proxy70

¿Cómo configuro Thunderbird para enviar correo firmado y cifrado?

En otra de sus disertaciones en la Escuela de Guerra, el General Juan
Perón expone un fundamental esquema para mantener el secreto operativo
para la victoria a través de correo electrónico firmado y encriptrado
desde Thunderbird usando Enigmail en el sistema operativo del Pueblo.

Actualización Doctrinaria: Este método es obsoleto ya que a partir de
Thunderbird versión 78, este programa de correo cuenta ahora con
encriptación de manera nativa. Este artículo se ha retenido por motivos
históricos, pero para poder encriptar correo en la nueva versión por
favor haga clic en este vínculo que lo llevará al artículo actualizado.

(...)

Nuestras fuerzas han de estar preparadas para la lid en todas las
condiciones que se le impongan, pero ello sólo es posible por medio del
estudio concienzudo del terreno y del tiempo de la acción. La
improvisación no suele ser pródiga en resultados, por lo cual todo
hombre de armas ha de evitarla y hacer del gabinete y de las maniobras
en campaña su más confiables tutoras.

Nuestro campo de lucha es uno el cual hemos de dominar, y mucho más si
nuestro enemigo es poderoso y está coaligado. Por tales motivos hemos de
recurrir a la llamada "guerra no convencional", que por novedoso nombre,
no deja de ser tan vieja como la historia misma. Este quehacer, también
puede llevarse a todos lo órdenes, incluso en la lucha telemática.

Podemos y debemos llevar la lucha digital a una escala superior. Hemos
de formar ágiles bandas telemáticas, encargadas de hacer tronar el
escarmiento y propiciar la independecia real de la Nación, su Pueblo y
su software. Células de acción y "formaciones especiales" encargadas de
llevar la Justicia Social por vías que a lo mejor no sean las adecuadas
en tiempos de paz, pero que vendrán de perillas en tiempos de guerra.
Nuestro enorme campo de acción son las redes, pretendidas por el enemigo
pero dominadas por nuestro Pueblo.

Para estas acciones de propaganda, disrupción telemática, y
ajusticiamiento tecnológico se hará sin duda imprescindible aquello que
es necesario en todo conflicto que hemos de emprender: las
comunicaciones.

La infraestructura de correo electrónico que se utiliza en todo el mundo
es, por diseño, insegura. Aunque la mayoría de las personas se conectan
a sus servidores de correo electrónico mediante una capa de conexión
segura ("SSL"), algunos servidores permiten acceso a sus usuarios a
través de conexiones inseguras. Por otro lado, la ruta de transmisión
que sigue el correo electrónico desde el remitente a su destinatario
pasa por numerosos servidores intermedios, y es muy posible que estas
conexiones intermedias también estén comprometidas de una manera u otra.
Es posible para terceros interesados interceptar, leer, y modificar los
mensajes de correo electrónico convencional. Por otro lado, la mayoría
de los servidores de correo públicos no están controlados por los
usuarios destinatarios, sino que son ofrecidos por proveedores de
internet de la oligarquía. Debemos desconfiar de ellos ampliamente, pues
han demostrado no tener escrúpulo alguno y acceder a correspondencia
electrónica de abonados que consideran riesgosos para sus planes
inconfesables, y han hecho a falta de ley adecuada de protección
informática, abuso informáticos duraderos.


Para contrarrestar esta insidiosa acción contamos con dos soluciones
libres interdependientes: la firmar digital de los mensajes de correo
electrónico, y su cifrado por medio del criptosistema GnuPG. Se trata de
un programa de identificación y cifrado libre pero redundante, diseñado
para ofrecer a los compañeros que luchan la posibilidad de identificar
sus usuarios de correo electrónico de manera fehaciente a través de un
archivo que oficia de firma electrónica (que naturalmente puede estar
asociado a una identidad anónima de guerra, si lo deseáramos). Asimismo,
el criptosistema es capaz de cifrar los mensajes de correo salientes por
medio de alta criptografía, de manera que estos recorran la ruta
telemático hasta su destinatario de forma "desordenada e inteligible".
Sólo cobrará legibilidad nuevamente en el criptosistema propio del
destinatario real del correo electrónico.

Cada miembro que utilice el criptosistema ha de poseer una clave, que se
subdivide en dos partes: una clave pública (un archivo .asc que se
comparte abiertamente con todo aquél a quien necesitemos enviar
correspondencia electrónica segura) y una clave privada (la cual ha de
permanecer celosamente guardada en nuestro equipo o caja de seguridad, y
se emplea para descifrar los correos electrónicos cifrados recibidos por
terceros). Ya he explicado en detalle el imprescindible paso para
crearnos un par de claves en nuestro equipo dotado de Ubuntu. Si ya
tenemos creado nuestro par de claves, podremos continuar.


