Encriptar Correos con PGP

Actualización Agosto 2 – 2015

Este artículo lo escribí en octubre de 2013, luego de las revelaciones de Snowden. Es un tutorial para evitar que los correos sean leídos por terceros. Nos es perfecto, pero incrementará la seguridad de sus comunicaciones notablemente.

Lo hice para Linux, que es lo que uso, sin embargo una ves instalado se lo puede utilizar desde la parte de configuración de Gmail. Intento no usar Gmail y no recomiendo su uso. Con pocas modificaciones este tutorial podría funcionar para herramientas como Hotmail, Yahoo, o cualquir correo que soporte los protocolos IMAP o POP3.

Para instalar las herramientas en Windows o Mac pueden complementar este tutorial con el que hizo la Free Software Foundation: «Defensa personal del correo electrónico«.


 

A muchas personas les preocupa el tema del espionaje y no saben como defenderse. En un artículo anterior expliqué como proteger las comunicaciones por chat. En este artículo explicare como proteger los correos electrónicos de un correo ya existente. Para este ejemplo utilizaré una cuenta de Gmail, pero el mismo concepto funcionará para Yahoo, Hotmail y correos propios (lo ideal) que no dependan de estas corporaciones.

Es importante notar que si bien se pueden cifrar los correos de servicios como Gmail, no es lo más conveniente. Ellos siguen teniendo nuestros correos y tal vez en el futuro los puedan descifrar y además tienen nuestra metadata. Es decir con quién me comunico, con que frecuencia, desde donde, etc…. Este tutorial debería servir como un primer paso para tener privacidad. El siguiente paso sería conseguir un servidor de correo propio para una organización, comunidad, amigos, etc….

Instalar Thunderbird/Icedove y Enigmail

Si usan Windows o Mac deberán buscar como instalar los programas Thunderbird, Enigmail y GPG. En el caso de GNU/Linux, GPG ya viene instalado y muchas veces Thunderbird.

En distribuciones como Ubuntu, Linux Mint se pueden instalar los paquetes necesarios de la siguiente manera:

sudo apt-get install thunderbird enigmail thunderbird-l10n-es-ar

En el caso de Debian el paquete se llama icedove en lugar de thunderbird, por temas relacionados con marcas.

sudo apt-get install icedove enigmail icedove-l10n-es-ar

En el caso de otras distribuciones se instalará los paquetes correspondientes.

Configurar Gmail con IMAP en Thunderbird

Una vez configurado instalado Thunderbird con Enigmail, el siguiente paso es configurarlo con nuestra cuenta de correo electrónico. Para este ejemplo utilizará Gmail, que como ya dije antes, no es lo mejor pero es un avance importante si se quiere tener privacidad.

Lo primero que decimos es que no queremos crear una cuenta sino utilizar una existente

Thunderbird Gmail 1

Configuramos los datos de la cuenta de Gmail:

Thunderbird Gmail 2

Luego de dar click en continuar Thunderbird / Icedove hará las comprobaciones de la cuenta y configurará IMAP:

Thunderbird Gmail 3

Listo se ha configurado la cuenta y se empezará a descargar los correos de Gmail.

Llaves Públicas y Privadas

El concepto de criptografía cuando se utiliza PGP es el de llaves públicas y privadas. Se tiene una llave pública que se la entrega a las personas que van a encriptar los correos que voy a recibir. Es más se la puede subir a Internet para que sea más fácil para otros cifrarme los correos. Por otro lado se tiene la llave privada que sirve para descifrar los correos. Esta llave no se debe compartir y es recomendable sacar un respaldo ya que sin esta no se podrán leer los correos.

Las llave privada también sirve para firmar los correos electrónicos y la pública para verificar si la firma de los correos es correcta. Es decir PGP también funciona para tener firma digital.

Crear par de Llaves Públicas y Privadas

Es muy probable que la instalación de Thunderbird / Icedove tenga el problema de que no sean visibles los menús. Para esto configuramos con click derecho en la parte superior para que estos sean visibles.

