Principal Software Cómo mantener la privacidad de su correo electrónico con el cifrado PGP en su Mac
Software

Cómo mantener la privacidad de su correo electrónico con el cifrado PGP en su Mac

PorGlenn Fleishman,Colaborador sénior, 1 de marzo de 2015 7:11 p.m.PST llaves Thinkstock DutchScenery / Thinkstock

En nuestro último episodio de Private I, expliqué los conceptos básicos de la criptografía de clave pública (PK), una forma de codificar mensajes de una manera que solo alguien que posea una clave en particular pueda descifrar, sin que esa clave tenga que ser divulgada o compartida públicamente. . Es un sistema eficaz que no tiene exploits teóricos conocidos y las implementaciones actualmente implementadas se consideran sólidas.



Y para recapitular: lo inteligente del enfoque de clave pública es que tiene dos claves complementarias, una pública y otra privada. La clave pública se puede distribuir libremente. Cualquier cosa cifrada por otra persona con la clave pública solo se puede descifrar teniendo acceso a la clave privada correspondiente. Y se puede usar una clave privada para firmar una cadena de texto o un documento para demostrar matemáticamente que solo el poseedor de la clave privada podría haberlo firmado.

Pero faltan dos piezas que permitirían a los usuarios de Mac, iOS y otras plataformas aprovechar PK. El primero es pragmático: los remitentes y los destinatarios necesitan herramientas de software o complementos compatibles, preferiblemente integrados en las aplicaciones para que se requiera poco esfuerzo. El segundo es existencial: sin un acuerdo previo, como una reunión en persona o una llamada telefónica, ¿cómo se sabe que lo que pretende ser la clave pública de alguien es Realmente la llave de esa persona?





La forma más fácil de resolver ambos problemas es utilizar un ecosistema propietario de un extremo a otro, pero eso nos lleva de vuelta, más o menos, a iMessage o algo similar. Circulo silencioso tiene una de las mejores opciones que incorpora criptografía de clave pública, si puede convencer a todas las personas con las que necesita comunicarse para que se inscriban. Comienza en $ 10 por mes para mensajes de texto, llamadas, video chat y transferencias de archivos ilimitados entre sus usuarios. Las opciones de mensajería y llamadas del servicio recibieron puntajes de 7 sobre 7 en la Electronic Frontier Foundation cuadro de mando de mensajería segura .

PGP en Mac

Pero la mayoría de nosotros no vivimos en un jardín amurallado, y uno de los fundadores de la empresa, Phil Zimmermann, es responsable hace casi 25 años de convertir la criptografía de clave pública en lo que llamó PGP, Pretty Good Privacy. (El funcionamiento de PGP se describe en la Parte 1).



enviando un correo electrónico a Jason en el correo

Al redactar un mensaje en Mail para un destinatario cuya clave está en su Llavero GPG local, se puede hacer clic en el icono de candado para cifrar el mensaje cuando se envía.

PGP está disponible para Mac a través de GPGTools , una versión del software libre GPG (GNU Privacy Guard). Le permite crear un directorio de las claves públicas de otras personas, al mismo tiempo que le permite realizar el cifrado, el descifrado, la firma y la verificación. (PGP es una marca comercial y GPG se acuñó para evitarlo, pero a menudo verá que PGP se usa de manera genérica para referirse a este método de uso de claves públicas).

El EFF tiene muy buenas instrucciones paso a paso. para instalar GPGTools para permitir su uso directamente con Apple Mail o Mozilla Thunderbird para correo electrónico; las herramientas también están disponibles a través del menú de Servicios de la aplicación donde sea que pueda manipular o seleccionar texto. GPGTools es actualmente gratuito, pero planea cobrar una tarifa muy modesta por su complemento de correo electrónico en algún momento para ayudar a soportar los costos de desarrollo.

envió un correo electrónico a Jason cifrado

El mensaje enviado se muestra en el buzón Enviado como cifrado y debe descifrarse para verlo como en esta ventana.

¿Cómo puedo recuperar mensajes de texto antiguos?

Las instrucciones de EFF lo guían a través de la creación de su propia clave pública / privada en GPG Keychain. Para utilizar GPGTools con el correo electrónico, su clave debe tener la misma dirección de correo electrónico que la dirección de devolución desde la que desea enviar mensajes cifrados. Una vez que tenga una clave, puede cargar una clave en un servidor de claves seleccionando su clave y eligiendo Clave> Enviar clave pública al servidor de claves. Esto hace que su clave se pueda buscar por su nombre y dirección de correo electrónico en un directorio PGP. Una clave tiene una huella digital asociada, una transformación criptográfica de la clave pública que es mucho más corta, a la que llegaré en un momento.

Cuando redacta un correo electrónico en Mail después de realizar la instalación y la creación de la clave, ahora tiene dos nuevos íconos en la línea Asunto, siempre que la cuenta de envío coincida con cualquier clave pública que haya creado. La marca de verificación azul en forma de estrella indica que su correo saliente estará firmado por su clave privada, lo que permitirá a otros validar que no ha cambiado en la transmisión siempre que tengan su clave pública. Y puede hacer clic en el icono de candado si todos los destinatarios en los campos de dirección tienen claves públicas almacenadas en GPG Keychain.

