Enigmail y OpenPGP para Thunderbird (Linux) – Correo electrónico seguro

 

1. Enviar y recibir mensajes encriptados

Si necesitas enviar mensajes de correo electrónico seguros, te explicamos a continuación como hacerlo con unas herramientas de software libre que te permitiran encriptar tus correos electrónicos usando el gestor de correo Thunderbird. Se trata de las aplicaciones Enigmail y GPG para Thunderbird.

Enigmail es un complemento de Thunderbird que te permite acceder a las funciones de encriptación de GnuPG desde dentro de Thunderbird.

GNU Privacy Guard (GnuPG or GPG) es un software de encriptación libre y de código abierto elaborado por el Proyecto GNU. Cumple con el estándar OpenPGP y fue diseñado para interoperar con Pretty Good Privacy (PGP, o privacidad bastante buena), un equivalente comercial elaborado por Phil Zimmermann y que está a cargo de Symantec.

GnuPG depende de una forma de criptografía de clave pública que requiere que cada usuario genere su propio par de claves. Este par de claves se puede usar para encriptar, desencriptar y firmar contenido digital como mensajes de correo electrónico.

Este par de claves consisten en una clave privada y una clave pública:

La clave privada es extremadamente sensible. Cualquiera que haya conseguido una copia de esta clave podrá leer contenido encriptado que estaba dirigido solamente a ti. También podría firmar mensajes para que parezca que vienen de ti. Tu clave privada está encriptada en sí misma con una contraseña que escogerás cuando generes tu par de claves. Debes escoger una contraseña fuerte y cuidar que nadie tenga acceso a tu clave privada. Usarás tu clave privada para desencriptar mensajes que te envíen quienes tengan una copia de tu clave pública.

La clave pública está diseñada para que la compartas con otros y no se puede usar para leer un mensaje encriptado ni para falsificar uno firmado. Una vez que tengas la clave pública de una persona, puedes empezar a enviarle mensajes encriptados. Esa persona es la única que podrá desencriptar y leer esos mensajes porque nadie más tiene acceso a la clave privada que encaja con la clave pública que estás usando para encriptarlos. De manera similar, para que alguien te envíe correo encriptado, debe obtener una copia de tu clave pública. Es importante verificar que la clave pública que estás usando para encriptar correo electrónico realmente pertenece a la persona con quien estás tratando de comunicarte. Si tú o tu la persona con quien te comunicas sois engañadas para encriptar correo electrónico con la clave pública equivocada, la conversación no será segura.

GnuPG y Enigmail también te permiten adjuntar firmas digitales a tus mensajes. Si firmas un mensaje usando tu clave privada, cualquier destinatario con una copia de tu clave pública puede verificar que fue enviada por ti y que su contenido no ha sido adulterado. De manera similar, si tienes una clave pública de la persona con quien te comunicas, puedes verificar sus firmas digitales.

 

1.1 Instalar Enigmail

La mayoría de distribuciones Linux vienen instaladas con GnuPG por defecto, Sin embargo, deberás instalar el complemento Enigmail para Thunderbird para que puedas empezar a usar GnuPG para encriptación de correo electrónico. Puedes hacer eso siguiendo los pasos a continuación:

 

Paso 1. Haz clic en  para mostrar el menú de Thunderbird

Paso 2: Elige Herramientas > Complementos para mostrar el Administrador de complementos de Thunderbird

Paso 3: Escribe “Enigmail” en la esquina superior derecha y presiona la tecla Enter

Paso 4: Haz clin en “Instalar” para descargar Enigmail

Paso 5: Haz clic en el enlace Reiniciar ahora para reiniciar Thunderbird y terminar de instalar Enigmail

Ahora que has reiniciado Thunderbird, deberías ver “Enigmail” incluido en tu barra de menú.

 

1.2 Generar claves de encriptación y configurar Enigmail

Ahora puedes configurar una o más cuentas de correo electrónico para usar Enigmail y generar uno o más par de claves de encriptación.

