Incluir una firma digital en nuestros e-mails

Ya en un post anterior hablamos sobre la configuración básica de Thunderbird. Si usamos gmail, yahoo, hotmail, etc es muy fácil. Pero este tipo de programas no están muy extendidos en el entorno doméstico, seguramente no lo necesitas. ¿Verdad? Pero… ¿En el móvil usas el navegador para leer los correos? Verdad que no. Lo sepas o no, usas un gestor de correo. ¿Por qué en el ordenador no puedes hacer lo mismo?

Usando programas como Thunderbird, quizás el más conocido y extendido; o si usas Linux también tienes Evolution o Kmail, muy integrados en el entorno de escritorio y también software libre. Puedes gestionar comoda y facilmente tus cuentas de correo. Hay más, pero para mí Thunderbird, Evolution o Kmail son buenas alternativas al navegador.

El post de hoy no trata de los gestores de correo, trata de volver a recuperar el control de tus e-mails. Estos programas tienen grandes ventajas frente a la gestión vía navegador. Para mí las más destacables son el mayor control sobre los e-mails, puedes crear, mover, borrar o combinar carpetas; moviendo los mensajes entre ellas. Puedes crear reglas que clasifiquen o reaccionen automáticamente a los mensajes recibidos o enviados, realizando determinadas acciones. Puedes hacerte listas de correo con tus contactos para enviar correos según tus necesidades. Tienes los e-mails y sus adjuntos (dependiendo de la configuración) siempre disponibles, con o sin conexión a Internet. Y muchas otras ventajas. Pero hoy quiero destacar una funcionalidad muy poco conocida y aún menos usada, sobre todo porque no está disponible desde el navegador, y es el uso de GPG.

GNU Privacy Guard, o GPG para los amigos, es una herramienta de software libre para seguridad. Se trata de un sistema de cifrado, firmas digitales y gestión de claves. Instalado por defecto en casi todas las distribuciones de Linux modernas y está integrado en los clientes Evolution y Kmail. Para Thunderbird tenemos el complemento enigmail. Hoy no vamos a hablar de cifrar correos, la funcionalidad a la que me refería es a la de firmar los correos digitalmente.

Igual no es tan bonito como a lo que estamos acostumbrados. Generalmente se envían en texto plano, sin formato, ni colorines, ni efectos supermolones. Sin embargo son perfectamente legibles sin necesidad de hacer nada más. Aunque si queremos se pueden enviar en html (los normales), pero no se recomienda.

Un e-mail firmado digitalmente tiene este aspecto:

—–BEGIN PGP SIGNED MESSAGE—–

Hash: SHA1

……….  cuerpo del mensaje ……..
………. en texto plano ……..
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.12 (GNU/Linux)

iQGUBAEBAgAJVueZJAAoJEPw0cpQ0/yL7w3wLwKH76rvrbC5k8Y3z2GQDh3l4
XGKp+qF62olmu/6w+bqc1AANo3wOvFMdNhPRuurel0Tmhp3g+OJpRJQ/2ojEsy
4RkxvvrX1CncFheBMI6hxFRsOXd5ykQ1p1jAiZqJybMqmP8UKhnrAh78FJ2lmq
nzVVEpSkmlWrv4Ea9WIs2RpGLOJjEUZx7yLuBbDxSRpJHl+fZ7ycBilxFEinn5
CUCj7tweKKjwYaEHxek807X+pE+xl0bGrX7wUyC8oif+IzsB6nJUa62tg8a9FH
CO4T4xZJWM3R441RfHn0AnDMyW5pmjcJpXvHJOPKaMdG3a0VbGFbVz7pE8z
H3z4FU5e7XbNJUqgYSpmZ3wx/3XK4UQnFpW2CK/sx+Rrv3szj0WXC+EBsoYhb
arMkq3oXTqc2p9mVLoLTgI9AZlF4qLWytF/CGeV6gbIcyn7ugQfRIaGzetgRBp
5vjt74ZP8ILgwtc50brbiE21Bp3Owag=
=0/bA
—–END PGP SIGNATURE—–

Y ahora llega la pregunta del millón ¿Para qué quiero yo enviar o recibir un e-mail firmado? Puede parecer una tontería, algo que no tiene mucha utilidad. Sin embargo es una forma de compartir información asegurando la legitimidad del emisor. ¿Quién no ha recibido un e-mail de un amigo o familiar en ingles, o ruso, o alemán, o cualquier otro idioma? ¿Verdad que no nos fiamos? Pero ¿y si viene en castellano o catalán? La cosa cambia, han usado su dirección para enviar el e-mail, pero el remitente no es consciente. Si esa persona nos envía los e-mails firmados digitalmente podemos certificar mediante su clave pública la autenticidad del remitente. De la misma manera si enviamos un e-mail firmado, cualquier persona que lo reciba puede comprobar la firma y estar segura que lo hemos enviado nosotros. La firma no solo afecta al texto, si queremos también podemos firmar los adjuntos.

Esto se puede hacer mediante el sistema de llaves asimétricas. Con GPG (o enigmail) puedes crear un “par” de claves. Este par se compone de 2 llaves o claves. Una pública, que se distribuye y se utiliza para verificar la firma de un mensaje o bien para encriptar (solo encriptar) el mensaje que queremos enviarle a alguien. La segunda clave del par es privada y solo la posee el propietario. Esta segunda clave está protegida por una contraseña, sin la cual es totalmente inútil. La clave privada permite cifrar o descifrar los mensajes recibidos y firmar los mensajes que se envían. Lo normal al crear un par de claves es subir la pública a un servidor de claves para que cualquiera pueda obtenerla.

El objetivo de este post es solo dar a conocer esta funcionalidad. Sus detalles de uso sin ser difíciles, son suficientes como para tratarlos aparte. Si os interesa y queréis profundizar en el tema, probar las firmas (o incluso la encriptación) tenemos una clave pública. Usando las herramientas propias de GPG o enigmail puedes descargarla usando como cadena de búsqueda “llefia” o la id de la clave “33FF22FB” (este certificado ya no es valido). Si quieres puedes descargarla desde el servidor de llaves https://pgp.mit.edu/ usando los mismos criterios de búsqueda.