Utilizacin de certificados digitales para correo electrnico seguro

1. Concepto de criptografa

2. Criptografa de clave pblica o asimtrica

3. Certificados digitales

4. Conceptos de firma y cifrado

5. Procedimiento de obtencin de certificado

6. Comprobacin de los certificados para los distintos navegadores

7. Utilizacin de los certificados con distintos programas de correo electrnico

8. Revocacin de certificados sin direccin de correo electrnico

9. Enlaces de inters

1 / 18

Utilizacin de certificados digitales para correo electrnico seguro

1.- Concepto de criptografa El uso del correo electrnico por medios habituales mediante canales inseguros, como por ejemplo la red Internet, no proporcionan confidencialidad ni autenticidad en los mensajes intercambiados entre los destinatarios. Para asegurar la confidencialidad de la informacin es posible codificar la informacin intercambiada mediante el uso de la criptografa de mensajes. Los mensajes son cifrados por el remitente y descifrados por el destinatario, utilizando claves que solamente ellos conocen. De esta manera, los datos de los correos electrnicos que transitan por las redes y servidores de Internet estn codificados, y son totalmente ininteligibles para terceras personas que pudieran hacer un uso fraudulento de tales datos.

Si los dos interlocutores utilizan la misma clave para cifrar y descifrar (claves simtricas), el procedimiento por el cual se intercambian las claves representa un punto dbil en el esquema de seguridad. Esto se debe a que no existe ningn medio totalmente fiable para que la clave utilizada para codificar llegue al receptor con la seguridad de que no ha sido interceptada por terceros. Para solucionar este inconveniente de la criptografa simtrica, se hace uso de la criptografa de clave pblica o asimtrica.

ARRIBA

2 / 18

Utilizacin de certificados digitales para correo electrnico seguro

2.- Criptografa de clave pblica o asimtrica La criptografa de clave pblica o asimtrica utiliza claves diferentes para codificar y descodificar. Se basa en la utilizacin de pares de claves complementarias por cada interlocutor que cumplen la propiedad de que la informacin cifrada con una, solamente puede ser descifrada con la otra, y viceversa. Una de estas claves es privada y la otra es pblica. La clave privada debe conservarse en lugar seguro, ya que solamente puede tener acceso a ella el propietario de la clave. En cambio, la clave pblica se puede distribuir, y debe comunicarse a las personas con las que se quiera intercambiar correo seguro.

La criptografa de clave pblica no solamente permite la codificacin, sino tambin la autenticacin o firma de los mensajes. Mediante la autenticacin o firma se puede tener la certeza de que el autor de un mensaje es quien dice ser, y el mensaje no ha sido modificado.

La criptografa simtrica es ms eficiente en trminos de rendimiento que la criptografa de clave pblica debido a que requiere menos operaciones matemticas. Por esto, se suele utilizar la criptografa de clave pblica solamente en el punto dbil del intercambio de informacin, que es en la comunicacin de la contrasea que posteriormente utilizarn los interlocutores para cifrar y descifrar el contenido del mensaje.

ARRIBA

3.- Certificados digitales La distribucin de la clave pblica entre varios interlocutores constituye un paso conflictivo por el problema de verificar correctamente la propiedad real de las claves pblicas, ya que un intruso podra suplantar una determinada clave pblica y con ello se infiltrara en comunicaciones codificadas. Las Autoridades de Certificacin (AC) verifican y certifican que la propiedad de las claves pblicas es de sus legtimos propietarios. El certificado digital de usuario emitido por la AC sirve para garantizar que una determinada clave pblica corresponde a su propietario.

3 / 18

Utilizacin de certificados digitales para correo electrnico seguro

La Fbrica Nacional de Moneda y Timbre (FNMT) es una AC de la Administracin Pblica Espaola. La FNMT otorga de forma gratuita certificados digitales de usuario para la utilizacin de correo electrnico seguro. Los certificados para estos usos son los de la clase 2CA, vlidos igualmente para operar va Internet con Hacienda y otras administraciones.

ARRIBA

4.- Conceptos de firma y cifrado Los certificados de la clase 2CA que otorga la FNMT utilizan el par de claves de cada usuario para firmar/verificar firmas y codificar/descodificar mensajes. Las claves son generadas por los navegadores y, posteriormente, la clave pblica es incorporada al certificado cuando ste es descargado al navegador del cliente.