 

1.2.1 Generar claves de encriptación

Puedes configurar Enigmail y generar un par de claves de encriptación siguiendo los pasos a continuación:

 

Paso 1. Haz clic en  para mostrar el menú de Thunderbird

Paso 2. Elige Enigmail > Asistente de configuración

Paso 3. Haz clic en [Siguiente] para continuar con la configuración estándar (como principiante)

Paso 4. Escoge una contraseña fuerte y escríbela en los campos apropiados para generar un par de claves

Nota: Esta contraseña protegerá tu clave privada. Sin esto, no podrás firmar ni desencriptar correos electrónicos. Así, es importante que escojas una contraseña fuerte y que la recuerdes o la registres de manera segura. 

Paso 5. Haz clic en [Siguiente] para generar tu par de claves.

Enigmail te dirá cuando haya terminado de crear tu par de claves.

Debes generar un certificado de revocación para que puedas avisar a otros cuando una clave en particular ya no es válida. Esto puede pasar si:

  • Dejas de usar un par de claves
  • Pierdes una clave privada
  • Olvidas la contraseña de una clave privada
  • Sospechas que una clave privada ha dejado de ser segura o si se ha compartido con otros

Es particularmente importante que generes un certificado de revocación si piensas cargar tu clave pública a un servidor de claves. No hay otra manera de «borrar» una clave una vez que la hayas cargado, y no es conveniente tener claves que hayan dejado de ser seguras dando vueltas en un servidor de claves generando confusión entre las personas.

Paso 6. Haz clic en [Crear Certificado de revocación]

Paso 7. Navega a la ubicación donde quisieras guardar tu certificado de revocación.

Este certificado no contiene información sensible y no se puede usar para saber tu clave privada, pero alguien podría cargarla a un servidor de claves e invalidar tu par de claves actual, así que debes ponerlo en un lugar seguro.

Paso 8. Haz clic en [Guardar] para escribir la contraseña de tu clave privada

Paso 9. Escribe tu contraseña

Paso 10. Haz clic en [Abrir] para generar tu certificado de revocación

Paso 11. Haz clic en [OK] para regresar al Asistente de configuración de Enigmail.

Paso 12. Haz clic en [Siguiente] para continuar.

Paso 13. Haz clic en [Terminar] para empezar a usar Enigmail.

 

1.2.2 Ver y administrar las propiedades de tus claves

Una vez que hayas generado tu par de claves, puedes ver y administrar sus propiedades siguiendo los pasos a continuación:

 

Paso 1. Haz clic en  para mostrar el menú de Thunderbird

Paso 2. Elige Enigmail > Administración de claves

Paso 3. Haz doble clic en el par de claves que corresponda tu cuenta de correo electrónico

Estas ventanas muestran, entre otras cosas, la identificación de tu clave pública y su huella digital. Por ejemplo, la identificación de la clave pública para ekaterina@riseup.net es F915ED5A, mientras que la huella digital completa es 8103 2E72 75C9 6279 59DF 3D5F E893 D8E0 F915 ED5A. Esta ventana también muestra la fecha de expiración de tu par de claves (17 de octubre de 2021 en este caso).

Debes compartir tu clave pública con otros para que te envíen correo electrónico encriptado. También debes compartir tu huella digitla completa, a través de un canal diferente, para que las personas con quienes te escribes puedan verificar que la clave pública que les enviaste realmente te pertenece. No debes compartir nunca tu clave privada, pues cualquiera que tenga una copia puede desencriptar mensajes enviados a ti y firmar mensajes para que parezca que tú los envías.

Si quieres cambiar la contraseña que protege tu clave privada, haz clic en [Elegir acción…] y elegir Cambiar contraseña. Se te consultará tu contraseña actual y se te pedirá que escojas una nueva. Para revocar tu clave, haz clic en [Elegir acción…] y elige Revocar clave.

