PDF de programación - PGP: Seguridad en el correo electrónico

Criptografía y Seguridad
Criptografía y Seguridad

Seguridad en el correo
Seguridad en el correo

de Datos
de Datos

electrónico
electrónico

Carlos Figueira.
Carlos Figueira.

Universidad Simón Bolívar

Basado en láminas del Profesor

Henric Johnson (http://www.its.bth.se/staff/hjo/

[email protected])

Carlos Figueira

1

Contenido
Contenido

● Pretty Good Privacy
● S/MIME

Carlos Figueira

2

Pretty Good Privacy
Pretty Good Privacy

(PGP)
(PGP)

● Creado por Philip R. Zimmerman.

Inicio de los 90.
provee

● PGP

servicios

de
confidencialidad y autenticación
que puede ser usada para correo
electrónico y aplicaciones de
almacenamiento

● Evolución a partir de versiones 2.x

Carlos Figueira

3

PGP (cont.)
PGP (cont.)

● Zimmerman vendió derechos comerciales a
ViaCrypt (hoy parte de Symantec). Versiones
pares eran libres (controladas por
Zimmerman), las impares eran comerciales.

● RFCs 2440 y 4880 (2007) PGP Estándar

(OpenPGP). Soportado por OpenPGP Alliance

● Cifrado simétrico (IDEA) y asimétrico (RSA)
● Incluido en clientes como pine, evolution,
thunderbird, outlook, outlook express, etc

Carlos Figueira

4

Por qué es tan popular
¿¿Por qué es tan popular

PGP?
PGP?

● Disponible gratuitamente para

varias plataformas

● Basada en algoritmos conocidos
● Amplio rango de aplicabilidad
● No es desarrollado ni controlado
por organizaciones
gubernamentales o de estándares

● Llaveros

Carlos Figueira

5

Descripción
Descripción
Operacional
Operacional
● Consiste de cinco servicios:

– Autenticación
– Confidencialidad
– Compresión
– E-mail compatibilidad
– Segmentación

Carlos Figueira

6

Carlos Figueira

7

Compresión
Compresión

● PGP comprime el mensaje después

de aplicar la firma pero antes de
cifrar

● La ubicación de algoritmo de

compresión es crítico (ZIP)

Carlos Figueira

8

Compatibilidad de E-
Compatibilidad de E-

mailmail

● El esquema usado es conversión radix-64 (3

bytes → 4 caracteres ASCII)

● El uso de radix-64 expande el mensaje en

33%.

Carlos Figueira

9

Segmentación y
Segmentación y
reensamblaje
reensamblaje

● Correo electrónico a menudo restringido

a un tamaño máximo de mensaje de
50,000 octetos.

● Mensajes más largos deben ser

divididos en segmentos. PGP
automáticamente subdivide mensajes
muy largos

● El receptor elimina todos los

encabezados y reensambla bloque
original.

Carlos Figueira

10

Resumen de servicios de
Resumen de servicios de

PGPPGP

● Firma: DSS/SHA, RSA/SHA
● Cifrado:

– Simétrico: CAST, IDEA, 3DES, AES
– Asimétrico (para cifrar clave
simétrica): Diffie-Hellman o RSA

● Compatibilidad email: Radix-64

Carlos Figueira

11

Carlos Figueira

12

Format of PGP Message
Format of PGP Message

Carlos Figueira

13

Carlos Figueira

14

Carlos Figueira

15

Carlos Figueira

16

Uso de “Confianza”
Uso de “Confianza”

((Trust
Trust))

● En lugar de usar certificados y CA,
cada usuario actua como autoridad
certificadora.

● Campo de legitimidad de la clave
● Campo de confianza de la firma
● Campo de confianza de Propietario

Carlos Figueira

17

Carlos Figueira

18

Revocando Claves
Revocando Claves

Públicas
Públicas

● El propietario genera un certificado

de revocación de clave

● Certificado de firma normal, con un

indicador de revocación

● La clave privada correspondiente
es usada para firmar el certificado

Carlos Figueira

19

((Secure/Multipurpose
Secure/Multipurpose
Internet Mail Extension)
Internet Mail Extension)
● Mejoras de seguridad para MIME
● MIME provee soporte para correos
con diferentes tipos de contenido y
multi-parte
● MIME codifica datos binarios en ASCII

● S/MIME disponible en clientes

como Mozilla, Mac Mail, etc.

● Debería ser el estándar en el

mundo profesional

S/MIME
S/MIME

Carlos Figueira

20

Simple Mail Transfer
Simple Mail Transfer

Protocol (SMTP, RFC 822)
Protocol (SMTP, RFC 822)

● Limitaciones de SMTP – No puede trasmitir

o tiene problemas con:
– Archivos ejecut. o binarios (p.e. imagen jpeg)
– Idiomas diferentes al inglés (caract. no-ASCII)
– Mensajes mayores a cierto tope
– Problemas de traducción ASCII to EBCDIC
– Líneas largas (72 to 254 characters)

Carlos Figueira

21

Rol del User Agent
Rol del
User Agent
firmados por la Autoridad Certificadora

● S/MIME usa Certificados X.509 version 3,

● Funciones:

– Gener. claves - Diffie-Hellman, DSS, RSA.
– Registro - Claves púb. registradas con

X.509 CA.

– Almacenamiento del Certificado - Local

(como en un navegador) para diferentes
servicios

– Firma y empaquetado de datos –
Diferentes órdenes para cifrar y firmar

Carlos Figueira

22

S/MIME: Algoritmos
S/MIME: Algoritmos

criptográficos
criptográficos

● Firma digital: DSS & RSA
● Resumen: SHA-1 & MD5
● Cifrado de clave de sesión:

ElGamal & RSA

● Cifrado de mensaje: AES, Triple-

DES, RC2/40 y otros

● MAC: HMAC on SHA-1

Carlos Figueira

23

Clases de Certificados
Clases de Certificados
● Ejemplo: Verisign (www.verisign.com)

– Class-1: email del comprador
confirmado por email (vital info)
– Class-2: Se verifica además
dirección postal, los datos
chequeados contra directorios
– Class-3: Comprador debe
presentarse, o enviar documento
notariado

Carlos Figueira

24

GNU Privacy Guard
GNU Privacy Guard

(gpg)
(gpg)

● Implementación GNU de OpenPGP
● Integrado en Evolution, Kmail, etc
● EnigMail – extensión para Thunderbird
● ¡Funciona hasta en Windows!
● Soporta algoritmos no patentados. Por

defecto DSA (firma) y ElGamal
(asimétrico). Además CAST5, Triple DES,
AES, Blowfish

Carlos Figueira

25

GPGGPG

● Generar clave
– gpg –-gen-key

● Exportar (para pasarla a alguien)

– gpg –-export –armor

● Importar (para incluir en llavero)

– gpg –-import file

● Servidores de claves públicas:

– pgp.mit.edu, keyserver.net

Carlos Figueira

26