Si un usuario enva un mensaje solamente firmado, se incluye un resumen de firma de varios caracteres obtenido en funcin del texto del mensaje y de su propia clave privada. Para realizar la verificacin de la firma, el destinatario aplica al mensaje la clave pblica del remitente. Si de esta verificacin se obtienen los mismos caracteres, el mensaje no ha sido manipulado, y se puede asegurar la autenticidad del mensaje. Un mensaje que est solamente firmado transita por la red totalmente legible y puede ser ledo por terceras personas.

Si solamente se realiza la codificacin del mensaje, el remitente utiliza la clave pblica del destinatario para cifrar una clave de sesin simtrica. Con esta clave, el remitente cifra el mensaje. El destinatario utiliza su clave privada para descifrar la clave simtrica que utiliz el remitente para cifrar. En este caso, como el mensaje va codificado, transita ilegible por las redes, pero no se puede asegurar la autenticidad del emisor, debido a que cualquiera puede cifrar con la clave pblica de un determinado usuario.

Los mensajes se cifran con la intencin de que si algn tercero capta el mensaje no lo pueda entender, antes tendra que descifrarlo. Los mensajes se firman con el propsito de que no puedan ser alterados y de que el emisor no pueda negar luego el envo de dicho mensaje. Es

4 / 18

Utilizacin de certificados digitales para correo electrnico seguro

posible enviar mensajes cifrados pero no firmados y viceversa.

Si un usuario posee su certificado, puede enviar correo firmado por l a cualquier persona, aunque sta ltima no posea su certificado personal. Sin embargo, el receptor necesitar tener instalado en su navegador el certificado de la FNMT de clase 2CA. En primer lugar, el certificado raz valida la clave pblica del remitente, y esta clave verifica su firma.

Por lo tanto, para garantizar la confidencialidad y la autenticidad de los mensajes de correo electrnico intercambiados, es preciso codificar y firmar dichos mensajes. Para poder utilizar conjuntamente estas dos opciones, cada usuario tiene que poseer su propio certificado de usuario.

ARRIBA

5.- Procedimiento de obtencin de certificado

Los pasos para conseguir el certificado de usuario para usos de correo electrnico seguro se describen en las pginas web de la FNMT. Se encuentran a su disposicin en

http://www.cert.fnmt.es/index.php?cha=cit&sec=obtain_cert .

En el apartado Obtener certificado, puede ver informacin relativa a cmo instalarse el certificado en su navegador.

5 / 18

Utilizacin de certificados digitales para correo electrnico seguro

ARRIBA 6.- Comprobacin de los certificados para los distintos navegadores

Una vez tenga instalado el certificado, puede comprobar usted mismo si est bien instalado, siguiendo los pasos expuestos a continuacin para los distintos navegadores.

Para Mozilla Firefox

La comprobacin de los certificados, en este navegador, se hace en: Herramientas -> Preferencias. Vaya a la seccin de Avanzadas y escoja la seccin de Certificados; pulse en el botn de Administrar certificados del apartado Administrar certificados. En la nueva ventana que le aparecer active la pestaa de Sus certificados donde debe de aparecer el certificado que se ha descargado.

Para Netscape v7 Para verificar si el certificado ha quedado bien instalado en este navegador, debe dirigirse a:

6 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Editar -> Preferencias. Vaya al apartado de Privacidad & seguridad y ah dentro a la seccin de Certificados. Pulse en el botn de Gestionar certificados del apartado Gestionar certificados. En la nueva ventana que le aparecer dirjase a la pestaa de Sus certificados donde debe estar el certificado que se descarg.

Para Internet Explorer Debe dirigirse a: Herramientas -> Opciones de Internet, pestaa de Contenido. En el apartado de Certificados, debe pulsar en el botn de Certificados. Le aparecer una nueva ventana, dirjase a la pestaa de Personal y ah tiene que encontrarse el certificado que se descarg.

7 / 18

Utilizacin de certificados digitales para correo electrnico seguro

En el caso de que el certificado no se valide correctamente, un posible origen del problema est en la configuracin errnea de la fecha y hora del equipo utilizado. En este caso, hay que realizar el ajuste horario de la mquina. El ltimo paso consiste en realizar una copia de seguridad del certificado que se ha incorporado al navegador. Este paso no es obligatorio, pero s aconsejable para tener una copia del certificado por si fallara el ordenador desde el que se utiliza habitualmente o en caso de que se necesitara usar el certificado desde otros ordenadores o navegadores distintos. La forma de realizar esta accin es diferente para cada navegador, pero para todos ellos es necesario que se encuentre en la ventana de comprobar sus certificados (de la que hemos explicado anteriormente cmo llegar). Para los navegadores Netscape o Firefox, la forma de exportar un certificado es realizando una Copia de seguridad del mismo. Para el navegador Internet Explorer esto se hace con la opcin de Exportar a un archivo. Tiene dos opciones a la hora de exportar el certificado: con clave privada o pblica. Escoja la opcin de exportar con clave privada slo para su uso personal, como copia de seguridad o para exportar el certificado a otro ordenador o navegador que usted vaya a utilizar, guarde una copia del certificado con clave privada como copia de seguridad. El certificado sin clave privada (slo la clave pblica) podr exportarlo para entregarlo a todos aquellos con los que usted quiera comunicarse de forma segura.

Si usted desea utilizar su certificado en un ordenador o navegador distinto del que realiz la solicitud, deber importar el certificado con la clave privada a este ordenador o navegador.

ARRIBA

7.- Utilizacin de los certificados con distintos programas de correo electrnico

8 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Para poder utilizar los programas de correo electrnico para envo y recepcin de correo electrnico seguro, es necesario incorporar al cliente de correo los certificados o identificadores digitales de las personas con las que se intercambia correo. Esta accin se realiza de diferente forma segn el programa que usted utilice: Para Mozilla Thunderbird Al recibir mensajes firmados de sus contactos, los certificados digitales se incorporan automticamente al programa. Para comprobar su validez, hay que ir a las siguientes opciones: Herramientas ->Preferencias. Vaya al apartado de Avanzadas y escoja la seccin de Certificados; pulse en el botn de Administrar certificados del apartado Administrar certificados y seleccione la pestaa De otras personas. Si el certificado es vlido, aparecer en la ventana indicando que la validacin se efectu correctamente. Con los identificadores digitales de otros usuarios ya incorporados, el programa puede comprobar la firma de los mensajes recibidos por estos usuarios y enviarles mensajes cifrados con su clave pblica, que posteriormente ellos podrn descodificar con su clave privada. Para poder trabajar con nuestro certificado digital es necesario, en el programa de correo, dirigirse a: Herramientas->Configuracin de cuentas. Escoja la cuenta en la que quiera utilizar el certificado digital y dirjase a la opcin de Seguridad. En la nueva ventana, escoja si quiere firmar los mensajes, cifrarlos o ambas cosas y seleccione el certificado que desee utilizar, pulsando en el botn de Seleccionar.

9 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Para poder mandar un mensaje cifrado y/o firmado hay que estar en el modo de componer un mensaje nuevo y pulsar en el icono de Seguridad del men superior.

Este icono da acceso a la ventana de seguridad dentro de la cual se podr escoger las opciones de firmar, cifrar o ambas para la direccin de correo electrnico especificada en el campo de destinatario del mensaje. Solamente se podr activar la opcin de cifrar el mensaje para las direcciones de correo electrnico cuyo certificado digital se haya verificado de forma vlida.

Si el mensaje se enva firmado y/o codificado, en la esquina inferior derecha del mensaje aparecern dos iconos, el dibujo de la estilogrfica indica que el mensaje se enva firmado, mientras que el icono de la llave muestra que el mensaje se est enviando codificado.

10 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Cuando el destinatario recibe un correo firmado y/o cifrado le aparecern unos iconos cerca de la esquina superior derecha del encabezado que muestran que la informacin se envi cifrada y firmada.

Los iconos son los siguientes para el firmado y para el cifrado . Para Nestscape v7.0 La versin 7.0 de Netscape viene con un cliente de correo que funciona independiente del navegador y que permite el envo y recepcin de mensajes seguros.

De la misma manera que con Thunderbird, con este programa es necesario incorporar los certificados digitales de los usuarios con los que se realiza el intercambio de correo para poder enviarles correos cifrados con su clave pblica que ellos podrn descifrar con su clave privada. Al recibir mensajes firmados, se incorporan automticamente estos certificados en el programa. Para comprobar su validez, hay que ir a las siguientes opciones:

Editar ->Preferencias.

Vaya al apartado de Privacidad & seguridad y escoja la seccin de Certificados; pulse en el botn de Gestionar certificados en la nueva ventana que le aparecer active la pestaa de Certificados ajenos.

Si el certificado es vlido, aparecer la ventana indicando que la validacin se efectu correctamente.

Para poder enviar los mensajes cifrados y firmados con nuestro certificado digital es necesario, en el programa de correo, dirigirse a:

11 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Editar->Configuracin de cuentas de correo/grupos de noticias.

Escoja la cuenta en la que quiera utilizar el certificado digital y dirjase a la opcin de Seguridad. En la nueva ventana que le aparecer, marque si quiere firmar los mensajes, cifrarlos o ambas cosas y seleccione el certificado que desee utilizar, pulsando en el botn de Seleccionar.

Para poder mandar un mensaje cifrado y/o firmado hay que situarse en el modo de componer un mensaje nuevo y pulsar en el icono de Seguridad del men superior.

Este icono da acceso a la ventana de seguridad dentro de la cual se podr optar por las opciones de firmar, cifrar o ambas, para la direccin de correo electrnico especificada en el campo de destinatario del mensaje. Solamente se podr activar la opcin de cifrar el mensaje para las direcciones de correo electrnico cuyo certificado digital se haya verificado de forma vlida.

12 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Si el mensaje se enva firmado y/o cifrado, en la esquina inferior derecha del mensaje aparecern dos iconos, el dibujo de la estilogrfica indica que el mensaje se enva cifrado, mientras que el icono de la llave muestra que el mensaje se est enviando codificado.

Cuando el mensaje es recibido por el destinatario, le aparecern unos iconos cerca de la esquina superior derecha del encabezado que muestran que la informacin se envi cifrada y firmada. Los iconos son los que se ven para el firmado y para el cifrado .

Para Outlook Express Como en los clientes anteriores, en la configuracin establecida por defecto, las claves pblicas de sus contactos se agregan al programa automticamente cuando se reciben correos firmados por ellos. Para ver el certificado incorporado, hay que dirigirse a las siguientes opciones:

Herramientas->Libreta de direcciones.

Aqu se selecciona el contacto para el que se quiere visualizar el certificado y se pulsa en Propiedades->Identificadores digitales. De esta forma, aparecen los datos del contacto, indicando, con una seal verde, si su certificado es vlido.

Si lo que quiere es enviar mensajes a otros usuarios firmados con su clave privada, lo primero que debe hacer es importar el certificado digital al programa de Outlook. Esto se hace en el

13 / 18

Utilizacin de certificados digitales para correo electrnico seguro

men

Herramientas->Cuentas.

En la ventana de "Cuentas", seleccionar la cuenta de correo para la que se ha obtenido el certificado y pulsar en el botn de Propiedades. En la nueva ventana que aparecer ("Propiedades"), pulsar en la pestaa de Seguridad.

Hay que pulsar el primer botn "Seleccionar" -el que se encuentra en la seccin "Certificado de firma"-, y en la ventana que aparece escoger el certificado correspondiente a la cuenta de correo que se est configurando y pulsar Aceptar. Con esto, se ha seleccionado el certificado que se usar para firmar digitalmente los mensajes de correo que se enven a travs de esta cuenta. Posteriormente hay que pulsar el segundo botn "Seleccionar" (el que se encuentra en la seccin "Preferencias de cifrado"), y en la ventana que aparece, escoger el mismo certificado que en el paso anterior, el que corresponde a la cuenta de correo, y pulsar Aceptar. De esta forma se selecciona el certificado que los destinatarios de nuestros mensajes firmados podrn usar para enviarnos correo cifrado, de modo que slo nosotros podamos leerlo.