 

1.2.3 Configurar Enigmail para que funcione con tu cuenta de correo electrónico

Para habilitar Enigmail a que usar una cuenta de correo electrónico específica, sigue los pasos a continuación:

 

Paso 1. Haz clic en  para activar el menú de Thunderbird

Paso 2. Elige Preferencias > Configuraciones de cuenta

Paso 3. Haz clic en Seguridad de OpenPGP debajo de tu cuenta de correo electrónico a la izquierda de la ventana de Configuraciones de cuenta.

Paso 4. Asegúrate de que el recuadro Habilitar que OpenPGP opere con (Engimail) para esta identidad esté marcado

Paso 5. Asegúrate de que el recuadro Usar Identificación de clave OpenPGP específica esté marcado y que esté seleccionada la Identificación de clave adecuada

Paso 6. Asegúrate de que el recuadro Usar PGP/MIME por defecto esté marcado

Paso 7. Marca el recuadro de Firmas mensajes encriptados

Nota: Si quieres configurar Enigmail para que trate de enviar correo electrónico encriptado por defecto —aunque no tengas una clave pública válida para el destinatario— puedes hacerlo marcando el recuadro Encriptar mensajes por defecto.

Paso 8. Marca [OK] para regresar a la ventana principal de Thunderbird

 

1.2.4 Generar claves de encriptación adicionales

Es una práctica común agregar más de una dirección de correo electrónico a un par de claves de GnuPG determinado. Sin embargo, en algunos casos puedes querer crear diferentes pares de claves para cuentas diferentes. Esto es particularmente importante si no quieres que otros sepan que ambas cuentas pertenecen a la misma persona.

Puedes generar un nuevo par de claves siguiendo los pasos a continuación. Estos pasos asumen que ya has configurado Thunderbird para que funcione con una segunda cuenta de correo electrónico (en este caso, elenakaterina60@gmail.com).

 

Paso 1. Haz clic en  para activar el menú de Thunderbird

Paso 2. Elige Enigmail > Administrador de claves

Paso 3. Elige Generar > Nuevo par de claves del menú de Enigmail

Nota: Este menú de Enigmail incluye diferentes opciones mientras la pantalla de Administrador de claves esté activa

Paso 4. Haz clic en la línea seleccionada al lado de Cuenta / Identificación de usuario para escoger una cuenta diferente

Paso 5. Elige la cuenta para la que quieres generar un nuevo par de claves de GnuPG

Paso 6. Escoge una contraseña fuerte para tu nuevo par de claves y escríbela en los recuadros Contraseña y Contraseña (repetir).

Paso 7. Haz clic en [Generar clave]

Paso 8. Haz clic en [Generar clave] Cuando esté hecho. Enigmail te avisará que generes un certificado de revocación.

Paso 9. Haz clic en [Generar certificado]

Paso 10. Navega a la ubicación donde quieres guardar tu certificado de revocación

Paso 11. Haz clic en [Guardar]

Paso 12. Escribe la contraseña para la clave privada que acabas de crear

Paso 13. Haz clic en [Abrir]

Paso 14. Haz clic en [OK] para regresar a la pantalla de Administrador de claves

Enigmail configurará automáticamente tu cuenta de correo electrónico para usar este par de claves. Ver la sección anterior para mayor información sobre cómo cambiar configuraciones específicas de la cuenta. (recomendamos que configures Enigmail para firmar tu correo electrónico por defecto a menos que tengas una razón específica para no hacerlo).

 

1.3 Intercambiar claves públicas

Antes de que puedas empezar a enviar correo electrónico encriptado, tú y las personas con quienes te escribes debéis intercambiar claves públicas. También debes confirmar la validez de cualquier clave que recibas confirmando que realmente pertenece a quien crees que te la envió.

 

4.3.1 Enviar tu clave pública como adjunto de un correo electrónico

Para enviar una clave pública usando Enigmail, sigue los pasos a continuación. Las personas que te escriben pueden enviarte sus claves públicas de la misma manera.

