para Thunderbird y Seamonkey que permite cifrar mensajes de correo electrónico usando el estándar OpenPGP. Se integra muy bien en estos gestores de correo y permite crear claves distintas por cada cuenta de usuario, entre otras opciones.
GNUPGK: Otro programa que se basa en GnuPG para cifrar y descifrar toda clase de archivos. Entre otras cosas, ofrece soporte para PGP, y además se integra en el menú contextual de Windows para ejecutar las acciones más sencillas directamente desde el botón derecho del ratón.
COMO FUNCIONA PGP
El proceso de funcionamiento de PGP utiliza de criptografía simétrica y criptografía asimétrica, este criptosistema hibrido, permite aprovechar lo mejor de cada uno: El cifrado simétrico es más rápido que el asimétrico o de clave pública, mientras que éste, a su vez, proporciona una solución al problema de la distribución de claves.
Al usar PGP para cifrar un texto en claro, éste es comprimido fortaleciendo la seguridad criptográfica ya que la mayoría de las técnicas de criptoanálisis buscan patrones presentes en el texto claro para romper el cifrado. La compresión reduce esos patrones en el texto claro, aumentando enormemente la resistencia al criptoanálisis.

Se crea una clave de sesión secreta que solo se empleará una vez, esta clave es un número aleatorio generado a partir de movimientos de ratón y teclas que se pulsen durante unos segundos, también puede combinarlo con la clave anteriormente generada.
Esta clave de sesión se usa con un algoritmo simétrico (IDEA, Triple DES) para cifrar el texto claro.
Una vez que los datos están cifrados, la clave de sesión se cifra con la clave pública del receptor (criptografía asimétrica) y se adjunta al texto cifrado, y el conjunto es enviado.
En el lado receptor se sigue el proceso inverso, se usa la clave privada para recuperar la clave de sesión, simétrica, que PGP luego usa para descifrar los datos.
Las claves empleadas en el cifrado asimétrica se guardan cifradas protegidas por contraseña en el disco duro. PGP guarda dichas claves en dos archivos separados llamados llaveros; uno para las claves públicas y otro para las claves privadas.
El uso de la clave pública es muy útil para el codificado de mensajes y la verificación de firmas, es crucial que una vez enviada a alguien o alguna entidad realmente 'pertenezca' al destinatario intencionado.
Los usuarios también deben asegurar por algunos medios que la llave pública en un certificado realmente pertenece a la persona/entidad que lo reclama, los productos de PGP han incluido un certificado interno 'examen del esquema' para asistir junto a este; un modelo de confianza que ha sido llamado una web de confianza (WoT). Una llave pública dada (o más expresamente, información que liga un nombre de usuario a una llave) puede ser digitalmente firmada por un usuario tercero para dar testimonio a la asociación entre alguien (realmente un nombre de usuario) y la llave.
En criptografía, esta web de confianza ó también conocida como anillo de confianza es un concepto usado en PGP, GnuPG, y otros sistemas compatibles con OpenPGP.
Se basa en que los participantes del anillo firman entre sí sus claves públicas con sus llaves privadas, certificando de esta manera que la llave pública pertenece a la persona física a la que se atribuye.
Con el paso del tiempo, acumulará claves de otras personas que podrá designar como introductores de confianza. Todos los demás elegirán sus propios introductores de confianza. Y todos gradualmente acumularán y distribuirán junto con su clave una colección de firmas certificadas por otras personas, en la expectativa de que quien quiera que la reciba confiará por lo menos en una o dos de las firmas. Esto llevará a la aparición (espontánea) de un anillo de confianza descentralizado y resistente a los fallos para todas las claves públicas.
Los participantes en un anillo de confianza deben firmar entre sí sus claves públicas, certificando que avalan la correspondencia entre el nombre atribuido a la clave y la clave en sí misma. Esto sucede a menudo en fiestas conocidas como fiestas de firmado de claves (key signing parties, en inglés).
De este modo se implementa un modelo de confianza descentralizado que contrasta con el modelo centralizado basado en PKI (que sólo considera certificados firmados por autoridades certificadoras). Existen multitud de anillos de confianza, y un usuario puede pertenecer a cuántos de ellos desee. 9 10 11 12
NUEVAS TENDENCIAS EN CORREO ELECTRONICO SEGURO
Mejorar la seguridad en el envio y recepción de datos es una tarea de nunca acabar, a pesar de tecnologías para el correo seguro, este trabajo se complementa con muchas otras soluciones como soluciones en hardware, software y bastante capacitación al usuario final.
Como ejemplo de una solución en hardware está el Sophos Email Appliance, éste aporta a la seguridad de correo mediante la encriptación de mensajes, filtros, control y gestión sobre virus y SPAM.
Servicios Gestionados de Seguridad (MSSP) son servicios contratados a proveedores de servicios externos que permiten a las organizaciones mantener un alto nivel de seguridad y al mismo tiempo mejorar la eficiencia de negocio y minimizar los costes. Realizan bloqueo de virus, bloqueo de spam, detección de intrusos, firewalls, la gestión de redes privadas virtuales (VPN) y también la gestión de las modificaciones y actualizaciones de los sistemas.
Security as Service (Seguridad en la nube) son servicios de seguridad basados en la nube, para hacer frente a la falta de personal o habilidades. Se encargan de asegurar el correo electrónico seguro, gateways web, administración de identidades y accesos (Identity and Access Management – IAM) y evaluación en remoto de la vulnerabilidad, tendrán una demanda creciente.
Capacitación al usuario final y a CISO de empresas es muy importante, la vulnerabilidad principal del correo electrónico sigue siendo el usuario y sin constante y adecuada capacitación los riesgos seguirán presentes en toda empresa.
No hay comentarios :
Suscribirse a: Entradas ( Atom )