You are on page 1of 20

INFORME DE CIFRADO DE MENSAJES

LISETH VARGAS AMADO
MANUEL CHAPARRO











FUNDACION UNIVERSITARIA DE SAN GIL UNISANGIL
FACULTAD DE CIENCIAS NATURALES E INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
YOPAL
2014

INFORME DE CIFRADO DE MENSAJES






LISETH VARGAS AMADO
MANUEL CHAPARRO





ING: EDNA ROCIO BERNAL MONROY







FUNDACION UNIVERSITARIA DE SAN GIL UNISANGIL
FACULTAD DE CIENCIAS NATURALES E INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
YOPAL
2014

INTRODUCCION

La infraestructura de correo electrónico que utiliza todo el mundo es, por diseño, insegura. Aunque
la mayoría de las personas se conectan a sus servidores de correo electrónico mediante una
conexión segura ("SSL"), algunos servidores permiten acceso a sus usuarios a través de
conexiones inseguras. Además, como la ruta de transmisión que sigue el correo desde el remitente
al destinatario pasa por diversos servidores, es posible que las conexiones entre cada servidor no
sean necesariamente seguras. Es posible que terceras partes puedan interceptar, leer y modificar
los mensajes de correo electrónico que se transmiten
Para cifrar tus mensajes, puedes utilizar public-key sistemas de criptografía. En estos sistemas,
cada usuario tiene dos claves separadas: una clave pública y una clave privada. Cuando alguien
quiere enviarte un mensaje cifrado, utiliza tu clave pública para generar el algoritmo de cifrado.
Cuando recibes el mensaje, debes utilizar tu clave privada para descifrarlo.
El protocolo utilizado para cifrar mensajes se llama PGP (Pretty Good Privacy). Para poder utilizar
PGP desde Thunderbird, debes instalar:
 GnuPG: (GNU Privacy Guard): Una implementación libre de PGP
 Enigmail: Un complemento de Thunderbird.
Estas dos aplicaciones también proporcionan la capacidad de firmar mensajes digitalmente.











OBJETIVOS
 Configurar Thunderbird para poder recibir el correo cifrado.

 Lograr mandar un correo al compañero a través de la cuenta de correo y con el
Thunderbird.

 Mandar un correo con un archivo adjunto cifrado.

 Conocer las herramientas y utilidades de Thunderbird.

 Encriptacion con PGP






















Configuración de Thunderbird
Thunderbird es un software libre. Puede descargarlo gratuitamente desde el sitio de la fundación
Mozilla. Una vez que Thunderbird esté instalado, deberá configurarlo para que pueda conectarse a
su servidor de mensajería.
Cuando inicie Thunderbird por primera vez, un asistente le ayudará a configurar la articulación
entre su cuenta y el cliente de correo. Al iniciar dicho asistente, si usted ya cuenta con una
dirección de correo electrónico, pulse en “Omitir esta etapa y utilizar mi dirección existente”. Todo
lo que necesita saber es su dirección de correo electrónico, su nombre de usuario y su contraseña.
Introduzca dicha información en la pantalla siguiente. Thunderbird recuperará por usted la
información acerca del servidor de mensajería. El software configurará automáticamente las
direcciones de correo electrónico de los servicios más populares: Gmail, Yahoo, Hotmail… En la
imagen siguiente, utilizamos a modo de ejemplo una dirección de Gmail.

No obstante, si su dirección de correo electrónico no se encuentra en la base de datos de servicio
de correo de Thunderbird, deberá configurar manualmente su cuenta de correo. Para ello
necesitará saber:
 su dirección de correo electrónico
 su nombre de usuario
 su contraseña
 El nombre y el protocolo del servidor de entrada de correo(imap.exemple.com para el protocolo
IMAP o pop.exemple.com para el protocolo POP)
 El nombre del servidor de salida (smtp.exemple.com)
Podrá encontrar esta información en las páginas de soporte del proveedor de su servicio de
mensajería.

Para garantizar que Thunderbird utiliza SSL o TLS, visite Herramientas > parámetros de cuentas >
Parámetros del servidor, y compruebe la sección “Parámetros de seguridad”.