 

Paso 1. en Thunderbird, haz clic en [Escribir] para escribir un correo electrónico.

Paso 2. Redacta tu mensaje

Paso 3: Haz clic en [Adjuntar mi clave pública]

El botón (y el ícono del clip de papel) debe cambiar de color para indicar que tu clave pública se adjuntará a este mensaje antes de que se envíe.

Paso 4. Haz clic en [Enviar]

Thunderbird debe pedirte la contraseña de tu cuenta de correo electrónico. No te pedirá por tu contraseña de GnuPG a menos que escojas firmar este correo electrónico (adjuntar simplemente tu clave pública no requiere que «abras el cerrojo» de tu clave privada).

Paso 5. Escribe la contraseña de tu correo electrónico y presiona la tecla Enter

 

1.3.2 Importar una clave pública adjunta a un correo electrónico

Tú y la persona con quien te escribes debéis seguir los pasos a continuación para importar las claves públicas del otro.

Una clave pública adjunta debe ser visible en la esquina inferior izquierda del correo electrónico en el que se envió:

Paso 1. Haz clic derecho en el adjunto

Paso 2. Elige Importar clave de OpenPGP

Paso 3. Haz clic en [Sí] para importar la clave pública

Paso 4. Haz clic en [OK]

La pantalla de Administración de claves de Enigmail debe mostrarte ahora la clave pública de la persona con quien te escribes:

Paso 5. Haz clic en  para activar el menú de Thunderbird

Paso 6. Eilge Enigmail > Administración de claves.

 

1.4 Validar y firmar claves públicas

Ahora debes verificar que la clave que has importado en realidad pertenezca a la persona que crees que te la envió. Tú y las personas con quienes te escribes debéis llevar a cabo este proceso para cada clave pública que recibáis. Una vez que hayas verificado la clave, debes firmarla. Así es como le dices a GnuPG y Enigmail que la consideras válida.

 

1.4.1 Validar la clave pública de otra persona

Para validar la clave pública de la persona con quien te escribes, contácta con ella usando un medio comunicación que te permita estar absolutamente seguro de que estás hablando con la persona correcta. Las reuniones en persona son mejores, pero las conversaciones de voz y video son aceptables si confías en que puedas reconocer su voz o su aspecto. Intercambiaréis las huellas digitales de clave públicas, que no necesitan mantenerse en secreto, así que esta conversación no tiene que ser confidencial en la medida en que se abstengan de discutir asuntos delicados.

Tú y la persona con quien te escribes debéis verificar las huellas digitales de las claves públicas que habéis intercambiado. Una huella digital es una serie única de números y letras que identifica un par de claves de GnuPG. Puedes usar la pantalla de Administración de claves de Enigmail para determinar:

  • La huella digital del par de claves que has generado
  • La huella digital de las claves públicas de otras personas que hayas importado

Para ver la huella digital de un par de claves en particular, sigue los pasos a continuación.

 

Paso 1. Haz clic en  para activar el menú de Thunderbird

Paso 2. Elige Enigmail > Administración de claves

Paso 3. Haz doble clic en un par de claves para abrir la ventana de Propiedades de claves de Enigmail.

En la ventana de Propiedades de claves, podrás ver la huella digital de la clave seleccionada. Por ejemplo, la huella digital de ekaterina@riseup.net es 3B9F 54DD 571A 6F77 251D 92E7 E8B1 F5E6 FBB4 EFFE

La persona con quien te escribes también debe llevar a cabo estos pasos. Para verificar huellas digitales:

  • Lee la huella digital de tu par de claves a la persona con quien te escribes
  • Haz que verifique que las huellas digitales que tiene para tu clave pública coincidan con las que acabas de darle
  • Haz que la persona con quien te escribes te lea la huella digital para su par de claves
  • Verifica que la huella digital que tú tienes para su clave pública coincida con la que te acaba de dar
  • Si las huellas digitales no coinciden, intercambiad claves públicas de nuevo y repitan el proceso.

