PDF de programación - Vulnerabilidades del uso de correo electrónico y Desafíos de seguridad para su implementación futura Protocolos y medios de implementación de correo electrónico seguro

UNIVERSIDAD DE BUENOS AIRES



FACULTADES DE CIENCIAS ECONÓMICAS,

CIENCIAS EXACTAS Y NATURALES E

INGENIERÍA

MAESTRÍA EN SEGURIDAD INFORMÁTICA

TESIS DE MAESTRÍA

Vulnerabilidades del uso de correo electrónico y Desafíos de

seguridad para su implementación futura

Protocolos y medios de implementación de correo

electrónico seguro







































DANIEL ALEJANDRO MALDONADO RUIZ

daniel.a.maldonado@ieee.org

DIRECTOR:

Mg. Ing. Juan Alejandro Devincenzi

2015

Cohorte 2013









DECLARACIÓN









Por medio de la presente, el autor manifiesta conocer y aceptar el
Reglamento de Tesis vigente y que se hace responsable que la totalidad de
los contenidos del presente documento son originales y de su creación
exclusiva, o bien pertenecen a terceros u otras fuentes, que han sido
adecuadamente referenciados y cuya inclusión no infringe la legislación
Nacional e Internacional de Propiedad Intelectual














____________________________
Daniel Alejandro Maldonado Ruiz
DNI 95133095



i



RESUMEN




El presente proyecto

incluye un

resumen de

los conceptos
tecnológicos del correo electrónico, haciendo énfasis en sus adaptaciones
para transportar multimedios en una plataforma diseñada para transportar
texto. Se incluye también un resumen acerca de los sistemas de criptografía
de clave pública, desde su origen hasta sus implementaciones actuales.
Además una reseña sobre la seguridad y el anonimato en Internet y su
creciente importancia en el mundo actual.


Se explican las características de seguridad que, según los conceptos
extraídos de la criptografía, deben tener los sistemas de correo electrónico;
para explicar brevemente las más importantes tecnologías de protección de
correos electrónicos realizando un enfoque en PGP y OpenPGP, sus
características, protocolos y vulnerabilidades; estas últimas fruto de la poca
evolución del sistema frente a las nuevas formas de utilización de Internet.


Para afrontar estas vulnerabilidades, se plantean las características
con
las que deberá contar un nuevo protocolo de usabilidad y
establecimiento para un sistema basado en OpenPGP, el cual trata de
reducir
la dificultad de utilización de OpenPGP y asegurar el
almacenamiento de los mensajes que se transmiten.


Finalmente se presentan

las conclusiones surgidas de esta
investigación, poniendo especial énfasis en cómo
las características
propuestas aumentan la seguridad de las comunicaciones entre usuarios
asegurando su privacidad en Internet.


Palabras clave: Correo Electrónico, PGP, almacenamiento, seguridad,
privacidad, anonimato, Clave pública, usabilidad.









ii



CONTENIDO:





1.1.2

1.1.1

DECLARACIÓN .............................................................................................. i
RESUMEN ...................................................................................................... ii
CONTENIDO: ................................................................................................ iii
INDICE DE GRAFICOS: ................................................................................ iv
INDICE DE TABLAS: ..................................................................................... v

INTRODUCCIÓN ............................................................................................ 1

CAPÍTULO 1................................................................................................... 3
DEFINICIONES GENERALES ....................................................................... 3
1.1 CORREO ELECTRÓNICO .............................................................. 3
FORMATO ................................................................................ 3
1.1.1.1 Formato estándar ........................................................... 4
1.1.1.2 Extensiones Multipropósito de Correo en Internet ......... 6
Arquitectura ............................................................................ 10
1.1.2.1 Agente de Usuario ....................................................... 11
1.1.2.2 Servidor de Correo (Agente de transferencia) ............. 12
Protocolos de Recepción. ....................................................... 15
1.1.3.1 POP3 ........................................................................... 15
IMAP ............................................................................ 16
1.1.3.2
ANONIMATO EN INTERNET ........................................................ 16