La utilización de Thunderbird y de sus protocolos TLS o SSL sólo protege la conexión entre su
ordenador y el servidor de mensajería. Ello no garantiza la confidencialidad de su intercambios con
un tercero. Sus correos electrónicos pueden de hecho ser interceptados en diversos puntos entre
su servidor de mensajería y el ordenador del destinatario de su correo electrónico. Para solventar
este problema, puede cifrar sus correos electrónicos de extremos a extremo utilizando el protocolo
PGP (Pretty Good Privacy).
CIFRAR SUS CORREOS ELECTRÓNICOS CON PGP
El encriptado (o el arte de escribir en “caché”) es la principal técnica utilizada para garantizar de
forma eficaz la confidencialidad de sus comunicaciones electrónicas.

PGP es el protocolo que utilizaremos para cifrar nuestros correos electrónicos de extremo a
extremo. La utilización de PGP elimina cualquier posibilidad de intercepción. Sus correos
electrónicos están cifrados de extremo a extremo, y únicamente el destinatario del correo enviado
tendrá la posibilidad de descifrarlo. Tenga en cuenta que el “Asunto: ”, al igual que el resto de
encabezados de sus correos electrónicos cifrados con PGP, no quedan cifrados.


Cifrado = Buit
El envío de correos electrónicos cifrados puede constituir una señal de alerta para las autoridades
y puede llamar una atención no deseada. Existe otro medio para enviar correos electrónicos de
forma anónima más segura: los emails desechables.

Con el fin de comprender cómo utilizar PGP en Thunderbird, es importante de entender el principio
de encriptado asimétrico sobre el cual se basa PGP.
El Encriptado Clásico
Alice y Bertrand desean intercambiar mensajes secretos, y acuerdan entre ellos un código de
cifrado y descifrado (una clave). A continuación, intercambian sus mensajes utilizando la clave en
un sentido para el cifrado, y en otro para el descifrado.

Sin embargo, esta técnica tiene un inconveniente. Si una tercera persona intercepta los mensajes
para los cuales Alice y Bertrand utilizan su clave de cifrado, podrá leer e incluso enviar correos
electrónicos falsos a los destinatarios de estas dos personas. En consecuencia, para que esta
técnica sea perfectamente segura, es necesario que Alice y Bertrand intercambien sus claves sin
que éstas puedan ser interceptadas, encontrándose cara a cara, por ejemplo.
El Encriptado Asimétrico
Para solucionar este problema, es preferible utilizar el llamado encriptado asimétrico. Para ello se
necesitan dos claves: una clave para encriptar y otra para desencriptar. La clave para encriptar
(llamada clave pública) puede ser intercambiada sin peligro a través de Internet ya que ésta no
permite desencriptar un mensaje. La clave para desencriptar (clave secreta), por el contrario,
nunca ha de ser revelada.

Con el ecriptado asimétrico, Alice posee un par de claves propias (una clave pública que da a
conocer y una clave secreta que ha de conservar). Alice envía su clave pública a Bertrand, quien la
utiliza para encriptar sus mensajes destinados a Alice. Sólo Alice, con la ayuda de su clave
secreta, podrá entonces desencriptar los mensajes de Bertrand. Dotado también de un par de
claves, Bertrand envía su clave pública a Alice, quien podrá entonces responder a sus mensajes
con completa confidencialidad.
La clave pública se intercambia a través de Internet sin ninguna protección particular. Por ello se
recomienda verificar la validez de la misma con su propietario. Esto explica que cada clave pública
posea una secuencia corta de caracteres, llamada impresión (o “huella digital”), la cual es fácil de
intercambiar por viva voz o por teléfono.

Una clave no verificada puede ser una clave falsa emitida por un tercero mal intencionado,
haciendo que el cifrado sea totalmente inútil. Es importante comprender que la fiabilidad del
encriptado asimétrico se basa en la protección de la clave secreta, pero también en la
comprobación de la clave pública de la contraparte.

OpenPGP (« Open Pretty Good Privacy ») es el estándar de encriptado asimétrico. La solución de
software más utilizada para crear, utilizar un par de claves y administrar las claves públicas de sus
contrapartes es GnuPG (“GNU Privacy Guard”). Puede utilizar esta solución con su cliente de
correo y también con Mac, Windows y Linux.
UTILIZAR PGP EN THUNDERBIRD
Instalación de PGP en Windows
Para enviar corroes electrónicos cifrados, necesita:
1. Un software que permita generar su clave secreta y administrar las claves públicas de sus
contactos: gpg4win
2. Un cliente de correo instalado en su terminal: Thunderbird
3. Un plugin que permita cifrar los correos electrónicos: enigmail
 Después de descargar e instalar gpg4win, instale el plugin Enigmail para ThunderBird.
1. En Thunderbird : menú Herramientas > Módulos complementarios. La ventana de los plugins se
abrirá.
2. Introduzca “Enigmail” en la barra de búsqueda y pulse sobre el icono de búsqueda.
3. Pulse en “Añadir esta extensión”.
4. Una vez que haya realizado la instalación, reinicie Thunderbird.