Thunderbird ver menús

Una vez que es visible el menú, se selecciona el menú OpenPGP y luego el administrador de claves:

generar llaves 1

En el administrador de claves seleccionamos Generar -> Nuevo par de claves

generar llaves 2

Asignamos una contraseña y de manera opcional un comentario para la llave pública. El comentario podría ser mi nombre y algo que me describa. Se define si se le da opción de caducidad al par de llaves. Es recomendable dar un tiempo de vida a nuestras llaves e ir renovando cada cierto tiempo.

generar llaves 3

En la misma venta seleccionamos la opción de avanzados para seleccionar el tamaño de llaves más grande permitido. En este caso el valor es 4096:

generar llaves 4

Con esto estamos listos para generar el par de llaves públicas y privadas. Dependiendo de la computadora esto podría tomar algún tiempo. Durante el proceso de creación se nos pregunta si queremos generar un certificado de revocación de la llave pública. Esto es útil si se tiene la llave subida a un servidor y por algún motivo ya no se la quiere utilizar. Por ejemplo, mi computadora fue robada. Es recomendable generar el certificado y guardarlo en algún lugar seguro:

generar llaves 5

Importar una llave pública y enviar el primer correo cifrado

Lo primero que debemos hacer para enviar un correo cifrado a alguien es solicitar su llave pública. Una forma sencilla de recibirla puede ser a través de correo electrónico como adjunto. Luego desde el administrador de claves la podemos importar.

importar clave 1

Luego buscamos el archivo con la llave pública y lo importamos.

Importar clave 2

Con esto ya estamos listos para enviar nuestro primer correo cifrado. Básicamente en el botón de OpenPGP habilitamos la opción de cifrar el correo.

Enviar correo cifrado

Listo ya hemos enviado nuestro primer correo cifrado.

Compartir Nuestra Llave Pública

Ahora que ya podemos enviar correos cifrados, es importante que podamos recibir correos cifrados. Para esto debemos hacer accesible nuestra llave pública. Una forma es a través de correo electrónico. En el menú de redacción de correo existe la opción OpenPGP -> Adjuntar mi clave pública.

adjuntar llave pública

Otra opción es subir la llave pública a los servidores de Internet y hacerla accesible a más gente. De esta manera más personas se podrán cifrarme correos electrónicos.
Para esto en el administrador de claves, buscamos la clave (por nombre, por ejemplo) y la exportamos a los servidores públicos.

exportar clave

Verificar la clave

Es importante verificar que la llave pública corresponde a la persona con la que me quiero comunicar. No quisiera enviar un correo cifrado que lo lea otra persona. Para esto debemos comprobar la llave pública y esto se lo hace a través del ID o el Finger Print.

Para conocer el ID o el Finger print de la llave pública, en el administrador de claves se selecciona la clave y se pone las propiedades de la misma.

propiedades clave

Personalmente casi no uso Gmail y lo use para este ejemplo. Sin embargo para mi cuenta de correo electrónico convencional se puede ver los datos de mi clave pública en la siguiente diapositiva:

Rafael Bonifaz llave pública pgp

Si quieren practicar enviar un correo electrónico, pueden utilizar mi llave pública.

Este fue un pequeño tutorial para empezar a cifrar correos electrónicos. Hay muchas otras cosas que se pueden hacer con PGP, pero esto es lo básico que deberíamos utilizar.

Artículos relacionados

Publicado por

Rafael Bonifaz

#SoftwareLibre #criptografía y #privacidad

21 comentarios en «Encriptar Correos con PGP»

  1. Al enviar el mensaje me dice que todo el HTML va a ser eliminado, entonces mi pregunta es ¿solo en texto plano se puede cifrar los mensajes?

    Otra pregunta que tengo es al adjuntar mi clave pública y también digamos un archivo PDF, un diálogo me pregunta si debe cifrar solo el texto y no los adjuntos o cifrar el texto y los adjuntos, en el segundo caso ¿que va a pasar con mi clave pública adjunta? ¿existe algún problema con quien recibe mi clave?