(Tenga en cuenta que el correo electrónico cifrado con PGP protege el contenido del mensaje, pero no su línea de asunto ni los metadatos: la información de enrutamiento y otros detalles almacenados en los encabezados de correo electrónico, y que han formado una gran parte del análisis de la NSA y otros gobiernos agencias de seguridad para identificar patrones).

desbloquear mi llave

GPG Tools le solicita que ingrese la frase de contraseña de la clave cuando sea necesario y la mantiene desbloqueada durante 10 minutos con un valor predeterminado que se puede cambiar.

Al enviar un mensaje de este tipo, se le solicitará su frase de contraseña. Guardo mi frase de contraseña en 1Password, por lo que puedo abrirla rápidamente. Si planeas escribirlo, conviértelo en algo largo y memorable con una sola puntuación, como From the still of the! noche: esto es esencialmente imposible de descifrar debido a la longitud y al hecho de que la frase nunca aparecería en ningún texto en inglés utilizado para el análisis de frecuencia de palabras.

Ahora, por supuesto, sus destinatarios deben pasar por el mismo procedimiento o usar otro software PGP compatible. Symantec todavía fabrica PGP, aunque solo funciona en Mac con Microsoft Outlook. Hay otras implementaciones de GPG para otras plataformas. Y algunas aplicaciones móviles pueden manejar documentos y correo electrónico cifrados con PGP. (Busqué una aplicación de PGP para iOS que cumpliera con el proyecto de ley y la programación actual tiene una variedad de limitaciones. Estaré investigando esto más a fondo a medida que cambie esta situación).

safari no se puede conectar al servidor mac
cifrar en bbedit

El menú Servicios proporciona acceso a todas las GPGTools (bajo el nombre OpenPGP) en cualquier inserción o selección de texto.

Con GPGTools instalado, también puede realizar todas las demás operaciones de estilo PGP desde el menú Servicios. Por ejemplo, mientras redacto esto en BBEdit, puedo seleccionar BBEdit> Servicios> Insertar mi huella digital (que es 53F4 9E97 2652 4E2F 2993 4611 BB54 A24B EDD1 8384). También puedo cifrar, firmar, verificar, etc.

Comprobando las llaves

Pero volvamos al problema existencial. Tiene una clave que está asociada con su dirección de correo electrónico y publica la clave pública en un servidor de claves. ¿Cómo puede alguien estar seguro de que es tu clave? Si le envían un correo electrónico a la dirección, es posible que su correo electrónico haya sido manipulado y el mensaje sea interceptado y respondido sin que usted lo sepa. Un método para validar una clave es llamar a alguien, porque existe una probabilidad casi nula de que un intermediario pueda saber que estás haciendo la llamada, interceptarla y hablar en tiempo real sobre la huella digital de una clave falsa. Una vez que haya verificado una clave por voz o en persona usando su huella digital, estará listo.

Sin embargo, la razón por la que estoy tan seguro de que la mensajería de clave pública podría aumentar en popularidad se debe a Keybase.io , actualmente un servicio de clave pública gratuito y solo por invitación que administra las claves y maneja las tareas de cifrado en el navegador o mediante herramientas de línea de comandos, pero que también proporciona formas importantes y útiles de validar su clave pública para satisfacción de otras personas.

ventana emergente de clave pública keybase.io

La ventana emergente de clave pública en Keybase.io expone los detalles de un usuario para exportar o confirmar.

Visita mi perfil en Keybase.io y verá que me he verificado de varias formas. Publiqué un tweet con un código proporcionado por Keybase, publiqué un elemento en mi repositorio de Github, agregué un registro DNS especial de solo texto y cargué un archivo en mi sitio web. Este es probablemente un buen conjunto de vectores que ninguna otra persona debería poder secuestrar sin que se dé cuenta.

Lo bueno de Keybase es que, a medida que se expande fuera de su fase de solo invitación, proporcionará un lugar común para que las personas carguen claves o generen nuevas, y se validen a sí mismas de una vez. Aunque Keybase no opera el software de servidor de claves (por una variedad de razones, oscuras y de otro tipo), puede hacer clic en la clave del perfil de cualquier persona y aparece una ventana desde la que puede guardar la clave pública de esa persona o copiarla.

GPG Keychain le permite pegar una clave pública en la ventana principal o importar el archivo de clave pública. Luego, puede confirmar inmediatamente esa clave con la huella digital en el sitio en la misma ventana emergente.

Nada de esto es, digamos, sencillo. Pero tampoco requiere el nivel de ajustes y complejidad de años pasados. Una vez configurado, puede enviar y recibir correos electrónicos encriptados con otras personas que usan PGP simplemente recordando o recuperando la frase de contraseña de su clave. Y eso nos acerca mucho más a las comunicaciones encriptadas de manera confiable a pedido de lo que lo hemos estado hasta ahora.