En 2017 publiqué un pequeño libro sobre ciberseguridad (Amazon; Origin Shop) bajo la convicción de que es imprescindible que todos, seamos técnicos o no, conozcamos los conceptos básicos para comprender la tecnología en la que se basa la sociedad actual. Este artículo intenta explicar el uso de criptografía con correo electrónico. Recomiendo lectura previa del artículo sobre criptografía.
Parte 1: Criptografía
Si tienen comentarios o dudas, aquí estamos para ayudar.
Cifrado y correo electrónico
Hemos visto el cifrado simétrico o de clave única (más intuitiva) y el de clave pública o cifrado asimétrico (un poco más complicada de entender). No hay que pensar que una ha sustituido a la otra. De hecho, el uso más habitual es el combinado, o cifrado híbrido. En él, emisor y receptor, que disponen de un par de claves pública-privada cada uno, establecen una comunicación segura por cifrado asimétrico que utilizan para intercambiarse de modo seguro una tercera clave que conocen ambos, y que solamente utilizarán inmediatamente. A partir de ese momento, establecen otra comunicación en la que cifran sus respectivos mensajes usando esa tercera clave. ¿Por qué usar este esquema complicado? Por un tema eminentemente práctico: los cálculos matemáticos utilizados por la criptografía asimétrica son mucho más complicados, y por lo tanto mucho más tardados, que los utilizados por la criptografía de clave única. Por eso emisor y receptor usan la primera solamente para compartir un mensaje corto (la clave única a utilizar después) para pasar a transmitirse mensajes mucho más largos usando cifrado simétrico que usa esa clave única.
Usted usa este sistema de cifrado híbrido cada vez que navega por la Web. ¿Recuerda el “candadito” que sale en la barra del navegador cada vez que accede a una página Web que tiene prefijo https en su dirección? Ese candado indica que su ordenador y el servidor Web establecieron un canal de comunicación seguro mediante cifrado asimétrico, que a través de él se intercambiaron una clave de uso único para establecer una comunicación con cifrado simétrico, y que dicha comunicación segura con cifrado simétrico ya se estableció. Puede usted navegar por el sitio con la certeza de que nadie va a interceptar los datos transmitidos y recibidos.
Cuando hablamos de contraseñas mencionamos las funciones de “hash” como un mecanismo para que los sistemas de autenticación no tuvieran que almacenar las contraseñas de sus usuarios. En general, estas funciones se usan para garantizar la autenticidad de unidades de información (por ejemplo, contraseñas, pero también archivos, fotos, etc.). Se puede decir que la función de “hash” es capaz de generar un identificador único para cada unidad de información. Ya vimos cómo se usa con contraseñas. Veamos ahora cómo se aplicaría esto a un archivo:
Quiero enviar un documento a alguien y quiero que esa persona pueda verificar que el archivo no ha sido manipulado en tránsito. Hago lo siguiente: primero aplico una función de “hash” al archivo. A mi contacto le envío dos cosas: el documento en sí y el resultado de aplicarle la función de “hash”. Mi contacto recibe ambos y verifica la autenticidad del documento de la siguiente manera: le aplica la función de “hash” al archivo recibido y compara el resultado con el “hash” que yo le he enviado. Si ambos coinciden, significa que la copia que yo envié y la que ella ha recibido son idénticas. Si no coinciden, el documento se ha deteriorado en tránsito, o alguien lo ha manipulado.
Los algoritmos de “hash” más comunes son:
MD5: el más utilizado en la actualidad, pero con ciertos problemas. Se ha encontrado que es relativamente fácil encontrar dos unidades de información diferentes que den el mismo resultado cuando se les aplica MD5.
SHA-1: Primer intento de corregir los problemas de MD5, con poco éxito. No obstante, ha sido seguro durante 20 años. Solo en febrero de 2017 científicos de Google han conseguido hallar una vulnerabilidad [8].
SHA-2: El mejor algoritmo “hash” de la actualidad. Su uso es un requerimiento de seguridad para muchas agencias gubernamentales, como por ejemplo las de Estados Unidos.
En la práctica:
El cifrado y la firma de mensajes se suelen utilizar con el correo electrónico. El problema para el público en general que comienza a concienciarse en temas de seguridad y privacidad de la comunicación no es tanto la dificultad en el uso de herramientas que permitan realizar estas operaciones, sino encontrar entre sus contactos habituales alguien con inquietudes similares que esté dispuesto a cifrar sus mensajes. Se dice que la encriptación del correo electrónico no será realidad hasta que la industria de software la introduzca en sus productos comerciales sin que el usuario tenga que hacer nada para utilizarla.
Dejaremos la resolución del problema de encontrar un interlocutor dispuesto a probar el cifrado de su correo al lector. Pasaremos a describir las herramientas más habituales para ello.
Si usted siempre usa el correo electrónico a través del navegador (lo que se viene a conocer como “correo Web”): el mejor producto es Mailvelope (https://www.mailvelope.com/). Es una extensión para los navegadores Chrome y Firefox que funciona con Gmail, Hotmail/Outlook y Yahoo! Mail. La primera vez que lo utilice, él mismo se encargará de generar su par de claves pública/privada. A partir de entonces utilizará su correo de la forma habitual, solamente verá algunas opciones más que le permitirán firmar sus mensajes, añadir sus claves públicas a los contactos de correo que dispongan de ellas, y cifrar los mensajes que envíe a contactos con clave pública conocida. Esta es sin lugar a dudas la opción preferida para iniciarse en el mundo del correo seguro.
Si usted usa un cliente de correo electrónico en su ordenador, entonces todo es un poco más complicado. En primer lugar se ha de instalar las herramientas que se encargan de la criptografía en sí. Son implementaciones diferentes de GNU Privacy Guard, o GPG:
· GPG4Win (http://www.gpg4win.org/) si es usuario de Windows.
· GPGTools (https://gpgtools.org/) si usted usa Mac.
· Si usa Linux, ya lo tiene preinstalado.
En segundo lugar, ha de instalar una extensión a su cliente de correo electrónico que le permita utilizar GPG:
· GPGMail (parte de GPGTools) para Mac.
· Enigmail (https://www.enigmail.net) para el cliente de correo Thunderbird (funciona con Windows y con Linux).
Con todo esto ya configurado, ahora debería crear su par de claves pública/privada, distribuir a sus contactos su clave pública (enviándosela por correo convencional, publicándola en la red social de su preferencia (por ejemplo en su perfil de Facebook o LinkedIn, o publicándola en un servidor gestor de claves públicas PGP como el de RedIris en España: http://www.rediris.es/keyserver/), importar el par de claves en su cliente de correo electrónico, y comenzar a usarlo.
