¿Cuál es la forma más fácil para que un novato en RSA cree y use un par de claves en Windows?

La solución estándar para intercambiar correo electrónico cifrado o firmado es PGP o un programa compatible como GnuPG (que es software libre). Usted y él necesitan instalar PGP o GnuPG. Hay un Windows front-end y complementos para el software de correo electrónico que incluye Thunderbird (Enigmail) y Outlook (no sé los detalles). y he oído cosas malas sobre su ergonomía).

Si su amigo quiere que use alguna solución personalizada, explíquele que la criptografía local nunca es segura. Liderar con el ejemplo al negarse a usar su esquema personalizado.

Le sugiero que pruebe las utilidades de generación de claves que ssh tiene para ofrecer. Existe una herramienta en particular llamada ssh-keygen que le permite crear un par de claves públicas / privadas. Github en realidad tiene un artículo fácil de entender que explica cómo generar estas claves.

Una vez que genere su par de claves, puede usar su clave pública para cifrar los mensajes usando un algoritmo PKCS 1.5 y descifrar los mensajes usando su clave privada .

La idea detrás de esto es que alguien usaría tu clave pública para enviarte mensajes secretos y solo tú puedes leerlos descifrando con tu clave privada.

Si tiene experiencia en programación, puede intentar usar algo como PyCrypto para realizar las operaciones de cifrado y descifrado. Actualmente estoy escribiendo algunas herramientas de línea de comandos criptográficas simples en mi cuenta github , pero todavía no he implementado PKCS 1.5.

Además de GnuPG (ver la respuesta de @Gilles), algunos programas de correo electrónico modernos como Thunderbird , Outlook o Windows Live Mail (el sucesor de Outlook Express) es compatible con S / MIME , que es funcionalmente similar a OpenPGP (que implementa GnuPG). El uso de S / MIME evita la fase de "instalación del complemento". Sin embargo, requiere que las claves públicas involucradas estén representadas como certificados X.509 . Se puede obtener un certificado (generalmente no gratis) de una de las pocas docenas de CA comerciales que venden tales cosas, y su sistema y el sistema de su amigo podrán validar automáticamente el certificado; alternativamente, puede generar sus propios certificados (por ejemplo, con OpenSSL ) pero luego tendrá que hacer la importación manualmente y encontrar la forma de asegúrese de que lo que ve como el certificado de su amigo sea de hecho el certificado de su , no el falso (esto puede hacerse llamando a su amigo y deletreando la huella digital del certificado, entre otras formas posibles).

Consulte esta publicación del blog para obtener mucha información.

En su caso, lo más sencillo es:

• Vaya a una CA pública (Thawte, StartSSL, etc.)
• Compre / genere un certificado X509 para la validación de correo electrónico
• Agréguelo a su almacén personal de certificados de Windows (normalmente, simplemente haga doble clic en el archivo PFX que contiene su certificado y clave privada)
• Envía un correo electrónico firmado a tu amigo. Recibirá el correo electrónico firmado incluyendo su clave pública.

Hecho esto, tu amigo podrá enviarte un correo electrónico cifrado.