Criptografa

Prctica 4

2016

si est cifrado, el documento no ser conocido por alguien no autorizado.

Los certificados digitales establecen la PKI, pues son documentos avalados por un tercero de
confianza (autoridad de certificacin) para autenticar a un usuario y a su clave pblica.

Infraestructura de Clave Pblica

Instalacin de software necesario

Objetivos
Se verificar la utilidad de la Infraestructura de Clave Pblica para enviar y recibir correo
electrnico seguro (confidencial, ntegro y autenticado de origen).

Material
1 PC con Mozilla Thunderbird y GNU Privacy Guard.

Desarrollo
Mediante la infraestructura de clave pblica se establecer una comunicacin certificada
mediante correo electrnico. Tanto el emisor como el receptor sern capaces de verificar la
identidad de su contraparte, as como de leer correos cifrados y firmados digitalmente.
Infraestructura de clave pblica
Los sistemas de cifrado asimtrico se basan en la generacin de dos claves: una pblica y una
privada. Cada usuario posee las dos claves, sin embargo, la clave pblica puede ser conocida
por cualquier otra persona, en tanto que la privada no. Se debe destacar que una clave se usa
para cifrar, en tanto que la otra clave har el descifrado.

Obtener un certificado digital es una tarea exhaustiva que debe ser llevada a cabo por
empresas certificadoras reconocidas, por ejemplo, Verisign. Sin embargo, es posible obtener
certificados gratuitos mediante herramientas como GPG.
GNU Privacy Guard es una suite de protocolos y algoritmos criptogrficos que permite cifrar
datos y firmar correos electrnicos. Se trata de software libre con licencia GPL que trabaja
bajo el estndar OpenPGP (Open Pretty Good Privacy).
Existen versiones diferentes para diferentes sistemas operativos; incluso hay sistemas como
OpenBSD o Debian que incluyen la suite por defecto. El proceso de instalacin de GnuPG se
llevar a cabo en Windows.
1.

En un navegador Web, ingresa a la pgina http://www.gpg4win.org y descarga el

ejecutable de Gpg4win en su versin ms actual (vase figura 1).

Puesto que la clave privada slo es conocida por el usuario que gener el par de claves,
tambin servir como un medio de autenticacin para corroborar su identidad. Dicha
ratificacin se realiza mediante la clave pblica, que es el nico elemento capaz de confirmar
los documentos cifrados mediante la clave privada. Este tipo de confirmaciones son el
concepto primordial de la infraestructura de clave pblica (Public Key Infraestructure, PKI),
llevada a cabo mediante la expedicin de certificados digitales.
La PKI provee los servicios de autenticacin, confidencialidad e integridad, pues:

permite identificar al usuario que enva un documento.

minimiza el riesgo de que el documento sea modificado.
1

Ing. Aldo Jimnez Arteaga

Figura 1. Descarga de Gpg4win.

Criptografa

2.

Ejecuta el archivo descargado e instala Gpg4win (vase figura 2).

4.

2016

Para instalar Thunderbird, ejecuta

apt-get install thunderbird thunderbird-l10n-es

A continuacin, se instalar un complemento en Thunderbird llamado Enigmail, el cual ligar

GnuPG con el cliente de correo para la creacin y firmado de certificados digitales. Este
proceso en el mismo tanto en Debian Wheezy como en Windows.
1.

Abre Mozilla Thunderbird y da clic sobre el men inicial, en el ngulo superior derecho
de la ventana (vase figura 3).

Figura 2. Instalacin de Gpg4win.

Una vez instalado GnuPG, se requiere un cliente de correo para cifrar y firmar los mensajes.
En este caso, se instalar Mozilla Thunderbird en su versin ms actual. La instalacin que se
expone a continuacin es sobre Debian Wheezy, recalcando que en Windows la instalacin se
realiza de manera tradicional mediante el ejecutable descargado de la pgina
http://www.mozilla.org.
1.

En una terminal de root ingresa al fichero sources.list para actualizar los repositorios
mediante:
nano /etc/apt/sources.list

2.

Figura 3. Men inicial en Mozilla Thunderbird (crculo rojo).

2.

Selecciona Complementos (Add-ons) y en la barra de bsqueda busca Enigmail; para

completar la bsqueda, da clic sobre Complementos disponibles e instala Enigmail
(vase figura 4).

En el fichero ingresa la lnea

deb http://packages.linuxmint.com debian import

3.

Guarda los cambios mediante <ctrl> + <o> y regresa al prompt mediante <ctrl> + <x>. A
continuacin actualiza el acceso a los repositorios mediante:
apt-get update
Figura 4.Complemento Enigmail en Mozilla Thunderbird (cuadro rojo).
2

Ing. Aldo Jimnez Arteaga

Criptografa

3.

2016

NOTAS: 1) Si el cliente de correo pide una CONTRASEA MAESTRA, deja en blanco

los campos de dicha clave. 2) Es posible que Gmail impida el acceso a la cuenta con
Thunderbird. Para modificar dicha configuracin accede va Web a la bandeja de correo
y busca un mensaje del equipo de Gmail que indique "Intento de acceso no autorizado";
dentro del correo estn las instrucciones para configurar la opcin "Habilitar el acceso en
aplicaciones menos seguras". Guarda la configuracin y reintenta dar de alta la cuenta
en Thunderbird.

Reinicia Thunderbird para instalar correctamente el nuevo complemento.

El software necesario para firmado digital est instalado. Ahora se requiere des de alta una
cuenta de correo electrnico verdadera para recibir y enviar correo. La cuenta debe crearse
antes de la generacin de claves para que sea asociada al nuevo par de claves. De aqu en
adelante el uso del sistema operativo es indistinto.
Creacin de cuenta de correo en Mozilla Thunderbird

Obtencin del par de claves

Cuando reinicie el cliente de correo, cancela cualquier asistente que aparezca y da clic en
Men inicial > Opciones > Configuracin de la cuenta. Da clic en el botn Operaciones sobre
la cuenta y aadir cuenta de correo (figura 5). Aade una cuenta de correo vlida (de
preferencia Gmail o Yahoo!) seleccionando el protocolo de recepcin de correo IMAP.

Para firmar correo electrnico es necesario contar con la clave privada y su correspondiente
clave pblica. Enigmail se apoyar sobre GnuPG para generar el par de clave, almacenando
la clave privada y pudiendo exportar la clave pblica.
1.

En Thunderbird da clic en Men inicial > Enigmail > Administracin de claves.

Aparecer el cuadro de dilogo del Administrador de claves (vase figura 6).

Figura 6. Administrador de claves de Enigmail.

Figura 5. Dando de alta una cuenta de correo en Thunderbird (cuadro rojo).

Ing. Aldo Jimnez Arteaga

2.

Da clic en el men Generar > Nuevo par de claves; aparecer un nuevo cuadro de
dilogo que permitir la generacin de las claves pblica y privada (figura 7).

Criptografa

4.

2016

Para verificar la firma digital requieres distribuir tu clave pblica. En el Administrador de

claves selecciona tu clave y da clic en el men Archivo > Enviar clave pblica por correo;
se abrir la ventana de redactar correo con un archivo .ASC adjunto; ese archivo
corresponde a la clave pblica. Ingresa las direcciones de correo electrnico que deseas
posean tu clave, redacta un mensaje indicando lo que envas y da clic en enviar.
Si deseas exportar a un archivo la clave, en el administrador de claves selecciona tu
clave y da clic en el men Archivo > Exportar claves a un fichero; se abrir un cuadro de
dilogo para especificar que deseas guardar tu clave pblica en un archivo .ASC. Como
nombre del archivo escribe NOMBRE_COMPLETO.ASC.

5.

Figura 7. Generador de claves pblica y privada.

3.

Para que verifiques firmas digitales y cifres correos, es necesario que te compartan la
clave pblica correspondiente en un archivo .ASC. Una vez que lo tengas almacenado,
ve al Administrador de claves y da clic en el men Archivo > Importar desde un fichero,
ingresa el nombre del archivo que deseas y da clic en aceptar (vase figura 8). Se
confirmar la importacin correcta.