Nota: Como las propias huellas digitales de la claves no son sensibles, fácilmente puedes escribir la huella digital que te lea la persona con quien te escribes. Después, cuando tengas más tiempo, puedes verificar que coincida con la huella digital que tú tienes para su clave pública usando la pantalla de Administración de claves de Enigmail (también es por eso que algunas personas imprimen sus huellas digitales GnuPG en sus tarjetas de presentación).

 

1.4.2 Firmar la clave pública de otra persona

Una vez que hayas verificado la clave de alguien con quien te escribes, debes firmarla. Esto le dirá a Enigmail que recuerde que consideras válida esta clave.

Importante: Si firmas la clave pública de otra persona, haz que la copia firmada de su clave esté disponible públicamente, esto da a conocer el hecho de que esa persona y tú probablemente intercambien información delicada. Para evitar que esto ocurra por accidente, marca siempre el recuadro de Firma local al firmar la clave pública de la persona con quien te escribes.

Puedes firmar una clave pública validada siguiendo los pasos a continuación.

 

Paso 1. Haz clic en  para activar el menú de Thunderbird

Paso 2. Elige Enigmail > Administración de claves

Paso 3. Haz clic derecho en la clave pública que quieres firmar

Paso 4. Elige Firmar clave

Paso 5. Asegúrate de que el par de claves esté seleccionado al lado de Clave para firmar. Si tienes dos pares de claves y quieres enviarle a esta persona correo electrónico encriptado usando ambas claves, deberás firmar su clave pública dos veces, una para cada «identidad.»

Paso 6. Haz clic en He hecho una revisión muy cuidadosa

Nota: Otras opciones (como No he revisado para nada) pueden no permitirte enviar correo electrónco encriptado al dueño de esta clave. Además, puede ser difícil cambiar esta configuración después. Como resultado, recomendamos que siempre elijas He hecho una revisión muy cuidadosa cuando firmes la clave pública de alguna persona con quien te escribas.

Paso 7. Marca el recuadro de Firma local (no se puede exportar)

Importante: A menos que confíes mucho en GnuPG – y sepas con certeza que el dueño de esta clave pública quiere que su firma sea pública – debes marcar el recuadro Firma local.

Paso 8. Haz clic en [OK]

Paso 9. Escribe la contraseña para tu clave privada cuando te la pidan

Paso 10. Haz clic en [Abrir] para firmar esta clave pública. Hacer eso le dirá a Enigmail que has verificado la identidad del propietario de la clave, lo que te permitirá enviarle correo electrónico encriptado.

 

1.5 Encriptar y desencriptar mensajes de correo electrónico

GnuPG solamente protege el contenido de correo electrónico y adjuntos que encriptes. La siguiente información nunca está encriptada:

  • La línea de Asunto
  • La dirección de correo electrónico del remitente
  • Las direcciones de correo electrónico de los destinatarios
  • Todo nombre real que se pueda asociar con remitentes y destinatarios (Elena S. Katerina <ekaterina@riseup.net>, por ejemplo)
  • Además, si configuras Enigmail para usar Inline PGP en lugar de PGP/MIME, los nombres de archivos de los adjuntos que envíes quedarán sin encriptar. Así que escoge con cuidado las líneas de tu asunto, evalúa crear una clave de GnuPG al menos para una cuenta de correo electrónico que no incluya tu nombre real, y quédate con PGP/MIME (que está habilitado por defecto).

Finalmente, cuando envíes correo electrónico encriptado, una copia — encriptada a tu clave pública — se colocará en tu carpeta Correo enviado.