CAPÍTULO 2................................................................................................. 20
SOLUCIONES ACTUALES DE CORREO ELECTRONICO SEGURO ........ 20
2.1 REQUISITOS DE SEGURIDAD .................................................... 20
2.2
PROTOCOLOS SEGUROS .......................................................... 23
PEM ........................................................................................ 23
DKIM ....................................................................................... 29
S/MIME ................................................................................... 32
2.3 OTROS MODELOS DE CORREO SEGURO ................................ 38
Correo electronico Anónimo ................................................... 38
Correo Electronico sobre redes anonimas .............................. 42

2.2.1
2.2.2
2.2.3

2.3.1
2.3.2

1.1.3

1.2

3.1

3.1.1

3.2.1


CAPÍTULO 3................................................................................................. 45
PGP .............................................................................................................. 45
FUNCIONAMIENTO ...................................................................... 45
Anillos de claves ..................................................................... 50
3.2 OPENPGP Y WEB OF TRUST ..................................................... 54
Red de Confianza ................................................................... 55
IMPLEMENTACIONES ACTUALES .............................................. 58
PROBLEMAS DE IMPLEMENTACIÓN Y UTILIZACIÓN ............... 61


CAPÍTULO 4................................................................................................. 71
CARACTERISTICAS DE UN NUEVO SISTEMA DE CORREO
ELECTRONICO SEGURO ........................................................................... 71
4.1 WEB OF TRUST ........................................................................... 71
iii

3.3
3.4







4.2 MANEJO E INTERCAMBIO DE CLAVES ..................................... 77
4.3
SISTEMA DE DIRECTORIO ......................................................... 82
4.4 CIFRADO DE CANAL .................................................................... 84
4.5
ALMACENAMIENTO DE CORREOS
ELECTRONICOS ..................................................................................... 85
4.6 RECOMENDACIONES DE IMPLEMENTACIÓN .......................... 87

TRANSMISIÓN

Y


CONCLUSIONES ......................................................................................... 89

BIBLIOGRAFÍA ESPECÍFICA ...................................................................... 92
BIBLIOGRAFÍA ADICIONAL ....................................................................... 95




INDICE DE GRAFICOS:



Figura 1.1 Ejemplo de mensaje con diferentes contenidos multimedia ....... 10
Figura 1.2 Diagrama esquemático de la arquitectura de un sistema de
Correo Electrónico ....................................................................................... 11
Figura 1.3 Ejemplo de un envío de mensaje SMTP ..................................... 14
Figura 1.4 Circuito de conexión de TOR para Google (google.com) en
Windows ...................................................................................................... 18

Figura 2.1 Ejemplo de mensaje enviado vía PEM ....................................... 25
Figura 2.2 Modificación de caracteres en PEM para envío de mensajes .... 25
Figura 2.3 Ejemplo de envío y recepción de mensaje a través de DKIM ..... 30
Figura 2.4 Ejemplo de mensaje enviado por un servidor de correo con una
firma DKIM ................................................................................................... 31
Figura 2.5 Ejemplo de mensaje S/MIME cifrado .......................................... 33
Figura 2.6 Ejemplo de mensaje S/MIME firmado ......................................... 34
Figura 2.7 Ejemplo de mensaje S/MIME cifrado y firmado .......................... 35
Figura 2.8 Ejemplo de un certificado S/MIME visto desde el cliente
Thunderbird.................................................................................................. 38
Figura 2.9 Ejemplo de un remailer tipo 0 gratuito con sistema ‘on-the-fly’ ... 40
Figura 2.10 Ejemplo de cabecera de un mensaje enviado desde un remailer
tipo 0 ............................................................................................................ 41
Figura 2.11 Ejemplo de cabecera de un mensaje enviado desde la red TOR
hacia una casilla de correo de Google ......................................................... 43
Figura 2.12 Ejemplo de cabecera de un mensaje enviado dentro de la red
TOR ............................................................................................................. 44

Figura 3.1 Diagrama de procesamiento del mensaje del lado del remitente.46
Figura 3.2 Modelo de mensaje PGP ............................................................ 47
Figura 3.3 Ejemplo de mensaje PGP cifrado; que lleva adjunta al men