En este caso, os enseñaré cómo hacer uso de correo electrónico firmado y
cifrado pero a través del sencillo cliente de correo electrónico
Thunderbird. Thunderbird es uno de los clientes de correo electrónico
libres más extendidos en Ubuntu, pero de forma nativa no está preparado
para lidiar con correo firmado electrónicamente ni cifrado. Para poder
compatibilizarlo con estas opciones, hemos de agregarle una extensión
gratuita llamada Enigmail.

Para instalar Enigmail en Thunderbird, debemos abrir dicho programa ir
al menú Herramientas / Complementos. (si no vemos la barra de menú,
podremos hacer clic con botón derecho encima de la barra abierta, y
tildar "Barra de Menú" en el menú contextual que aparezca): Una vez en
la ventana de Agregar Complementos, podremos buscar el complemento
"Enigmail" tipeándolo en la ventana de búsqueda. Una vez que aparezca
seleccionamos el paquete y presionamos el botón Agregar a Thunderbird.

Enigmail se descargará y se acoplará al programa. Para que dicha
comunión se haga efectiva, debemos reiniciar Thunderbird.

Ahora debemos indicarle que use nuestro par de clave de cifrado. Para
ello, dentro de Thunderbird, vamos a Enigmail / Asistente de
Configuración.

El asistente nos ofrecerá una configuración de seguridad básica, con
firmado y sin cifrado. Seleccionamos "Prefiero una configuración
extendida (recomendado para usuarios avanzados)".

Allí el programa analizará nuestro depósito de claves, y nos ofrecerá
emplear la clave pública que hemos creado previamente. Si tuviésemos
varios pares creados para distintas condiciones, podremos escoger uno de
la lista y asociarlo a nuestra cuenta de correo electrónico.

Ahora podremos configurar las opciones de encriptación propiamente
dichas. Para ello vamos a Enigmail / Preferencias, y se nos presentará
el cuadro de preferencias.

Normalmente el sistema utilizará la "configuración de cifrados
conveniente", que suele ser adecuada en condiciones normales. Esto
bastará como buen perfil de seguridad general, empleando firma digital y
no utilizando cifrado salvo que lo solicitemos manualmente, o enviemos
un correo a un contacto del cual tenemos su clave pública. Para la
mayoría de las situaciones esto será suficiente

Sin embargo, un escenario de lucha más extremo nos impondrá la necesidad
de tener la mayor seguridad posible. En este caso mas extremo hemos de
escoger la "configuración de cifrado manual", y tildamos entre dos
políticas de seguridad a seguir. La política "acepte para enviar
cifrado, sólo las claves de confianza" significa que sólo se cifrarán
mensajes contra claves de terceros a las cuales hemos chequeado su
identidad personalmente. Si tildamos "acepte para enviar cifrado, todas
las claves", confiaremos en que quien nos ha envíado una clave adjunta
es la firma es quien dice ser.


Por último, a la hora de configurar, es importante indicar una carpeta
para los mensajes que desencripte nuestro criptosistema. Naturalmente
que debemos emplear para ello únicamente una carpeta local, situada en
nuestra computadora. Sería imberbe y estúpido emplear un criptosistema
para correo, que descifre el contenido y lo vuelva a subir desencriptado
a una carpeta remota en Google Mail. Sólo un malo operaría de esta
manera. De modo que escogemos una carpeta local (normalmente se marca la
"Papelera", de manera de poder leer el mensaje desencriptado,
comprenderlo, y luego eliminarlo). También podremos crear una carpeta
llamada "desencriptados" o algo así, donde irán a parar dichos archivos.
Luego debemos asegurarnos de eliminar dichos archivos una vez leídos, de
acuerdo a la política que sigamos en nuestras organizaciones.

Compartir clave pública con otros compañeros


Una vez que hemos configurado un par de clave propio, es necesario
hacerle presente la clave pública a otro(s) destinatario(s) que quieran
enviarme correo cifrado.

