Entender el mecanismo de
encriptación utilizando PGP para enviar correo electrónico y utilizar la firma
digital como método de autenticación.
PGP (Pretty Good Privacy)
trabaja con un par de llaves, una privada y una pública.
La llave pública la tienen ambas partes (el destinatario y el remitente)
, esta llave pública se sube a un servidor específico de PGP para que esté
disponible.
PGP tiene las siguientes
características generales y de seguridad:
·
Llaves de
hasta 4096 bits
·
Capacidad
de generar la llave pública y privada
·
Utiliza códigos
de encriptación establecidos.
·
Es posible
encontrar su código fuente
·
Es gratis
·
Sirve con
diferentes sistemas operativos
·
El proceso
de encriptación es local
·
Incluye
firmas digitales
·
Es fácil
de usar
·
Se puede
usar con navegadores
·
No tiene
backdoor ni manera de que otra persona vea los mensajes o archivos
encriptados.
Un Certificado (identificación digital) es un mensaje que identifica a la persona que lo manda. Nos sirve para comprobar que quien manda el mensaje, efectivamente es quien dice ser. El certificado consta de un nombre que identifica al remitente, incluye su llave pública, tiene un tiempo de validación, un número serial y tiene un afirma digital.
Una firma digital es un método para validar que el mensaje no fue alterado durante la transmisión.
La idea principal de la práctica
consiste en mandar 2 correos electrónicos, uno con encriptación mediante PGP y
otro con una firma digital que obtuvimos de Verisign.
La
siguiente figura representa la información de nuestra llave pública que es
necesaria para que se pueda transmitir la información encriptada. Para
bajar nuestra llave, se encuentra una liga en la página principal.
El proceso para mandar un mail con firma digital es el siguiente:
Previamente a mandar el mail se tiene que conseguir un certificado, en nuestro caso conseguimos un certificado provisional que dura 60 días con Verisign. Una vez que se está mandando el mail a alguien, se selecciona la opcion de "options" y se selecciona la opción de "Add digital signature to outgoing message" como se muestra a continuación:
which
appears select whether you want to sign or sign and encrypt your message.
Finalmente se envía el mensaje normalmente.
A continuación
vemos un mensaje recibido con un certificado.
Al hacer click en
el pequeño ícono rojo que se encuentra en la parte derecha del mail recibido
vemos las características de la firma digital como se muestra en la figura de
abajo:
Ya dentro de esa ventana, podemos ver específicamente el certificado de quien mandó el mail para comprobar que el remitente es verdaderamente quien dice ser.