E-mails encriptados y firmados con thunderbird, enigmail y gnupg

Índice

1. Introducción
2. Instalación de los paquetes necesarios
3. Generación y administración de claves
4. Firmado/encriptado de correos


1. Introducción

Si quieres asegurarte de la privacidad de tus e-mails, o quieres que nadie pueda suplantar tu identidad enviando e-mails con tu nombre, necesitas encriptarlos y firmarlos.

En GNU/Linux hacer esto es bastante sencillo. Hay varias opciones, pero en este tutorial yo voy a explicar cómo hacerlo usando Thunderbird, Enigmail y GNUPG.

2. Instalación de los paquetes necesarios

Como siempre, antes de empezar, tenemos que instalar los paquetes necesarios:

sudo aptitude install thunderbird enigmail gnupg

También deberíamos instalar las locales de Thunderbird y de Enigmail para tenerlo todo en nuestro idioma.

3. Generación y administración de claves

Una vez hecho esto, al abrir Thunderbird, veremos una pestaña llamada "OpenPGP". Pulsamos sobre ella y elegimos "Administración de claves".

Posteriormente, pulsamos en "Generar" y después en "Nuevo par de claves". Ahí tendremos que elegir la cuenta de correo a la que queremos asociar el par de claves (Pública/Privada), la "Frase clave" o frase de paso, y el tiempo de validez de la clave. El resto de parámetros pueden ser modificados, pero yo opté por dejar los que vienen por defecto. Pulsamos "Generar clave", esperamos unos segundos, y ya tendremos nuestro par de claves generado.

La clave pública tiene una apariencia como ésta (esta que pongo es la mía):

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.0
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=cr8S
-----END PGP PUBLIC KEY BLOCK-----

(http://keys.nayr.net/pks/lookup?op=get&search=0x50EDA1C829785972)

Es interesante proteger nuestras claves (más allá de usar una buena frase clave) para evitar posibles "catástrofes" (perder nuestra clave privada). Recomiendo generar un certificado de revocación de claves para poder anular nuestra clave en cualquier momento. Esto lo hacemos, desde la página principal de Thunderbird en "OpenPGP/Administración de claves". Seleccionamos el par de claves generado y después pulsamos "Generar/Certificado de revocación". También es interesante exportar nuestras claves a un fichero ("OpenPGP/Administración de claves/Archivo/Exportar claves a un fichero") y después pasar ese fichero a un disquete, o a una memoria USB y guardarlo en lugar seguro. Como sus propios nombres indican, la clave privada sólo debes conocerla tú, y la clave pública tiene que estar accesible para que cualquiera pueda usarla.

El siguiente paso es publicar nuestra clave pública ("OpenPGP/Administración de claves/Servidor de claves/Subir claves públicas") en alguno de los servidores de llaves incluidos en Enigmail, (pool.sks-keyservers.net, subkeys.pgp.net, pgp.mit.edu y ldap://certserver.pgp.com) o en el que vosotros querais.

4. Firmado/encriptado de correos

Ya estamos en condiciones de firmar y/o encriptar nuestros e-mails. Para encriptar, utilizaremos la clave pública del destinatario. Antes de poder usarla, tendremos que exportar esa clave pública a Enigmail, para después poder usarla. Es muy recomendable asegurarse de que el dueño de la clave pública que estamos exportando, es realmente quien dice ser, para evitar que nuestros correos sean leídos por alguien que no queremos. Cuando el destinatario reciba el e-mail, usara su clave privada para descifrar el mensaje. Dado que sólo él tiene la clave privada, sólo él podrá leer tu correo.

Para firmar el e-mail, utilizaremos nuestra clave privada. El destinatario utilizará tu clave pública. Si consigue descifrar tu firma, quedará demostrado que el remitente eres realmente tú. Así se evita la suplantación de identidad.

El proceso para firmar y encriptar e-mails es muy sencillo e intuitivo, ya que las herramientas necesarias para hacerlo están integradas en la ventana de redacción del e-mail. Hay incluso una opción para adjuntar la firma pública en el e-mail.