Cifrado email
El Cifrado Email es el cifrado de mensajes correo electrónico para proteger el contenido de ser leído por entidades a las que no van dirigidos los mensajes. El cifrado del correo electrónico también puede incluir la autenticación.
El uso del correo electrónico es propenso a revelar información. La mayoría de los correos electrónicos son actualmente transmitidos sin ningún cifrado que los proteja. A través de algunas herramientas de fácil acceso, otras personas, además del destinatario del correo electrónico, pueden leer el contenido del mismo.[1] El cifrado de correo electrónico ha sido usado por periodistas y usuarios regulares para proteger su privacidad.[2]
El cifrado del correo electrónico se puede basar en Criptografía asimétrica, en donde cada uno de los usuarios puede publicar una llave pública que otros pueden usar para cifrar sus mensajes, mientras mantengan en secreto la llave privada pueden usarla para descifrar dichos mensajes o para cifrar y firmar digitalmente sus mensajes.
Protocolos de cifrado
Los protocolos para cifrado del correo electrónico incluyen:
Cifrado de sesión mail
La extensión STARTTLS SMTP es una TLS (SSL) capa en la parte posterior de la conexión SMTP. A pesar de que protege el tráfico de ser esnifeado durante la transmisión, no se hace un cifrado del correo electrónico como tal porque el contenido de los mensajes es revelado y puede ser alterado por intermediarios en la comunicación. En otras palabras, el cifrado toma lugar entre relevos individuals SMTP, no entre el origen del correo electrónico y el receptor. Cuando ambas partes soportan STARTTLS, puede ser usado sin importar si el contenido del correo electrónico viene cifrado usando algún otro protocolo.
STARTTLS es también una extensión de IMAP4 y POP3, véase RFC 4616.[3]
Demostraciones
La demostración "Signed and Encrypted Email Over The Internet" ha mostrado que las organizaciones pueden colaborar efectivamente utilizando correos electrónicos seguros. Barreras previas para la adopción de este tipo de tecnología fueron superadas, incluyendo el uso de puentes PKI para proveer una infraestructura de llave pública escalable (PKI) y el uso de guardias de seguridad de red que hacen chequeos de contiendo cifrado que entra y sale de una red corporativa para evitar que el cifrado sea utilizado para esconder malwares y filtrado de información.
Configurando y utilizando cifrado de correo electrónico
La mayoría de clientes de correo electrónico (como Apple Mail, Microsoft Outlook o Mozilla Thunderbird) proveen soporte nativo para S/MIME resguardar la (firma digital de correos electrónicos y el cifrado de mensajes utilizando certificados). Otras opciones de cifrado incluyen Guardia de privacidad PGP y GNU (GnuPG). Software gratis y comercial y add-ons están disponibles también, tal es el caso de Gpg4win o PGP Desktop Email que soportan el tipo de cifrado OpenPGP.[4][5]
Mientras PGP puede proteger mensajes, también puede ser difícil utilizarlo de forma correcta. Investigadores de Carnegie Mellon University en una publicación de 1999 mostraron que la mayoría de la gente no sabía como cifrar y firmar mensajes utilizando la versión actual de PGP.[6] Ocho años después, otro grupo de investigadores de Carnegie Mellon publicaron un papel diciendo que, aunque una nueva versión de PGP hacía más sencillo el descifrado de mensajes la mayoría de la gente seguía teniendo problemas con el cifrado y firmado de mensajes, encontrando y verificando llaves de cifrado públicas de otras personas y compartiendo sus llaves propias.[7]
Debido que el cifrado puede ser difícil para los usuarios, los administradores de seguridad y conformidad en compañías y agencias de gobierno, automatizaron el proceso para los empleados y ejecutivos a través de aplicaciones que automáticamente realizaban el cifrado. En vez de basarse en cooperación voluntaria, el cifrado automático basado en políticas definidas, toma la decisión y hace que el proceso esté fuera de las manos del usuario. Los correos electrónicos son enviados a través de un aparato que funge como puerta de enlace que ha sido configurado para asegurar conformidad del usuario en conjunto con políticas de regulación y seguridad. Los correos electrónicos que lo requieren son automáticamente cifrados y enviados.[8]
Si el destinatario trabaja en una organización que utiliza el mismo aparato de cifrado en la puerta de enlace, los correos electrónicos son automáticamente descifrados, haciendo el proceso transparente para el usuario. Ahora, los usuarios que están detrás de un aparto de cifrado en la puerta de enlace requieren de un paso extra, ya sea procurando una llave pública o iniciando sesión en un portal en línea para recuperar el mensaje.[9][10]
Véase también
- Dark Mail Alliance
- DataMotion, Inc.
- Echoworx
- Autenticación mail
- Privacidad Email
- Enigmail -Plugin Thunderbird
- Entrust
- GPGMail - Plugin de OS X Mail.app
- Asistente privado GNU; plugin para Claws Mail
- Hypertext Transfer Protocol Secure - Un protocolo ampliamente usado para comunicación segura a través de computadoras.
- Hushmail
- Lavabit
- Mail1Click
- Mailfence
- MyKolab
- Mynigma
- ProtonMail - Servicio de cifrado mail de extremo a extremo.
- Virtru
Referencias
- SMEmail – A New Protocol for the Secure E-mail in Mobile Environments, Proceedings of the Australian Telecommunications Networks and Applications Conference (ATNAC'08), pp. 39–44, Adelaide, Australia, Dec. 2008.
- Lee, Micah (2 de julio de 2013). «Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance». Freedom of the Press Foundation. Consultado el 1 de mayo de 2014.
- RFC 4616, The PLAIN Simple Authentication and Security Layer (SASL) Mechanism
- Eric Geier, PCWorld. "How to Encrypt Your Email." Apr 25, 2012. Retrieved May 28, 2014.
- Alan Henry, Lifehacker. "How to Encrypt Your Email and Keep Your Conversations Private." Aug 14, 2013. Retrieved May 28, 2014.
- Klint Finley, WIRED. "Google's Revamped Gmail Could Take Encryption Mainstream." Apr 23, 2014. Retrieved June 04, 2014.
- In Security and Usability: Designing Secure Systems that People Can Use, eds. L. Cranor and G. Simson. O'Reilly, 2005, pp. 679-702. "Why Johnny Can’t Encrypt Archivado el 31 de octubre de 2015 en Wayback Machine.."
- By Luis Rivera, SC Magazine. "Protecting customer privacy through email encryption." March 11, 2014. July 18, 2014.
- By Luis Rivera, SC Magazine. “.” March 11, 2014. July 22, 2014.
- By Stan Gibson, SearchHealthIT.com. " Archivado el 17 de noviembre de 2015 en Wayback Machine.." April 2010. July 22, 2014.