En ltimo lugar hay que seleccionar el algoritmo de cifrado que utilizarn los destinatarios de nuestros mensajes firmados para enviarnos correo cifrado. De esta manera ya queda todo configurado para poder enviar mensajes firmados con nuestra clave asignada. Y para poder descodificar los mensajes recibidos que nos hayan enviado con nuestra clave pblica.

14 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Los iconos de seguridad, utilizados para firmar y codificar, se encuentran en la barra de herramientas de la edicin de mensajes. La forma que tienen estos iconos se ilustra en las figura siguiente.

Cuando se activan estos botones en la barra de herramientas de un mensaje, aparecen unos iconos indicando que el mensaje se va a enviar firmado y cifrado.

Cuando el destinatario recibe el mensaje anterior, despus de validar la contrasea de su clave privada, le aparecer un primer contenido indicando que el remitente firm y cifr el mensaje, tal como se muestra en la siguiente figura.

15 / 18

Utilizacin de certificados digitales para correo electrnico seguro

ARRIBA

8.- Ajustes de seguridad de los navegadores de Internet En los navegadores de Internet existe el parmetro de la intensidad de cifrado. Este parmetro se refiere al nmero de bits que se utilizan en la eleccin de las claves simtricas de sesin con las que se cifra el contenido del mensaje. La opcin adecuada para la intensidad del cifrado es de 128 bits (cifrado de alta intensidad). En algunos navegadores el nmero de bits es mucho menor, lo cual compromete la seguridad.

Para Mozilla Firefox Mozilla Firefox codifica sus mensajes a travs de SSL, para comprobar qu cifrados utiliza este navegador vaya a:

Herramientas->Preferencias, seccin "Avanzadas", apartado "Seguridad".

Asegrese de que estn activadas las tres opciones de seguridad: SSL 2.0, SSL 3.0 y TSL 1.0, como se muestran en la siguiente figura.

16 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Para Netscape Este programa tambin codifica sus mensajes a travs de SSL, puede comprobar la intensidad del cifrado en el siguiente men: Editar->Preferencias, seccin Privacidad &seguridad, apartado SSL.

Asegrese de que estn activadas las tres opciones de la parte superior del men: SSL v2, SSL v3 y TLS. Puede indicar ms concisamente qu cifrados se usarn si pulsa en el botn de Editar cifrados. En la siguiente figura se muestra qu cifrados se pueden escoger.

17 / 18

Utilizacin de certificados digitales para correo electrnico seguro

Se Ayuda->Acerca tal Para como puede Internet se comprobar muestra de Explorer Internet en la la intensidad figura Explorer, siguiente. de cifrado para este navegador en el men

Si para electrnico, certificado Para revocacin Cuando certificado, el correo 9. de electrnico Puede programa Los ser http://www.cert.fnmt.es/index.php?cha=cit&sec=obtain_cert ARRIBA http://www.cert.fnmt.es/index.php?cha=cit&sec=3&page=213 http://www.uned.es/csi/sai/software/netscape/index.htm http://www.mozilla.org/products/ En 8. -usuario ARRIBA acreditacin la se Enlaces Revocacin la navegadores descargados poder la criptografa, posee siguiente electrnico descargarse revocacin la de mediante con de tal seguro. ser revocacin o de un mensajera como incorporndola certificados direccin usado inters de pgina certificado de desde Mozilla vlida as la del el la certificados se en identidad como comprobacin se navegador Web certificado explica la vlida. para instantnea, correo y ha de personal siguiente Mozilla consultas se efectuado, la que no en pueden confirmarn pgina electrnico sea sin hay el Netscape se Firefox, de pgina: apartado del direccin incluya vlida, desde frecuentes que clase web se encontrar DNI. realizar sigue as seguro de la en se la 2CA en En de revocacin siguiente como FNMT: debe su de el el este sobre obtencin que temas versin una correo certificado. proceso por revocar el paso, no peticin no cliente los direccin relacionados tiene del 7, incorporar electrnico certificados habitual de se junto el certificado de las debe certificado. va certificado correo con web caractersticas para direccin indicar con el usados en anterior Thunderbird cliente dar y el En el solicitar una funcionamiento enlace de el de para de paso realizada direccin alta correo necesarias correo el de un pueden un tercero correo nuevo nuevo y de por un

18 / 18