Crear su clave PGP
Para cifrar sus correos electrónicos con PGP, tendrá que crear una clave pública y una privada.
Esta operación se realiza de forma sencilla en Thunderbird siguiendo los pasos indicados por el
asistente de creación PGP. Para iniciarlo: en Thunderbird, OpenPGP » Asistente de configuración.

Una vez que haya iniciado el asistente, siga el procedimiento siguiente. Conserve las opciones
seleccionadas por defecto:
Firma : “Sí, deseo firmar todos mis mensajes” – con ello autenticará todos los correos electrónicos
que vous envíe con su clave privada

Cifrado : “No, prefiero crear las reglas por destinatarios para los cuales poseo la clave pública” –
no cifrará todos los correos electrónicos que envíe, sino que podrá decidir para quién desea cifrar
los mensajes.

Preferencias : “Sí” – autorizo al asistente a efectuar las modificaciones en formato por defecto de
sus correos electrónicos; esto debe estar redactado en texto sencillo para ser compatible con PGP.

Crear una clave : con el fin de que todo el mundo no pueda utilizar su clave secreta, el asistente le
propone protegerla con una contraseña. Introduzca una contraseña en ambos campos. La
utilización de "fast words" es una beuna técnica para crear contraseñas seguras.


Opcional : tiene la posibilidad de crear un certificado de revocación. Este certificado le servirá para
invalidar su clave pública en caso de pérdida. Guárdela en su disco y no la pierda.


Nota : Si el asistente le solicita la ruta de GnuPG, ésta se encuentra cuando instala GPG4win y
puede localizarla en su disco en Program Files (x86) > GNU > GnuPG > gpg2.exe

La creación de su clave PGP ha terminado, a continuación podrá enviar correos electrónicos
cifrados a sus destinatarios… Siempre y cuando disponga de sus claves públicas.
Enviar un mensaje cifrado
En Thunderbird, redacte un mensaje nuevo (botón escribir). La ventana de escritura se abrirá.
Abajo a la derecha encontrará dos iconos: un bolígrafo y una llave.


Estos dos iconos le permitirán firmar o cifrar un mensaje. Pulse sobre el icono de la llave (éste
cambiará a color amarillo) y escriba su mensaje.

Cuando pulse en enviar, si no ha recuperado la clave pública de su destinatario, Thunderbird le
propondrá descargarla. En la pantalla siguiente pulse en “Descargar las claves que faltan”.



Una ventana de selección de servidores que alojan las claves públicas se muestra a continuación.


Thunderbird le propone como estándar las guías de claves públicas más utilizadas. Seleccione uno
de los servidores [b] y pulse en OK. Si su contraparte ha publicado su clave en uno de las guías
propuestas, debería poder recuperarla sin ningún problema.

Pulse en OK para iniciar la descarga de la clave.


Al final de procedimiento, una pantalla mostrará el resultado de la operación.


Cierre la pantalla. La clave de su destinatario aparecerá a continuación en el listado propuesto por
el software. Selecciónela y pulse en OK.


Si ha protegido su propia clave con una contraseña (lo que debe hacer si ha seguido esta guía
para la creación de la clave), Thunderbird le solicitará introducir la contraseña para cifrar el
mensaje a partir de su clave secreta. Introduzca su contraseña y pulse en OK.


¡El mensaje ha sido enviado!

Existen otros medios para importar la clave pública de un destinatario. Ellos pueden, por ejemplo,
transmitir su clave pública por correo y usted proporcionar la huella de la misma. La huella es un
número único que identifica de forma segura una clave pública. Al verificar la huella de una clave,
usted se asegura el envío del mensaje al destinatario correcto.
ENCRIPTACIÓN CON PGP
¿QUÉ ES PGP?
PGP (Pretty Good Privacy) es un programa que encripta la información digital (textos o cualquier
otro tipo de archivo) y luego permite desencriptarla. Por ejemplo, un texto que diga "Hola, soy yo"
quedaría convertido en algo parecido a "DXCfg%/yfggER$%"

