Enviar y recibir correos firmados con GPG (III)

julio 15, 2013 § Deja un comentario

En la primera parte Instalación y uso de GPG (I) se vió como instalar GPG en Windows. En la segunda se vió como enviar correos cifrado con GPG y ahora se explica el uso que se puede hacer del mismo, para firmar los correos electrónicos y asegurar la autenticidad del mensaje y de la información enviada y recibida.

Como en el caso del envio de correos cifrados, el procedimiento también se realizará utilizando GPG y Thunderbird y la primera parte de la generación utilización de claves pública y privada se mantiene exactamente igual.

En este caso se utiliza la clave privada del usuario emisor para firmar el correo y el receptor utiliza la clave pública del emisor para verificar la autenticidad e integridad del mensaje. Como la clave pública y privada están relacionadas matemáticamente la única clave pública que puede verificar el correo es la correspondiente clave privada. Mozilla explica este procedimiento de firmado en su sitio web:

Para firmar el correo, se redacta normalmente un nuevo e-mail en Thunderbird y se elige “Firmar mensaje” en el menú de OpenPGP. En este caso también se puede elegir (no es obligatorio) adjuntar la clave pública de forma tal que si el destinatario no la posee, la puede descargar directamente desde el correo, de forma tal que pueda verificar la autenticidad del mensaje sin mayor esfuerzo.

Si se eligieron dichas opciones, se tendrá el correo listo para firmar y enviar:

Es importante destacar que el texto del correo irá en texto plano y por lo tanto cualquiera que intercepte el mensaje, podrá leerlo. Esto es así porque en este caso sólo se eligio firmar el mensaje para probar que quien lo escribió es quien dice ser, pero no se desea conservar la confidencialidad del mensaje (para ello habrá que cifrarlo).

Al presionar enviar, como siempre se solicitará la passphrase para acceder a la clave privada del usuario.

Cuando el destinatario recibe el correo, podrá verificar la firma del emisor y por tanto la autenticidad del mensaje. Para ello simplemente deberá poseer la clave pública del emisor (o descargarla si estabá adjunta en el mensaje) y al acceder al cuerpo del correo, se verá algo similar a lo siguiente:

Como puede verse, el cuerpo del mensaje ha sido “modificado” para agregar al principio y al final del mismo la firma del emisor. Es importante señalar que esta firma nunca es igual y varía para cada emisor y por cada mensaje enviado. Si la firma pudo ser verificada (color verde en la parte superior), significa que el mensaje no ha sido modificado (integridad) y que el emisor efectivamente es quien dice ser en el encabezado del correo.

Finalmente, si se desea firmar y cifrar un correo para garantizar su autenticidad, integridad y confidencialidad, simplemente se deben elegir ambas opciones en el menú de OpenGPG:

Con esto se ha finalizado el proceso para aprender a utilizar Thunderbird y GPG en Windows, sabiendo que el procedimiento prácticamente no varía en Mac OS y en Linux.

Cristian de la Redacción de Segu-Info

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Enviar y recibir correos firmados con GPG (III) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: