Encripta y firma tu correo: Thunderbird y PGP

Buenos días a todos! Hoy vuelvo para contaros cómo cifrar correos electrónicos de forma fácil y segura mediante el cliente de correo Thunderbird y OpenPGP en Windows.

Aunque las comunicaciones por correo realizadas a través de un cliente web (las páginas web de hotmail, gmail, yahoo…) están cifradas mediante el acceso web seguro HTTPS, normalmente el mensaje en sí no está cifrado. Si por algún método consiguen vulnerar este protocolo HTTPS y capturar el mensaje, podrán leerlo sin mayor problema.

El protocolo PGP (Pretty Good Privacy) se encarga de solucionar este problema. Cuando firmas un mensaje digitalmente, el mensaje contiene información que verifica tu identidad. Cuando cifras un mensaje, haces que sea ilegible para todo aquel que no tenga los medios o la llave para descifrarlo. El protocolo PGP se encarga de que tu mensaje esté firmado y cifrado, dando a la comunicación garantías en cuanto a la identidad del emisor y a la no vulneración de su contenido (que no sea interceptado ni modificado en el proceso de envío).

Para el encriptado se utiliza el sistema criptográfico asimétrico o de clave pública. Tenemos dos claves o «llaves»: una clave pública de cifrado, y una clave privada de descifrado. Cuando alguien quiere enviarte un mensaje cifrado, utilizará tu clave pública (que puedes difundir sin problemas) para cifrar el mensaje y enviártelo. Cuando lo recibas, podrás utilizar la clave privada de descifrado (que bajo ningún concepto debes compartir) para descifrar el mensaje.

El fundamento es que es prácticamente imposible descubrir la clave privada de descifrado aunque poseas la clave pública de cifrado; es decir, cualquiera puede cifrar mensajes para ti con este sistema, pero solamente tú puedes descifrarlos.

Thunderbird es un cliente de correo electrónico que nos permite recibir y enviar correos con nuestras cuentas de hotmail, gmail, yahoo y prácticamente cualquier otro proveedor. Es de código abierto y permite la instalación de extensiones que ofrecen diversas funcionalidades. En este caso, partiendo de una instalación de Thunderbird ya configurada con nuestra cuenta de correo electrónico (el proceso de instalación configuración es muy rápido y sencillo).

Cliente Thunderbird en funcionamiento (¡y un poco de publi amiga!)

Debemos instalar primero GnuPG (GNU Privacy Guard, también llamado GPG) en nuestro ordenador. Este programa es una implementación del estándar OpenPGP (PGP de código abierto), que proporciona librerías y herramientas para utilizar este protocolo. No nos entretendremos mucho aquí con explicaciones avanzadas; es tan simple como descargarlo de la página oficial y seguir los pasos de instalación.

Lo siguiente será instalar la extensión Enigmail en Thunderbird, que nos permitirá utilizar las utilidades GPG en nuestros correos. Aunque podemos descargarlo de la página oficial, es más fácil si desde el mismo Thunderbird accedemos al menú (el icono grande con tres rayas horizontales), seleccionamos la opción «Complementos» y lo buscamos en nueva pestaña que nos aparece.

Instalando Enigmail desde Thunderbird

Una vez instalado el complemento, deberemos reiniciar el programa. Cuando vuelva a iniciarse, nos aparecerá una ventana ofreciéndonos configurar Enigmail; indicaremos que queremos configurarlo ahora y, en el siguiente paso, que queremos una configuración estándar.

El siguiente paso que nos aparece es la creación de las claves de las que hablamos anteriormente. Se nos pedirá una contraseña para cifrar nuestra clave privada (valga la redundancia). Esto sirve para garantizar que eres la única persona que puede utilizar dicha clave para descifrar los mensajes que se te envíen cifrados, aunque alguien robe el archivo que contiene la clave privada.