    Gracias por tu ayuda.
    Saludos

    1. Sí se puede mandar html, no se si es lo más recomendable y cuáles son las implicaciones. Habría que revisar.

      La clave pública solo la adjuntas la primera vez o simplemente la subes a un servidor de clave. Si mando adjuntos prefiero encriptar todo en un solo paquete para que si alguien captura el correo no sepa cuántos adjuntos estoy mandando o los nombres de los mismos.

      Saludos,

      Rafael

  2. Hola, tengo una inquietud, deseo crear llaves privadas para poder encriptar mis emails en todas mis cuentas de correo, sin embargo, no me aparece la opción Open PGP, la opción «Barra de Menú» ya está activada, sin embargo no me aparece la opción para poder crear claves.

    1. Puedes manejar varias cuentas con una sola clave. Para esto debes ir al administrador de claves, buscar tu clave, con el botón derecho vas a administrador id del usuario. Ahí puedes añadir el id del usuario. También podrías crear otras claves una vez dentro del administrador de claves.

      Luego deberías ir a la configuración de la cuenta en Thunderbird y cada cuenta tiene la opción de «Seguridad OpenPGP». Ahí deberías asociar la cuenta con la clave

  3. Hola,
    quiero enviar mis claves publicas pero en la opcion redactar, «openpgp»
    y leugo adjuntar mi clave publica» esta opcion no está habilitada,
    Como puedo habilitarla?
    Muchas gracias!

  4. Cordial Saludo Rafael.

    Muy util su publicación. Aunque tengo dificultad siguiendo el proceso de configuración de la nueva cuenta en ThunderBird de acuerdo a sus sugerencias. La cuenta que estoy configurando es de gmail, pero no tiene el dominio gmail.com si no el de mi compañía.

    Como debo proceder en ese caso para que mi cuenta quede configurada y poder cifrar algunos correos que enviamos a nuestros cliente?

    Agradezco de antemano su atención y nuevamente por el conocimiento generado en su blog.

    Angel Castaño

  5. Mi companera de trabajo me espia me di cuenta que se va a su correo todo lo que yo recibo o envio el correo es zimbra y no se como configurarlo

  6. Hola Rafael tengo una pregunta:

    resulta que tengo un contacto que me ha enviado un mensaje usando PGP pero no consigo descifrarlo me sale esto: ¡Error! No se encontró clave privada para este mensaje. Identidades de clave privada requeridas: 187C3E990A964C30 o BDA0CFE6BF5E5C1C yo ya probe con enviar un mensaje con la clave privada y aun asi me aparece eso… que estoy haciendo mal??

  7. Pingback: ASLE
  8. Hola, quisiera saber si me pueden ayudar con un error que me esta dando al momento de abrir un documento pdf cifrado mayor a 3k. Si escojo la opción DESCIFRAR Y ABRIR, independientemente de la aplicación que tenga para lectura de archivos pdf, me sale el siguiente error: «Adobe reader no pudo abrir el archivo debido a que no es un tipo de archivo admitido o está dañado (por ejemplo, se envió como adjunto de correo electrónico y no se descodificó correctamente). He probado con adobe reader y pdf creator y en los dos casos me da el mismo error independientemente de las versiones de cada lector. No es problema del archivo ni está dañado ya que si escojo la opción DESCIFRAR Y GUARDAR, el archivo se descarga en la localidad que yo elija y si lo quiero abrir se abre con cualquier lector de pdf sin error alguno y correctamente descifrado.
    Como les digo, he realizado varias pruebas con lectores de pdf y archivos pdf pero me sucede lo mismo. No se si alguien me puede ayudar con su opinión o les ha pasado algo similar.

    Mil gracias por su ayuda y pronta respuesta.

