Cifrado del correo electrónico
Miércoles 3 Septiembre 2008 - Enviado por Cayetano LupeñaHace ya un tiempo que, para el intercambio de mensajes de correo electrónico, empleo el cifrado. Los mensajes de correo que me llegan y no garantizan de forma absoluta la identidad del emisor son, en principio, sospechosos. Es muy posible que, cuando me llega un mensaje de alguien que contacte conmigo por primera vez, ni tan siquiera le responda y si lo hago tomo algunas cautelas. Tambien considero que aquello que escriba en la respuesta (y no vaya cifrado) puede ser leido por cualquiera y respondo tomando en consideración esta circunstancia.
La privacidad en las comunicaciones es un derecho. Si los derechos y libertades no se ejercitan se atrofian y mueren. Esto es así le guste o no a la autoridad competente. Que nadie se extrañe si no respondo a la mayoría de los mensajes que me llegan o que los responda con poca o ninguna naturalidad. Escribir un mensaje de correo sin cifrar es casi lo mismo que hacerlo en público.
No hay excusas que valgan: Cifrar las comunicaciones es un derecho que hay que ejercitar. Para empezar nada como leer un poco de documentación. Pablo Hevia además de realizar bonitas ilustraciones escribió un interesante artículo donde resume, en forma sencilla, los pasos a seguir para instalar un sistema que nos permita cifrar el correo: Thunderbird, Enigmail y GnuPG bajo Windows.
4 Septiembre, 2008
Me alegro de que te haya resultado interesante el artículo. Por cierto, he actualizado algunos enlaces, llevaban ahí desde 2005 y muchos estaban rotos.
4 Septiembre, 2008
Gracias a ti Pablo por el artículo. Saludos
4 Septiembre, 2008
Sobre el cifrado de las comunicaciones y la información en general se puede hablar mucho y haberlas hay opiniones para todos los gustos.
Hoy día existe gente que experimenta cierta paranoia en cuanto a la seguridad de la información, está claro que los datos son vulnerables pero como de confidenciales son los datos que manejamos, ¿tanto como para llegar a emparanoyarnos? ¿y si la información que manejamos tiene que ser tratada para que no pueda ser accedida por terceros, hasta que nivel?
Yo personalmente la información confidencial prefiero guardarla en soportes fuera de los equipos que manejo conectados a red. En cuanto a seguridad de comunicaciones, no envio datos de tal nivel de confidencialidad como para ser cifrados por e-mail, ¿a quien le va a interesar el último ppt chorra que me han mandado o si estoy organizando una comida con los de la cuadrilla via e-mail? Normalmente los datos que requieren tal nivel de confidencialidad como para ser cifrado no los muevo por e-mail.
En cuanto a la seguridad de las comunicaciones, por parte de los ISP-s es casi imposible garantizarla si es que la información no viaja cifrada, siempre habrá algún pringado mileurista al que la subcontrata de turno ha hecho administrar y resolver las incidencias de correo de los clientes y para ese fin tendrá que tener acceso a los datos. Por otro lado, esas personas firman un acuerdo de confidencialidad de datos… y como lo hacemos, ¿cada vez que esa persona sale de currar se formatea el cerebro?
Al fin y al cabo es un tema sobre el que se puede tener una larga tertulia incluso de horas horas mientras se toman unas cervezas y se discute sobre si es necesario tomar medidas, que medidas tomar y cuando esas medidas comienzan a catalogarse de paranoia.
5 Septiembre, 2008
Hola Merlin,
En mi opinión es una cuestión de hábitos. Una vez que se organizan y aprenden los procedimientos a seguir es realmente sencillo. Pernonalmente no soy un paranoico. En el escenario que me muevo, admininistrando redes, los mensajes de correo en los que se incluyen claves de acceso y transferencia de ficheros que contienen, entre otras cosas, planos y especificaciones técnicas de productos en desarrollo la seguridad es vital.
Tambien es significativo que los servicios que ofrece Google de correo se realicen a mediante cifrado, vien sea via web (https) pop o imap es decir la información va cifrada entre el servidor y el cliente de correo del usuario final.
