Dile a las personas que puedo cifrar los correos electrónicos

31

Sé que todavía no es muy fácil usar PGP para un usuario promedio. Sin embargo, la situación está mejorando (hay algunos complementos fáciles que incluso pueden integrarse muy bien en tu correo web de GMail). Además, los comunicados de prensa de la última vez pueden haber alentado a las personas a pensar un poco más sobre su seguridad.

¿Cuál es la mejor manera de decirle a las personas que soy capaz de cifrar los correos electrónicos usando el estándar OpenPGP?

Las posibles soluciones podrían ser:

  • Firmar cada correo saliente

    Sin embargo, esto siempre producirá una gran cantidad de texto, incluso para un mensaje pequeño. Esto definitivamente me molestaría si no sé nada al respecto o si no me importa.

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA256
    
    Hi, yes that is okay.
    
    -----BEGIN PGP SIGNATURE-----
    
    [ a lot of stuff ]
    
    -----END PGP SIGNATURE-----
    
  • Incluir un texto en la firma del correo

    Uno podría escribir algo como:

      

    Tenga en cuenta que los correos electrónicos sin cifrar pueden ser fácilmente interceptados y leídos por terceros. Para transmitir información confidencial, considere encriptar sus correos electrónicos. La huella dactilar de mi clave PGP es XX XX XX XX XX XX XX.

    ¿Hay alguna sugerencia sobre cómo escribir eso de manera más precisa y al mismo tiempo ser breve y dulce?

  • Pidiéndoles que cifren sus correos electrónicos

¿Cuáles son las ventajas y desventajas de cada solución y cómo puede mostrar a la gente que puede tomar menos de cinco minutos instalar un complemento de navegador adecuado y generar un par de claves con él? ¿Debo ofrecerles que posiblemente pueda ayudar?

    
pregunta MrD 12.09.2014 - 15:09
fuente

3 respuestas

26
  • Firmar correos electrónicos es, en mi experiencia, el mejor método para mostrar a otros que pueden enviarle correos cifrados. Si de todos modos, si están utilizando OpenPGP, su cliente de correo podría incluso habilitar automáticamente los correos encriptados como respuestas a los firmados. Recientemente me sorprendió mucho recibir (S / MIME) correo cifrado tanto de un banco como de un instituto de atención médica, solo porque firmé los correos que les envié.

    No es necesario ( y no debería hacer nada ) utilizar texto claro (en línea ) firmas (con todo su volumen), aunque son una muy presente insinúa que está aceptando el correo encriptado OpenPGP. Puede ser interesante usar esto si desea solicitar especialmente a otros que envíen correo cifrado, su capacidad de hacerlo, o simplemente hacerlos curiosos ... En su lugar, también hay PGP / MIME , que no distraiga a nadie (pero creo que los usuarios de MS Outlook pueden ver algunos archivos adjuntos que no entienden), pero aún así ofrecen las ventajas a otros usuarios de OpenPGP descritos anteriormente.

    La firma siempre de correo (usando PGP / MIME o S / MIME) produce un ruido de fondo, pero no molesta y nadie tiene que preocuparse por unos pocos bits adicionales en cada correo, y es posible que tenga conocimiento de la firma y el cifrado en La mente subconsciente. Me funcionó bastante bien, tengo un montón de personas a mi alrededor para firmar y cifrar el correo de esta manera (o hacerlo de nuevo, y con regularidad).

  • Coloque su huella digital en su firma y en su tarjeta de visita . Espera que te pregunten al respecto y prepárate para explicar de qué se trata.
  • Ponga su clave pública en servidores de llaves . Muchos clientes de correo con soporte para OpenPGP los consultan automáticamente, especialmente después de recibir un correo firmado.
  • Hable con otros. Solicíteles que envíen información confidencial encriptada. Encriptar los correos es bastante fácil, el remitente ni siquiera tiene que crear su propio par de claves. Guiar a otros es bastante fácil, incluso por teléfono, si ha probado los complementos más relevantes.
  • Considere también usar S / MIME , incluso si es "solo" un certificado CAcert. Incluso si el certificado no es de confianza, la mayoría de los clientes de correo admiten S / MIME fuera de la caja, y responder con correo cifrado es mucho más fácil que con OpenPGP: no se requieren complementos, y el certificado se adjunta automáticamente a su correo, el remitente que responde simplemente tiene que hacer clic en el botón "cifrar".
respondido por el Jens Erat 12.09.2014 - 15:52
fuente
6

Incluir la huella dactilar de su clave PGP en la firma no es una buena solución porque no hay forma de verificar la identidad de la persona que envía el mensaje. Proporciona un mal ejemplo de a qué se destina PGP. Incluir su huella digital PGP en su tarjeta de visita es una forma razonable de manejar las huellas digitales.

Una firma larga que describa la inseguridad del correo electrónico regular es razonable si está trabajando profesionalmente con datos confidenciales. Por ejemplo, banca, contabilidad, abogado, etc.

Le sugeriría que si está tratando con una audiencia no técnica, tenga un sitio web con un formulario de envío seguro donde puedan usar SSL para enviarle información confidencial. Hushmail o soluciones similares se pueden usar para hacer esto, aunque no lo protegen de acciones judiciales o de aplicación de la ley.

Tu publicación me llamó la atención debido a la naturaleza de tu mensaje cifrado. PGP no firma líneas de asunto ni encabezados, por lo que este tipo de mensaje se puede reproducir y usar en su contra. La única pista de que esto podría ser un ataque de repetición sería la marca de tiempo en la firma.

por ejemplo,

Mind if I borrow your car for the weekend?


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Hi, yes that is okay.

-----BEGIN PGP SIGNATURE-----

[ a lot of stuff ]

-----END PGP SIGNATURE-----


Thanks!

Por esta razón, y la razón que describe sobre los mensajes ruidosos, no firmo regularmente mis mensajes.

    
respondido por el mgjk 12.09.2014 - 15:31
fuente
0

En Outlook (no estoy seguro acerca de otros clientes de correo electrónico), puede configurar firmas separadas tanto para el mensaje inicial como para las respuestas / reenvíos. Sugeriría poner un mensaje allí y luego simplemente omitir una firma para las respuestas (o simplemente incluir la clave pública).

También puede incluir un pequeño enlace para que un usuario lea más sobre el cifrado de correo electrónico.

    
respondido por el Matthew Peters 12.09.2014 - 15:48
fuente

Lea otras preguntas en las etiquetas