  9. —–BEGIN PGP MESSAGE—–

    wf8AAAIMA04h6RxWSG/eAQ//epiPJaUQ22Aw2cQ2GIz9CyOv2HQ8tx2LY7AT9YH/
    4y1ooO5vynFh7e4s95h88qZqunBPwIXu9u5xThHeRzsX7axBPb8pBNRUpT7XMcuu
    6OUczKzKtfIwnz+pmaptm7AdkVxVAEjRA5814wuaXYzNslLJtyeFvg24LD+Mc67J
    IAoD4ho9Lz4RnUbw/0qcrPmxjU3PdrzTlePusCpsqBT1JZnt5BDdL9loPTyu5HV/
    L5HvAC/vKZVsixL9YBQ1tB2Onledle5BNCKT6mSvWKIaleiXhQmo2+DSlFGu1b9r
    lRGFnNWYCuk6+8kCBB4YPpKAwrpvNDizGMrKMfAAGt0d/S1OMV3O5ckCH6N16hpu
    Y3twG17E+UrLOj37/Sq29qQAJCiUHAp8J6VqfhEkqdhLTvOld1ejIwF+y49cvmk0
    MqdZcaCgdQDF8q2Kl1qyY8dQQmt9/Skn+ZU14TaO3mRwQnFQ+oVgFw0ylQ1UFvFM
    AIrM+MB85lSD90DIYoPlr9qcn67a4q5MdwQ9d2c4tXT4dhO7MKjxBjtUky/zRAPF
    OWqFOG6G1BWCTMWbi42h1DZCjr3hDcW//BtQDQP4YalY+FnhI3xQ82h+GMEG+MDY
    YUnyqU0DbHm/5DXlfO9NsV0B28FlbaVJSvxmslt1xsN19HA+vS8boNLsbnp0ElJd
    0UbB/wAAAgwD5KbYolMQUjwBD/9bMJoBk4GOzFk16ztxcvAuhd6fno1oHGizFMC7
    ysFwJeRMwPUpFgcplGsW94bj2DjpxTD5VtWt3K/d0qXLKVPDn6hM/5sEa+WQHZ2C
    GAG+Tdq3hJSaaOuMNevzO6JvCErhlW0t8qXAgd3ca4WTDZ9LrqDzDDt9qWiSnNPk
    W3QoSQBlhVEq509cjGsBIOXeKrlffr9ehXRLeDcI/98G+d96rfXBNuat1bajNv5y
    VnT4aGp0NhVfEUxpoOVFcuaI/ukfNNwzs6IxOPXS7YEYggIKWfIlYM81HVzKRr4V
    Pmg60Q8eodHJgjxyWQg0B4Oj9RhlJmDdnXKgabdZUGKrd6lNrFZ9jcj2JmbxbduC
    6kiB31pnNChs2og2P8QhtNzkRukM6pDhpFtxuPk/Zo/rr3esI+oIuWuBVHx7HZGu
    aQuobAWK388PvxsPpwiuOHDNywgwRXB8quqoMUNM8d98TJ8MNrHsjg82PS1iH0SO
    p4jlICnl3VOZRsjsmJdDIzrs+6tEGhhtYCADunu6uYMbPmQa8GyDMf9y58Q4qNfF
    lqzf7k4JLWic18RKCYz7unpYK/yZzwDjFPZEUmkTgCyp0xWKwa7I0EtyC3/GtOj9
    dhWIQ+/5iG3E2w3ZO0WWMIiy0XvRvEqXmgHBUtYnuWyz5qQqh7T16niPccn9ASvw
    HEmoK9L/AAAA6QHgRsZdF2kMMlmb72lXVgu6anYDYacnl51+9KAm2i83feSLINtL
    E68V1ab0OIRvGAf8VzaPEqADmhq9vHPBfI5hWKJcdIbXbsoF1KF1MZKKdGIrERRJ
    TcDgamMuLmEXfwFZ4ccta5MQWmyNSYZum2fOcri9C0dvLo9IaDDgebeMVdyxQBWJ
    tEUrdph1FMeQjSoKLd9hKHWGC+7yjrF1Jd3NG3eAflN1Iyz9OJOXFBd6+DS+FYm3
    8SHD2GveAUSbgEW0InyK3mC76iplENOBpAgYXQKZFtxjiBN8lKTnIN0gpsr/DDvM
    EG+2
    =9dpg
    —–END PGP MESSAGE—–

Responder a Rafael Bonifaz Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.