Es cierto que se puede tener un largo debate sobre la conveniencia de cifrar o no las comunicaciones. Creo, sin embargo, que es necesario hacer comprender la importancia que tiene el ejercer el derecho a la confidencialidad de nuestras comunicaciones personales, sean del tipo que sean.
En aras de dar una información práctica os invito a que os instaleis un programa sniffer, por ejemplo Wireshark y comprobareís lo fácil que es analizar el tráfico de información de una red y conseguir nombres y claves de usuario de cuentas de correo.
Por último señalar que es bueno informar, luego cada cual decide si desea tomar medidas o no.
7 Septiembre, 2008
para ver las cosas interesantes en una red y ver la cantidad de datos legibles que mandamos, mejor que wireshark, difícil de entender para principiantes, yo prefiero ferret (un dia probando en mi lan veo que tenia sin marcar el ssl en una cuanta pop3, y llevaba semanas así.. jejeje)
http://www.erratasec.com/ferret.html
(en ls wifis de los vecinos hace estragos..jajaja, menos mal que en el fondo soy bueno)
mucho mas clara la salida de ferret que la info dada por wireshark, claro que también tiene diferentes propósitos generales, aunque con wireshark también se pueden obtener los resultados dados por ferret..
y yo soy de los que cifran todo lo posible, el problema principal que el 98% de mis compañeros en la red son unos ignorantes en relación con estos temas, osea que mails solo cifro los que van dirigidos a gente que sabe lo que es una clave publica y privada, cuando hablas a la mayoría de la gente de thunderbird y cifrar ya no quieren oír mas… lo del https lo llevan mejor.
Yo como buen paranoico utilizo kedpm para las passwd y tengo una partición cifrada con dm-crypt y blowfish para meter todo lo que no quiero que este a la vista de nadie…
7 Septiembre, 2008
“elpeor” Gracias pro recomerdar el ferret, habia oido hablar de el pero todavia no lo habia probado, La última herramienta de este tipo que probe fué el “wifizoo” y la verdad es que era impresionante la cantidad de infrmación que muestra. El mejor sniffer de todos los tiempos está claro que es el wireshark o ethereal pero el filtrado de información que ofrecen otras aplicaciones hacen mas entendible la información.
Cayetano, siento si te he ofendido en el comentario anterior, mi intención no era llamarte paranoico ni nada por el estilo, si no criticar la paranoia que existe.
En el mundo de la seguridad hay mucho camino por recorrer, un buen inicio sería que la gente dejase de utilizar sistemas operativos que traigan de serie el disco duro como compartido, que los usuarios utilicen passwords fáciles…
Y en cuanto a la seguridad todo es relativo, y esta bien el tener un cierto nivel de paranoia. Sobre la seguridad de los cifrados también se podria debatir, si tras el 11S el gobierno de USA admitió la existencia de la red echelon seguramente ya tendrán algo mas potente seguramene capaz de reventar cualquier cifrado exixtente (recuerdo que pasar la forntera de USA con algoritmos de cifrado es delito federal)
Sin mas Un saludo a todos
8 Septiembre, 2008
Holas,
Merlin: no me has ofendido. Al contrario, agradezco los comentarios (sean estos de la naturaleza que sean) y tambien la información adicional que proporcionan. Ahora estoy en bar Herriko de Mañaria (disponen de conexión wifi), tomandome un cortadito y escribiendo esto mientras espero la hora de ser recibido por el médico (nada grave: un esguince en el tobillo).
Es decir utilizo una red pública y no utilizo una conexión cifrada para mantener este blog. Sin embargo soy bastante paranoico cuando me conecto a servidores de los que dependen mis alubias ;).
Respecto de los programas que analizan el tráfico supongo que depende a lo que te acostumbras, Aunque me ha picado la curiosidad y probaré alguno de los que habeis citado aquí.
Un saludo
28 Octubre, 2008
Estamos lejos de librarnos del spam y de la inseguridad en las comunicaciones electronicas…