Descripción : Una de las herramientas más usadas a día de hoy sigue siendo el correo electrónico, se utiliza a diario en todas las empresas, particulares, etc.
Normalmente no pensamos demasiado en si un correo electrónico debería ir encriptado o firmado digitalmente o no, pero en según qué casos y ocasiones, encriptar un correo electrónico hace que el interlocutor y el receptor establezcan una conversación segura en un camino nada seguro como es el flujo de correo electrónico.
La charla se basa en una descripción del producto Zimbra Collaboration, en su modalidad Open Source, y en el uso de dos Zimlets (Plugins) creados para ofrecer seguridad avanzada a los usuarios de Email.
- OpenPGP - Es un Zimlet Opensource basado Javascript, del que además tengo la suerte de traducir al castellano.
- S/MIME - basado en Java, es algo más pesado pero ofrece una seguridad de calidad.
Ambos plugins son usados desde el navegador web sin necesidad de instalar nada adicional, en el caso de S/MIME el certificado digital para firmar y cifrar Correos Electrónicos.
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Zimbra seguridad en el Correo Electrónico
1. Seguridad y cifrado del Correo electrónico
con Zimbra, OpenPGP y S/MIME
Jorge de la Cruz
www.jorgedelacruz.es
1
2. • ¿Seguridad en el correo electrónico? ¿Estamos
locos?
• ¿Por qué con Zimbra Collaboration?
• Firmado digital y Cifrado del correo
electrónico
• Firmado digital y cifrado usando Zimbra
Collaboration y S/MIME
• Cifrado usando OpenPGP
July 24, 2015 2
3. ¿Seguridad en el correo
electrónico? ¿Estamos locos?
July 24, 2015 3
4. ¿Seguridad en el correo electrónico?
¿Estamos locos?
July 24, 2015
Referencias:
http://gawker.com/how-unsafe-was-hillary-clintons-secret-staff-email-syst-1689393042
http://edition.cnn.com/2015/03/27/politics/hillary-clinton-personal-email-server/
http://www.theguardian.com/us-news/2015/mar/04/hillary-clinton-private-email-server-
new-york-home
Considero que el mayor problema de
seguridad aquí es la completa falta de
información acerca de quién ha estado
administrando, haciendo backup, y
manteniendo el acceso al correo
electrónico de la Secretaria. Si documentos
clasificados han sido compartidos, ¿quién
los ha podido ver?, ¿Fueron reenviados
esos ficheros? ¿Hubo accesos desde
múltiples dispositivos? ¿Estaba el cifrado
marcado por defecto en esos dispositivos?
Kenn White, Security Research
5. ¿Seguridad en el correo electrónico?
¿Estamos locos?
July 24, 2015
Referencias:
http://hipertextual.com/2013/08/correo-electronico-seguro
Las revelaciones de Edward Snowden
sobre PRISM y X-Keyscore han puesto de
manifiesto la necesidad de mejorar la
privacidad de nuestras comunicaciones al
estar sometidos a tantos programas de
espionaje.
Repasaremos algunas ideas y alternativas
que pueden mejorar la seguridad de
nuestro correo electrónico y, al menos,
ponérselo algo más difícil a la NSA.
6. ¿Seguridad en el correo electrónico?
¿Estamos locos?
July 24, 2015
Referencias:
https://en.wikipedia.org/wiki/ProtonMail
http://techcrunch.com/2015/03/20/protonmail-seed/
ProtonMail, producto creado gracias al
crowdfunding y hospedado en Suiza.
Este sistema nació en 2013 creado por
Andy Yen, Jason Stockman y Wei Sun,
apoyado por el MIT y el propio CERN, del
cual presumen contar con el apoyo de
consultores en tecnologías de la
información de este centro. La base de los
servidores de ProtonMail es Suiza, por lo
que no se sujeta a legislaciones como la
estadounidense.
7. ¿Por qué con Zimbra Collaboration?
July 24, 2015 7
8. ¿Por qué con Zimbra Collaboration?
July 24, 2015 8
10. Firma digital
July 24, 2015
• No debe confundirse con Firma electrónica.
• No debe confundirse con Firma digitalizada.
Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado
digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio),
y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad).1 2
La firma digital se aplica en aquellas áreas donde es importante poder verificar la autenticidad y la
integridad de ciertos datos, por ejemplo documentos electrónicos o software, ya que proporciona una
herramienta para detectar la falsificación y la manipulación del contenido
11. Cifrado del correo electrónico
July 24, 2015
Cuando cifras un mensaje, este se muestra "mezclado e ilegible" y solo lo puede leer la persona que tiene
la llave para descifrar el mensaje. La firma digital de un mensaje asegura que el mensaje salió desde el
remitente esperado. El cifrado asegura que el mensaje no ha sido leído ni modificado durante su
transmisión.
Para cifrar tus mensajes, puedes utilizar public-key sistemas de criptografía. En estos sistemas, cada
usuario tiene dos claves separadas: una clave pública y y una clave privada. Cuando alguien quiere
enviarte un mensaje cifrado, utiliza tu clave publica para generar el algoritmo de cifrado. Cuando recibes
el mensaje, debes utilizar tu clave privada para descifrarlo.
12. Firmado digital y cifrado usando
Zimbra Collaboration y S/MIME
July 24, 2015 12
13. Firmado digital y cifrado usando
Zimbra Collaboration usando S/MIME
July 24, 2015
Secure/Multipurpose Internet Mail Extensions, S/MIME
provee los siguientes servicios de seguridad criptográfica
para aplicaciones de mensajería electrónica:
• autenticación, integridad y no repudio (mediante el uso
de firma digital)
• privacidad y seguridad de los datos (mediante el uso de
cifrado)
S/MIME especifica el tipo application/pkcs7-mime (tipo
smime "enveloped-data") para envoltura de datos (cifrado):
la entidad MIME completa a ser envuelta se cifra y se
empaqueta en un objeto que luego se inserta en una entidad
MIME application/pkcs7-mime.
La funcionalidad S/MIME está construida en la mayoría de
apps de correo electrónico modernos y son capaces de
interoperar entre ellos.
Certificados S/MIME
Antes de que S/MIME pueda usarse en alguna de las
aplicaciones antes mencionadas, se debe obtener e instalar
una clave/certificado individual tanto de la autoridad
certificadora (AC) interna como de una AC pública. Una
buena práctica es usar claves privadas separadas (y
certificados asociados) para firma y para cifrado.
16. Diferencias entre S/MIME y OpenPGP
July 24, 2015
Mandatory
features
S/MIME v3 OpenPGP
Message format Binary, based on CMS
Binary, based on previous
PGP
Certificate format Binary, based on X.509v3
Binary, based on previous
PGP
Symmetric encryption
algorithm
TripleDES (DES EDE3 CBC)
TripleDES (DES EDE3
Eccentric CFB)
Signature algorithm
Diffie-Hellman (X9.42)
with DSS or RSA
ElGamal with DSS
Hash algorithm SHA-1 SHA-1
MIME encapsulation of
signed data
Choice of multipart/signed
or CMS format
multipart/signed with
ASCII armor
MIME encapsulation of
encrypted data
application/pkcs7-mime multipart/encrypted