Diálogo de la generación del par de claves

Una vez haya terminado de generarse el par de claves, se nos indica que es posible crear un certificado de revocación. Este archivo sería utilizado si por alguna razón sospechamos que nuestro par de claves ha sido comprometido y la comunicación ya no es segura, informando a nuestros contactos de dicho suceso para que no sigan utilizando la clave antigua para enviarte correos cifrados. Dado que nunca sobra un pequeño plan de contingencia para esos casos, lo generaremos también, siguiendo los pasos que se van indicando.

Tras esto, ya tendremos Enigmail perfectamente configurado y listo para funcionar.

Enviar y recibir una clave pública

Para que puedan enviarte mensajes cifrados, debes enviar primero tu clave pública. Para ello, en la ventana de creación de un nuevo mensaje, podemos acceder en la barra de menú a la entrada Enigmail, y seleccionar la opción «Adjuntar mi clave pública».
Adjuntando una clave pública a un mensaje

Una vez llega el mensaje al destinatario, solo tendrá que descargar dicha clave e importarla a su cliente de correo. En caso de Thunderbird, solo tendremos que acceder al administrador de claves (accesible desde el menú Enigmail de la barra de herramientas) e importar el archivo una vez descargado.

Enviar un correo firmado digitalmente o cifrado

Un correo firmado digitalmente garantiza al receptor del mensaje que el emisor del mismo es «quien tiene que ser». El fundamento es que el mensaje queda firmado con nuestra clave privada, a la que solamente nosotros tenemos acceso. El receptor, que posee una copia de nuestra clave pública, puede verificar con la misma que la firma que contiene el mensaje se corresponde con nuestra clave privada y por tanto el emisor del mensaje es verídico.

Además, podemos cifrar el mensaje con la clave pública del destinatario, con el objetivo ya descrito anteriormente de proteger el contenido del mensaje, dado que solamente el destinatario podrá leerlo. En caso de no tener guardada la clave pública del destinatario, se nos pedirá que la importemos (a veces se nos pedirá elegirla aunque esté ya importada). Tanto el firmado como el cifrado se pueden realizar con los botones correspondientes que aparecen en la ventana de redacción de correos (el lápiz y el candado).

Podemos hacer una prueba muy simple mandándonos a nosotros mismos un mensaje cifrado y firmado, comprobando que Thunderbird, que ya tiene nuestras claves, puede verificar la autenticidad del mensaje y descifrar su contenido. Al recibir el mensaje, se nos ofrecerá la opción de descifrarlo (Reparar mensaje) con nuestra clave privada introduciendo nuestra contraseña para ello, y podremos leer el contenido.

Recepción de nuestro mensaje firmado y cifrado

 

Revocar nuestra clave

Por último, si piensas que tu clave privada ha sido vulnerada (robada, modificada o cualquier otro caso) debes revocar el par de claves. Para ello podemos ir a la administración de claves de Thunderbird, hacer click derecho en la clave correspondiente y revocarla, así como avisar a nuestros contactos de que no sigan utilizando dicha clave para cifrar vuestras comunicaciones.
Con esto termina nuestro breve recorrido de hoy en el cifrado de las comunicaciones por correo electrónico. Espero que os guste y os sirva para aprender un poco.
Un saludo hackers!

 

 

hartek

Un comentario en «Encripta y firma tu correo: Thunderbird y PGP»

  1. Hola

    Tengo unas dudas..

    He estado usando tails y como ya tiene preinstalado thunderbird pues he estado haciendo pruebas

    Sin embargo no se que pasa que cuando me quiero enviar un mensaje a mi mismo pues vi en el apartado S/MIME que esta al lado de attach
    (En la barra del correo a enviar ..)

    Veo que muestra message security

    Please note : subject lines of email messages are never encrypted

    The contents of your message will be sent as follows:

    Digitally signed and encrypted: no

    Recipient (mi email)

    Status: not found

    Eso explicaría pq cuando pruebo a enviarme correos aparecen ya supuestamente descifrados…

    No se que me estoy dejando pq aun teniendo mi clave pública deberia de poder descifrarlos manualmente ..

    Me dijeron que tenia que habilitar la persistencia en tails para que esto no me pasara ..

    Pero no se si sera suficiente eso o es que me estoy dejando un paso

    Muchas gracias

Los comentarios están cerrados.