El procedimiento de compartir nuestra clave pública es la parte
vulnerable de este confiable criptosistema. Lo ideal sería llevar el
archivo .asc en mano, en un pendrive hasta el domicilio del remitente,
pero lógicamente esto sería un engorro. Por ello también podremos
hacerlo a través de correo electrónico, idealmente confirmándole al
destinatario a través de una segunda e incluso tercera vía de contacto
(por videoconferencia, teléfono, chat, o SMS por ejemplo). De esta
manera el remitente se asegurará que somos nosotros y no un impostor
electrónico, quien hace uso de este cometido.

Simplemente redactamos un correo a nuestro contacto deseado y
presionamos el botón Adjuntar mi clave pública (o escogemos dicha
función desde el menú Enigmail de la ventana de redacción de correo
electrónico nuevo).

También podríamos querer tomar la política de enviar la firma digital en
todos los correos salientes (se adjuntará un archivo .asc en todos los
correos que enviemos). Esto es buena práctica si no avizoramos
inconvenientes de privacidad alguno.

En otros casos, podríamos querer modificar las propiedades de
encriptación como se explicó arriba, para que codifique sólo los
mensajes enviados a determinados contactos. Normalmente este será el
proceder si tenemos una única cuenta de correo electrónico para todo
cometido.

Incorporar clave de un tercero a nuestro criptosistema


Naturalmente, también nos llegarán a nuestro criptosistema las claves
públicas de terceros que deseen compartir mensajes cifrados con
nosotros. En tal caso, notaremos que en dicho correo electrónico
existirá un adjunto con extensión .asc. La misma es la firma digital del
remitente.

Cuando la abramos, Thunderbird nos indicará: "el archivo que desea abrir
aparenta ser una firma digital", y nos preguntará si deseamos ver o
importar dicha clave pública a nuestro criptosistema. Si estamos seguros
de la identidad real del remitente a través de las vías descriptas
anteriormente, presionamos Importar. El GnuPG nos solicitará nuestra
contraseña de criptosistema para agregarla.

Naturalmente, la clave pública de terceros también puede agregarse
manualmente a través de la terminal como he explicado en otra ocasión.
Envíar correo electrónico firmado digitalmente o cifrado

Una vez que tenemos configurado el par de claves propio y contamos con
la clave pública del destinatario, podremos hacer uso de la encriptación
de correo electrónico de forma muy sencilla. Redactamos un correo a
cifrar como lo hacemos normalmente, e indicamos la dirección de correo
electrónico del destinatario. Para cifrarlo, presionamos el botón del
"candado" (o elegimos Enigmail / Encrypt Message). El sistema solicitará
que introduzcamos nuestra contraseña del criptosistema para cifrar el
mensaje.

Si nuestra dirección de correo electrónico está asociado a un par de
claves GnuPG, el mensaje se cifrará con dicha clave. Si en cambio usamos
una dirección de correo electrónico no asociada a una clave GnuPG, se
nos solicitará que seleccionemos una clave de una lista. Luego enviamos
el correo como lo hacemos habitualmente. El mismo será indescifrable
para terceros, y sólo el remitente con la clave privada

Nota: Si bien GnuPG cifra el cuerpo del mensaje y los adjuntos, el campo
"Asunto" del correo electrónico NUNCA queda cifrado. De tal manera que
debemos tener cuidado de no poner información comprementedora dicho
campo asunto, y debemos asumir que siempre podrá ser leído por cualquier
persona inescrupulosa. Leer correo electrónico de terceros, firmados
digitalmente o cifrados Naturalmente, cuando recibamos un mensaje
cifrado por uno de nuestros contactos, Thunderbird nos solicitará que
introduzcamos nuestra contraseña del criptosistema para descifrar el
mensaje, ya que él no podrá hacerlo por sí solo.

Para determinar si el mensaje entrante se ha cifrado o firmado
digitalmente, hay que buscar en la barra de información justo por encima
del cuerpo del mensaje por determinados mensajes indicativos:

    Si Thunderbird reconoce la firma, mostrará una barra de color verde
    encima del mensaje:

GoodSignature

    Si el mensaje se ha cifrado y firmado, Thunderbird mostrará una
    barra de color verde encima del mensaje con el texto "mensaje
    descifrado", nos encontramos aquí ante un mensaje de la máxima
    seguridad:

Signature&Encrypted

    Si el mensaje ha sido cifrado, pero no firmado, la barra aparecerá
    celeste.

EncryptedNotSigned Un mensaje cifrado pero que no ha sido firmado no
ofrece garantía absoluta, y podría podría haber sido enviado por un
tercero haciéndose pasar por el titular de la cuenta. Por tal motivo
siempre conviene cifrar y firmar los mensajes, para evitar
inconvenientes de seguridad.