Seguridad Informática: Firmar Digitalmente los Correos Electrónicos con PGP

¿Qué es la Firma PGP?

PGP (Pretty Good Privacy, o Privacidad Bastante Buena) es un software de cifrado empleado para garantizar la autenticidad y la integridad de un mensaje o documento.

Funciona mediante el uso de dos claves diferenciadas, una pública y otra privada (criptografía de clave pública, o asimétrica).

La clave pública se utiliza para cifrar los mensajes o archivos antes de enviarlos, mientras que la clave privada se utiliza para descifrar los mensajes recibidos, o para firmar digitalmente los mensajes.

Cuando «firmas» un mensaje con tu clave privada PGP, estás generando una firma digital que se añade al mensaje.

Esta firma puede ser verificada por cualquier persona que tenga tu clave pública PGP, lo que garantiza que el mensaje proviene de ti y que no ha sido modificado desde que lo enviaste hasta que lo reciben.

Se trata de una tecnología OpenSource, disponible de forma libre y gratuita para prácticamente todos los sistemas operativos.

Desde su aparición en 1991, se ha convertido en el estándar para firmas y encriptado de documentos y mensajes de correo electrónico.

¿Qué grado de seguridad ofrece PGP?

PGP ofrece un alto grado de seguridad en la transmisión de información y protección de datos, utilizando para ello sistema de codificación suficientemente robusto como para permitirnos confiar en mensajes y documentos firmados y encriptados con esta herramienta. Se asume que emplea un algoritmo indescifrable.

En sus 30 años de histewsoria se produjeron algunas fallas de seguridad, que fueron puntualmente solventadas, en gran medida gracias a tratarse de tecnología abierta que permite a cualquiera analizar su código.

Como en casi todos los sistemas de seguridad, su punto débil es el factor humano, especialmente si la clave privada se ve comprometida, o hay algún error en su implementación.

Aunque se trata de un sistema relativamente fácil de utilizar, requiere de un mínimo nivel de conocimientos técnicos y mantener ciertos hábitos y protocolos de seguridad básicos.

Sin ninguna duda, ofrece una capa adicional de seguridad para proteger la privacidad de las comunicaciones en línea. Pero a cambio requiere a los usuarios dedicar más tiempo a establecer un ciber entorno seguro, cifrando discos, documentos y verificando las firmas de sus contactos.

Ventajas de Firmar Digitalmente los Correos Electrónicos con PGP

1. Autenticidad: Al firmar un correo electrónico con PGP, estás garantizando que el mensaje proviene de ti. Esto ayuda a prevenir el fraude y la suplantación de identidad.
2. Integridad: Una firma digital PGP también verifica que el contenido del correo electrónico no ha sido alterado en tránsito. Si alguien intenta modificar el mensaje, la firma digital será inválida.
3. No requiere cifrado: Los destinatarios no necesitan utilizar PGP o firmas digitales para leer un mensaje firmado digitalmente. Esto significa que puedes enviar correos electrónicos firmados a cualquier persona, independientemente de su configuración de correo electrónico.

¿Cómo utilizar PGP en la práctica?

Partimos de la base de que estás en un ordenador con sistema operativo Ubuntu, y con el cliente de correo Thunderbird. Ambos en sus versiones más recientes.

Esta guía puede servir para otros sistemas operativos y clientes de correo con algunas variaciones.

Guía paso a paso para crear y utilizar PGP en Thunderbird

Los nombres de los menús y opciones pueden variar de una versión a otra de Thunderbird.

1. Abre Thunderbird y ve a la pestaña "«Herramientas» en la barra de menú.
2. Selecciona "Administrar Claves" (en algunas versiones aparece como configurar certificados o similar) y haz clic en "Generar (nuevo par de claves)".
3. Introduce los datos solicitados (la dirección de correo para la que vas a generar la clave) en los campos correspondientes y haz clic en "Generar claves".
4. Sigue las indicaciones que aparecen en pantalla. Para aumentar la aleatoriedad de tus claves puedes navegar activamente por internet mientras se generan.
5. Selecciona una contraseña segura para tu clave privada y haz clic en «Aceptar» para generar tus claves PGP.
6. Una vez generadas las claves, encontrarás tu clave pública en la sección "Mis claves" .
7. Accede al apartado "Cifrado de extremo a extremo" que encontrarás en "configuración de la cuenta" selecciona la clave pública que acabas de crear. Si no la muestra tienes la opción de "Agregar Clave" e importarla.

Para firmar un mensaje de correo electrónico, redacta tu mensaje como de costumbre y haz clic en el icono OPEN PGP (unas veces un candado, otras un escudo) en la barra de herramientas de Thunderbird.

Te mostrará opciones como "cifrar, firmar, etc. selecciona FIRMAR

Tu mensaje estará firmado con tu clave PGP y podrás enviarlo de forma segura.

Para verificar un correo electrónico recibido y firmado con PGP en Thunderbird

Cuando recibas un correo electrónico firmado con PGP, Thunderbird verificará automáticamente la firma.

Si la firma es válida, verás un icono verde en el mensaje. Si la firma es inválida, verás un icono rojo.

Para una mayor seguridad:

1. Abre el correo firmado. En la parte superior de la ventana del mensaje, verás un icono de PGP (llave, sello o similar) que indica que el mensaje está firmado con PGP.

2. Haz clic en el icono. Si la firma es válida, verás un mensaje que dice "Good signature". Esto significa que el correo electrónico proviene del remitente auténtico y no ha sido modificado en tránsito. Si hay algún problema o discrepancia, mostrará un mensaje de error indicando que la firma no es válida.

   Esta verificación te permitirá confirmar la autenticidad del remitente y la integridad del mensaje firmado.

¿Qué es el archivo .asc que se incluye en los mensajes firmados con PGP?

El archivo .asc que se adjunta en los mensajes firmados con PGP contiene la firma digital del mensaje.

Es importante tener en cuenta que el archivo .asc no contiene el contenido del mensaje en sí, sino solo la firma digital.