¿QUÉ UTILIDAD TIENE PGP?
La principal es esconder información a ojos de otras personas que quieran tener acceso a ella. Su
uso más común es con el correo electrónico. Cuando se envía un mensaje de correo electrónico,
ese mensaje pasa por muchos ordenadores antes de llegar a su destinatario. Cualquier persona
con acceso a esos ordenadores y con malas intenciones podría tener acceso a los mensajes.
Usando PGP los mensajes no viajan tal como se escribieron, sino que van codificados,
decodificándose únicamente en su destino.
¿ES FIABLE PGP?
Actualmente es el sistema de encriptación más utilizado. Miles de usuarios lo usan día a día para
sus comunicaciones. Con respecto a su seguridad aún no hay noticias fiables de que se haya
conseguido romper una clave PGP. De hecho, se han realizado experimentos por parte de
conocidos criptógrafos para intentarlo con resultados negativos. De todas formas, cualquiera que lo
consiga obtendrá una fama bastante sonada y la noticia correrá como la pólvora entre los miles de
usuarios que continuamente están al día de todo lo relacionado con PGP y la criptografía.
¿CUANTO CUESTA EL PROGRAMA?
PGP es gratuito para usos no comerciales.
¿DÓNDE SE PUEDE CONSEGUIR?
Hay montones de sitios en Internet para descargar PGP. En español existe una de las mejores
páginas sobre criptografía desde donde se enlaza con las páginas internacionales de descarga,
aparte de contener gran cantidad de información.
¿CÓMO FUNCIONA PGP?
PGP funciona a través de claves. Cada usuario tiene una clave propia y única que genera el propio
programa. Esta clave está partida en dos, una pública y otra privada. La clave pública, como su
propio nombre indica, se puede hacer pública y hay que entregarla A AQUELLOS QUE NOS
VAYAN A ENVIAR MENSAJES CIFRADOS. La clave privada hay que mantenerla en secreto y
conviene sacarle copias de seguridad.
Cuando alguien nos vaya a enviar un mensaje cifrado con PGP tendrá que encriptarlo CON
NUESTRA CLAVE PÚBLICA que le habremos proporcionado previamente por correo electrónico o
de otra forma.

¿QUÉ PELIGRO EXISTE DE QUE ALGUIEN INTERCEPTE MI CLAVE PÚBLICA?
Ninguno, ya que la clave pública no es nada sin la privada a efectos de desencriptar los mensajes.
¿QUÉ OCURRE SI ALGUIEN INTERCEPTA EL MENSAJE PGP QUE ME ENVÍA OTRA
PERSONA?
Nada. Lo único que obtendrá es un conjunto de caracteres extraños sin pies ni cabeza que no
podrá desencriptar, ya que no posee la clave privada que es la pieza necesaria para poder
convertir el mensaje a su forma original. Sólo cuando el mensaje llegue a su destino final podrá ser
desencriptado.
¿QUÉ NECESITO PARA MANDAR UN MENSAJE CIFRADO A OTRA PERSONA?
El programa PGP y la clave pública de esa persona.
¿CÓMO SE INSTALA?
Una vez el archivo de instalación en nuestra máquina hay que ejecutarlo. Siguiendo las
instrucciones que aparecen en pantalla, el programa genera nuestras claves pública y privada
durante el proceso de instalación.
Cuando se generan las claves, PGP nos pide un password, de al menos 8 caracteres, para poder
utilizarlas. Es conveniente recordar este password para poder luego desencriptar información.
¿UNA VEZ INSTALADO, QUÉ?
Estaremos dispuestos para utilizar PGP. Lo primero es crear una copia de nuestras claves pública
y privada. Estas claves están ubicadas en la carpeta del programa, que por defecto es:
c:\Program Files\PGP\PGP55i
Clave pública: pubring.pkr
Clave privada: secring.skr
De todas formas, al cerrar el programa PGP se nos invita a crear una copia de seguridad de las
claves.
Seguidamente exportaremos nuestra clave pública para poder entregarla adecuadamente a
aquellos que nos vayan a enviar mensajes codificados. Para ello hay que abrir el programa PGP
Keys, que está en INICIO/PROGRAMS/PGP/PGP Keys. Este programa es el que contiene las
claves de las personas a las que enviamos normalmente correo cifrado, lo que ocurre es que PGP
incluye una serie de claves de ejemplo de unos señores que no conocemos de nada y que se
pueden borrar. Dentro de esa relación aparecerá la nuestra. Se selecciona nuestra clave y se pulsa
en KEYS/EXPORT, en ese momento aparece un cuadro de diálogo pidiéndonos donde guardar la
clave. Ese archivo es el que deberemos enviar como nuestra clave pública.
¿CON QUÉ PROGRAMAS DE CORREO ELECTRÓNICO SE PUEDE UTILIZAR?