1.5.1 Enviar correo electrónico encriptado

Una vez que tú y la persona con quien te escribes hayáis importado, validado y firmado satisfactoriamente las claves públicas del otro, podeís empezar a intercambiar mensajes encriptados. Puedes encriptar el contenido de tu mensajes de correo electrónico siguiendo los pasos a continuación:

Paso 1. En Thunderbird, haz clic en [Escribir] y empieza a escribir un correo electrónico a un destinatario para quiene hayas firmado una clave pública

Importante: Tanto el botón del candado (que indica que tu mensaje estará encriptado) como el botón del lápiz (que indica que tu mensaje estará firmado) deben iluminarse en cuanto escribas una dirección de correo electrónico para la que tengas una clave pública válida y firmada. También debes ver «Este mensaje se firmará y encriptará» en la esquina superior derecha de la ventana. Esto es porque:

  • Por defecto, Enigmail encripta automáticamente el correo electrónico para personas con quienes te escribas para quienes tengas una clave pública válida
  • Hemos activado firmar mensajes encriptados, debajo de Configuraciones de cuenta > Seguridad de OpenPGP en una sección anterior.
  • Puedes escoger no encriptar ni firmar un mensaje inhabilitando los botones del candado o el lápiz antes de hacer clic en [Enviar] (también puedes configurar Thunderbird para enviar correo electrónico no encriptado por defecto. Esta opción está debajo de las Configuraciones manuales de encriptación manual en la pestaña de Enviar del menú de preferencias de Enigmail).

Paso 2. Terminar de escribir tu mensaje

Paso 3. Haz clic en [Enviar]

Paso 4. Escribe tu contraseña de GnuPG si te la piden

Paso 5. Haz clic en [Abrir]

Paso 6. Escribe la contraseña de tu cuenta de correo electrónico si te la piden

Paso 7. Haz clic en [OK] para enviar tu mensaje encriptado y firmado

 

1.5.2 Desencriptar un correo electrónico de otra persona

Cuando haces clic en un mensaje encriptado, Enigmail te pedirá la contraseña de tu clave privada para que puede desencriptar el mensaje.

Paso 1. Escribe tu contraseña

Paso 2. Haz clic en [Abrir]

Enigmail mostrará información en la parte superior del mensaje. En la figura de arriba, por ejemplo, «Mensaje desencriptado; Firma buena de mansour» te dice que:

  • El mensaje fue encriptado usando tu clave pública (lo que puede hacer cualquiera)
  • Lo has desencriptado satisfactoriamente
  • Lo firmó alguien con la clave privada que corresponde a la clave pública de mansour@riseup.net que has importado
  • Has firmado esa clave pública de mansour@riseup.net, ojalá despues de haber verificado que pertenece al verdadero Mansour.

 

PREGUNTAS FRECUENTES

P: ¿Cuántas cuentas de correo electrónico puedo configurar en Thunderbird?

R: ¡Tantas como quieras! Thunderbird es un administrador de correo electrónico, ¡y puede administrar fácilmente 20 o más cuentas de correo electrónico!

P: Recuérdame otra vez, ¿qué partes de un mensaje de correo electrónico encripta Enigmail?

R: Enigmail solamente encripta el contenido de los mensajes. Las líneas de Asunto no estarán encriptadas, ni las direcciones de correo electrónico de remitente y destinatario (ni los nombres asociados con esas direcciones). Así que escoge tus líneas de Asunto con cuidado y evalúa crear una clave GnuPG pára al menos una cuenta de correo electrónico que no incluya tu nombre real.

P: Sigo sin entender el objetivo de firmar digitalmente mis mensajes.

R: Una firma digital prueba que eres el verdadero remitente de un mensaje particular y que el mensaje no ha sido adulterado en su camino al destinatario previsto. Considéralo como el equivalente electrónico del sello de un sobre que contiene una carta muy importante.

 

 

*** Este texto es una adaptación del trabajo de «Security in a Box» «Thunderbird, Enigmail y OpenPGP para Linux – Correo electrónico seguro» publicado bajo licencia Creative Commons Attribution-Share Alike 3.0 Unported License y se distribuye bajo la misma licencia [Pangea.org].
Security-in-a-Box es un proyecto de Tactical Technology Collective y Front Line Defenders (https://securityinabox.org/en/) ***