¿Cuál es la forma más segura de enviar correos electrónicos usando PGP?

Navega tus respuestas
4

Soy un principiante de PGP, acabo de descargar GPG para OS X. Creé mi primera clave de pub / seg para mi dirección de correo electrónico y la cargué en el servidor de claves públicas.

GPG tiene varias características disponibles, a saber: 1) cifrar, 2) descifrar, 3) firmar, y 4) verificar. Dadas estas opciones: ¿Cuál es la forma más segura de usar PGP para enviar & ¿recibir correos electrónicos?

Al enviar, ¿cifro mis correos electrónicos? ¿O firmar y cifrar? O simplemente firmar? ¿Cuál es el mejor? ¿Y cuál es la diferencia entre ellos?

¿Qué hay de recibir correos electrónicos? ¿Qué consideras más seguro? Si alguien me envía un correo electrónico, ¿debo insistir en que sea firmado? o encriptado? o algo mas?

Hay muchas explicaciones conflictivas en blogs, tutoriales, etc. para la mejor forma de usar PGP. Estoy buscando una explicación en "Inglés simple", dirigida a personas que no son InfoSec como yo.

Nota: no estoy usando la aplicación OS X Mail, ya que uso un cliente de correo electrónico de terceros (Sparrow).

Actualización: no estoy interesado en instalar otro cliente de correo electrónico. GPG incluye elementos de menú de OS X Services, que incluyen cifrar, descifrar, firmar y verificar. Estos funcionarán con cualquier aplicación, correo electrónico o de otra manera. Eso es lo que estoy usando.

    
pregunta jerzy 16.01.2014 - 02:37
fuente

3 respuestas

2

La forma más segura para enviar y recibir correos electrónicos a través de PGP es firmarlos y cifrarlos.

La firma proporciona integridad, permitiendo a los destinatarios verificar que el mensaje fue enviado por usted y no ha sido manipulado.

El cifrado proporciona confidencialidad, lo que garantiza que cualquier persona que intercepte el mensaje no podrá leerlo.

Ambos de estos son aspectos importantes de la seguridad, aunque en algunos casos puede decidir que solo necesita uno y no el otro al enviar correo.

Para recibir correo, está firmando el que más le interesa; de lo contrario, no puede garantizar que el mensaje sea del remitente. Si recibe un mensaje sin cifrar, otras personas que lo hayan podido obtener podrían leerlo, pero no hay mucho que hacer al respecto si ya se envió (a menos que desee cifrarlo para almacenarlo en su propia PC). , o para reenviar a otras personas).

    
respondido por el itscooper 16.01.2014 - 07:58
fuente
0

Usar GnuPG es muy sencillo con Thunderbird o SeaMonkey y el complemento de Enigmail . Ambos están disponibles para OS X. La firma, el cifrado y el descifrado se manejan en segundo plano, y la administración de claves es sencilla.

No encuentro nada sobre el soporte de GnuPG en Sparrow, y la publicación de GPGTools indica que es "el desarrollo se suspendió a partir de octubre de 2012" después de la compra por Google. Deberá realizar la firma, el cifrado y el descifrado con el cliente GnuPG independiente.

La firma proporciona evidencia de que creaste un mensaje. Y también le dice al destinatario qué clave pública usar para cifrar una respuesta. El cifrado evita que terceros lean los mensajes. Sin embargo, los encabezados de los mensajes no están cifrados, dada la mecánica de transmisión del correo electrónico.

Comúnmente, puede firmar mensajes que van a listas de correo u otros foros públicos, donde el cifrado sería contraproducente. Firmar y luego cifrar es típico de los mensajes privados, aunque algunos también firman después del cifrado. Para los mensajes a múltiples destinatarios, puede cifrar conjuntamente a todas las claves públicas, para que cada destinatario pueda descifrarlas. Enigmail también cifra los mensajes salientes a su clave pública, para que pueda leerlos también.

Lo que requiera de los corresponsales depende de usted. Para cualquier cosa donde la privacidad sea importante, solo me correspondo con aquellos que firman y encriptan. Si la identidad es importante, solo correspondo con aquellos cuyas claves han sido firmadas por terceros confiables. Si realmente importa, obtengo claves públicas de varias fuentes y verifico que son idénticas.

La lista de correo [email protected] es un buen recurso.

    
respondido por el mirimir 16.01.2014 - 05:09
fuente
0

Terminé tu pregunta y aquí encontré una solución para eso.

Sugiero usar Thunderbird para esto, ya que puedes configurar PGP fácilmente. Para cifrar sus correos electrónicos utilizando PGP, necesita generar una clave pública y una clave privada. Simplemente siga los pasos (para Thunderbird) siguiendo los pasos sugeridos por el asistente de claves PGP. Para iniciarlo, seleccione OpenPGP- > Asistente de configuración .

1. Firma: elija "Sí ..."

2. Cifrado: elija "No .."

3. Preferencias: elija #AJUSTE

No se encuentra la clave PGP abierta: Si no tiene una clave PGP, esta pantalla le muestra cómo generar una. Crear una clave: para evitar que otra persona utilice su clave secreta, el asistente le sugiere que la proteja con una contraseña. Opcional: Puedes crear un certificado de revocación. Esto le permitirá deshabilitar su clave si la pierde.

Enviando un mensaje cifrado: En Thunderbird, haga clic en el botón "escribir", que abre una ventana de mensaje. En la parte inferior derecha hay dos símbolos, un lápiz y una llave.

Esto le permite firmar o cifrar un mensaje. Haga clic en la tecla, que se volverá amarilla, y escriba su mensaje.

Si hace clic en "enviar" y no ha recuperado la clave pública del destinatario, Thunderbird sugerirá la descarga si es para usted. En la pantalla de abajo, haga clic en "Descargar claves faltantes".

Espero que esto te ayude.

    
respondido por el Jacklyn Sherrill 16.01.2014 - 06:27
fuente

Lea otras preguntas en las etiquetas

Lectura del resultado de Wireshark y recomendación de aprendizaje de seguridad ¿Cómo realizar explotaciones de seguridad / penetración en dispositivos como iPhone, PSP y Android para ejecutar su propio código?