En el cuadro de dilogo selecciona y rellena las siguientes opciones:

Cuenta / ID usuario:

Usar clave para identidad seleccionada:

Contrasea:

La clave caduca dentro de:

cuenta de correo que diste de alta en

Thunderbird.
seleccionado.
selecciona una contrasea de tu
eleccin para proteger la clave privada.
1 ao.

Selecciona la pestaa Avanzadas... y completa la siguiente informacin:

Tamao de clave:
Tipo de clave:

4096 bits
RSA

Da clic en generar y acepta la generacin de claves para tu cuenta de correo; espera a

que el proceso termine. Cuando termine la generacin, Enigmail preguntara si deseas
crear un certificado de revocacin en el caso que tu clave privada sea comprometida; si
lo deseas acepta el certificado de revocacin y gurdalo en la ubicacin de tu
preferencia. Al finalizar, tu nuevo par de claves aparecer en el Administrador de claves.
4

Ing. Aldo Jimnez Arteaga

Figura 8. Importacin de claves pblicas.

6.

Se debe editar la confianza de la clave dada de alta. Para ello selecciona la clave
importada, da clic en el men Editar > Establecer confianza del propietario. En el cuadro
de dilogo que aparece se podr indicar el grado de confianza del propietario de la clave
importada (figura 9); de preferencia utiliza la opcin Confo Absolutamente.

Criptografa

2016

Figura 10. Barra de Enigmail para cifrado y firmado digital.

3.
Figura 9. Confianza del propietario de la clave importada.

Cifra y firma el correo electrnico que enviars a la direccin especificada. Aparecern

algunos cuadros de dilogo que indican algunos o todos los siguientes escenarios:

Firmado de correo electrnico

Para firmar o cifrar un correo con el certificado, es necesario especificarle a Thunderbird que
se utilizar para tales acciones.
1.

En la ventana principal de Thunderbird da clic en Redactar y a continuacin redacta el

correo a la direccin electrnica indicada por el profesor.

2.

Una vez redactado el correo, observa que justo arriba del encabezado de destinatario y
remitente existe una barra que se llama Enigmal. Dicha barra contiene dos botones: un
candado que indica cifrar el mensaje, y una pluma que indica firmar el mensaje.

Este mensaje contiene adjuntos, cmo desea firmarlos y cifrarlos?

Selecciona la tercera opcin, Cifrar y firmar el mensaje en su conjunto y enviarlo
usando PGP/MIME, para cifrar todo el correo completo y evitar que alguna persona
no autorizada observe que existen archivos adjuntos.
Introduzca frase contrasea para desbloquear clave secreta, Este cuadro de
dilogo indica que para firmar es necesario utilizar tu clave privada; para continuar,
escribe la contrasea que utilizaste para proteger tu par de claves durante la
generacin (vase la figura 11).

En dicha barra tambin se incluye adjuntar la clave pblica y una leyenda que indica si el
mensaje ser firmado, cifrado, ambas acciones o ninguna (vase la figura 10). Los
botones aparecen coloreados cuando se presionen para cifrar y firmar; en caso
contrario, aparecen en color gris.
Figura 11. Descifrando la clave privada.
4.
5

Ing. Aldo Jimnez Arteaga

Al momento de recibir un correo, para poder descifrarlo Thunderbird pedir la clave de

proteccin de tu clave privada (igual que en la figura 10). Una vez descifrado el correo,

Criptografa

se mostrar el contenido y un par de iconos que indican la firma vlida y el correo cifrado
(vase figura 11).

Figura 11. Verificacin de la firma digital y descifrado del correo.

NOTA: Si llegase a aparecer un mensaje en gris que indica El mensaje parece estar
cifrado o firmado. Pulse el botn Descifrar para descifrarlo., ve al men inicial Enigmail >
Descifrar verificar y a continuacin intenta el paso 4 nuevamente.
Al presionar los botones del sobre y el candado aparecer la informacin de seguridad
de Enigmail que indica que el correo fue descifrado y la firma del remitente verificada.
Enva un correo electrnico firmado y cifrado a la direccin de correo especificada por el
profesor. Previamente, debe enviarse la clave pblica para poder corroborar las firmas
digitales.

Ing. Aldo Jimnez Arteaga

2016