PGP incorpora plug-ins para ser utilizado con Eudora, Exchange y Outlook, pero utilizando la
opción "encriptar portapapeles" se puede utilizar con cualquier programa de correo.
¿CÓMO ENVIAR UN MENSAJE ENCRIPTADO?
Lo primero que hay que hacer es obtener la clave pública de la persona a quién vamos a enviar el
mensaje. Para ello se la podemos pedir directamente por e-mail o la podemos extraer de su página
WEB si la tiene allí publicada. Una vez con su archivo de clave pública en nuestro ordenador hay
que importarlo a PGP Keys. Para ello:
Colocaremos el archivo en una carpeta (por ejemplo la del PGP),
Abrimos PGP Keys (INICIO/PROGRAMS/PGP/PGP Keys)
Pulsamos KEYS/IMPORT
En la ventana de diálogo se selecciona el tipo de archivo de la clave (.txt/asc/pkr/skr...) y se
importa.
Este proceso no tendremos que repetirlo más veces y su clave pública quedará incorporada a
nuestra relación de claves.
Estamos listos para enviar correo encriptado. Vamos a utilizar un programa que no esté soportado
por PGP y lo haremos a través del portapapeles, que es la forma más estándar y compatible de
hacerlo y vale para todos los programas.
Lo primero es abrir el programa de correo (supongamos que es Netscape Messenger).
Compondremos el mensaje normalmente, poniendo la dirección electrónica y el asunto en su sitio y
el texto en el cuerpo del mensaje.
Una vez el texto acabado se selecciona y con las teclas CONTROL+X se corta al portapapeles.
Seguidamente pulsaremos en el icono que está junto al reloj de Windows, en la barra de tareas (un
icono con un sobre blanco en el centro). Si no tenemos ese icono, lo podemos activar pulsando en
INICIO/PROGRAMS/PGP/PGPtray.
Del menú emergente habremos de pulsar en "Encrypt Clipboard".
En ese momento se nos pregunta con qué clave habremos de encriptar el texto. Selecionaremos la
clave de la persona a la que vamos a enviar el mensaje haciendo doble click sobre ella.
Seguidamente se pulsa en OK. En ese momento el contenido del portapapeles queda encriptado.
Pulsamos de nuevo en el cuerpo del mensaje, que estará en blanco, y con las teclas CONTROL+V
pegaremos el contenido del portapapeles al cuerpo del mensaje. Observaremos que el mensaje
ahora es una serie de caracteres sin ningún sentido.
Procederemos entonces a enviar el mensaje normalmente via e-mail.
¿CÓMO DESENCRIPTAR UN MENSAJE QUE ME HAN ENVIADO?
Una vez abrimos el correo y vemos que tiene un mensaje encriptado procedemos a copiarlo
íntegro al portapapeles:

Incluyendo las líneas:
-----BEGIN PGP MESSAGE-----
-----END PGP MESSAGE-----
Seguidamente pulsamos en el icono PGPtray y seleccionamos la opción "Decrypt/Verify
Clipboard". En ese momento se nos solicita el password para poder utilizar nuestra clave. Al
introducirlo veremos en pantalla el texto original.
¿CÓMO DESENCRIPTAR UN ARCHIVO QUE NOS LLEGUE POR E-MAIL?
Una vez el archivo en el disco duro hay que hacer doble click sobre él y aparecerá el cuadro de
diálogo para introducir nuestro password para usar la clave privada. Al hacerlo el archivo quedará
desencriptado.
¿QUÉ SON LAS FIRMAS DIGITALES?
Otra función de PGP que permite autentificar los documetos para garantizar que realmente
proceden de la persona que lo envía y no un falsificador que pueda haberlos modificado. La firma
digital se activa igual que la encriptación pero usando la opción "Sign". Incluso se pueden usar
simultáneamente son "Encrypt & Sign".









CONCLUSION

PGP es una aplicación de seguridad y privacidad como ninguna otra. Robusta y extendida por todo
el mundo, PGP es probablemente la solución más avanzada al tan discutido problema de la
privacidad del correo electrónico. Un uso cabal y cauto de PGP puede alejar de nuestros negocios
y de nuestra vida diaria la sombra de los intrusos.