Seguridad en los Servicios de Correo electrónico.
En esta ocasión vengo a presentar algunas alternativas adicionales con respecto al servicio de correo electrónico. Se presenta este post debido a los ultimos acontencimientos acerca del espionaje a nivel mundial ejecutada por la Agencia de Seguridad Nacional de EEUU (NSA). Como es de saber el servicio de correo electronico ha sido y sera muy vigilado por instituciones gubernamentales o agencias de inteligencia.
Estos proveedores de correo elecetronico suelen ser muy útiles por personas cuya información a tratar es de caracter sensible y es debido a esto que dichas plataformas deben ofrecer la maxima integridad y seguridad de la información.
Es un sistema de correo que incluye servicio de cifrado online por PGP.
Dispone de webmail y en caso de pagar por el servicio premium se puede
disfrutar de servicio IMAP y más espacio de almacenamiento.
Dice ofrecer
correo electrónico seguro tanto a particulares
como a empresas. En su versión gratuita ofrece una cuota de 25 MB de
almacenamiento y el compromiso por nuestra parte de mantener actividad
en el servicio (accediendo al servicio, como mínimo, una vez cada tres
semanas) aunque también ofrece opciones de pago. El servicio lleva
bastante tiempo funcionando aunque, eso sí, es importante tener presente
que dentro de los términos del servicio se indica, explícitamente, que
colaboran ante mandatos judiciales de las autoridades de Canadá.
Hushmail : https://www.hushmail.com/
Lema de Hushmail : Ningun empleado de Hushmail va a poder leer su correo cifrado, porque
cada mensaje es cifrado de forma única antes de abandonar su ordenador.
Importante : Después de un requerimiento del tribunal canadiense, hushmail envio 12 CD's lleno de correos en texto claro. Tras esta accion he perdido la confiando en dicho servicio.
PGP es un criptosistema híbrido que combina técnicas de criptografía simétrica y criptografía asimétrica. Esta combinación permite aprovechar lo mejor de cada uno: El cifrado simétrico
es más rápido que el asimétrico o de clave pública, mientras que éste, a
su vez, proporciona una solución al problema de la distribución de
claves en forma segura y garantiza el no repudio de los datos y la no
suplantación.
Cuando un usuario emplea PGP para cifrar un texto en claro, dicho texto es comprimido.
La compresión de los datos ahorra espacio en disco, tiempos de
transmisión y, más importante aún, fortalece la seguridad criptográfica
ya que la mayoría de las técnicas de criptoanálisis
buscan patrones presentes en el texto claro para romper el cifrado. La
compresión reduce esos patrones en el texto claro, aumentando
enormemente la resistencia al criptoanálisis.
Después de comprimir el texto, PGP crea una clave de sesión secreta
que solo se empleará una vez. Esta clave es un número aleatorio generado
a partir de los movimientos del ratón y las teclas que se pulsen
durante unos segundos con el propósito específico de generar esta clave
(el programa nos pedirá que los realicemos cuando sea necesario). Esta clave de sesión se usa con un algoritmo simétrico (IDEA, Triple DES) para cifrar el texto claro.
Una vez que los datos se encuentran cifrados, la clave de sesión se cifra con la clave pública del receptor (criptografía asimétrica) y se adjunta al texto cifrado, y el conjunto es enviado al receptor.
El descifrado sigue el proceso inverso. El receptor usa su clave
privada para recuperar la clave de sesión, simétrica, que PGP luego usa
para descifrar los datos.
Las claves empleadas en el cifrado asimétrica se guardan cifradas
protegidas por contraseña en el disco duro. PGP guarda dichas claves en
dos archivos separados llamados
llaveros; uno para las claves públicas y otro para las claves privadas.
Otra alternativa :
GnuPG: GnuPG es una implementación libre de OpenPGP muy popular. El usuario puede utilizar GPG
con una de una variedad de interfaces, como un plugin para codificar
sus mensajes de correo electrónico a través de su elección de programas
de correo electrónico, desde Apple Mail a Outlook a Gmail. Pero
requieren algún tipo de configuración, y hay servicios de pago que se
encargan de todo esas cuestiones para el usuario y al mismo tiempo
ofrecen características avanzadas como las direcciones IP ocultas, la
destrucción de los archivos después de un período y el almacenamiento
fuera de las instalaciones en los países más amigables. Y esta es una
opción muy popular para aquellos que pueden encontrar la manera de
utilizarlos.
Suponiendo que el usuario no esté listo para configurar su propio
cifrado de correo electrónico, existen servicios de correo
electrónico que utilizan OpenPGP. A continuación se mencionaran algunas opciones.
Bitmessage es un protocolo de comunicaciones P2P utilizado para enviar mensajes cifrados a otra persona o para muchos suscriptores. Es descentralizado y utiliza una autenticación fuerte que significa que el remitente de un mensaje no puede ser falsificado.
A diferencia de los programas de PGP y similares que esconden sólo el
contenido de los mensajes, Bitmessage también oculta los metadatos, como
el emisor y el receptor de los mensajes. Otra diferencia resaltante es que Bitmessage no requiere que los usuarios administren
las claves públicas o privadas (PGP) que utiliza el sistema, pues Bitmessage
utiliza una fuerte autenticación para que el remitente de un mensaje no
pueda ser suplantado (en la acepción basada en el spoofing).
Bitmessage : https://bitmessage.org/wiki/Main_Page
Importante : Bitmessage nos ofrece una lógica
trustless, es decir que la divulgación
de tu información cifrada no está supeditada a que una autoridad legal
así lo determine, como sucede con otros programas de cifrado de mensajes.
Register : https://bitmessage.ch/register/
Crear el Alias : https://bitmessage.ch/alias/
Bitmessage - Login : https://bitmessage.ch/squirrelmail/src/login.php
Importante : Debemos guardar nuestro alias en el campo Repaly que se encuentra en la opciones Información Personal.
Bitmessage - Interfaz.
Bitmessage - Intergaz - Nueva Identidad de usuario.
Importante : Proteger la indentidad de su alias.
Su servicio de correo utiliza el cifrado
OpenPGP,
protege la dirección IP del usuario (haciendo que, virtualmente, sea
anónimo) y admite la migración de un dominio al servicio (y portar el
correo corporativo de nuestra empresa para dotarlo de seguridad),también tiene algunas características interesantes, como la opción
de elegir su propio dominio o utilizar un número ilimitado de
direcciones de correo electrónico desechables.
También podría ser el más
fácil de usar, se conecta a un montón de servicios de correo
existentes, como Thunderbird, Outlook, e incluso tiene una aplicación
para Android.
Neomailbox : https://www.neomailbox.com/services/secure-email
Su uso no es gratuito y por un buzón de 1 GB de espacio de
almacenamiento, NeoMailBox cobrará al usuario 49,95 dólares al año y,
evidentemente, por algo más de coste es posible subir el buzón a 5 GB y
10 GB.
CounterMail es un servicio de correo electrónico en línea seguro y es muy fácil de usar. Su diseño proporciona la máxima seguridad y privacidad, sin complejidades innecesarias.
Es, quizás, uno de los mejores servicios de correo electrónico seguro
que podemos encontrar en la red (o al menos eso muestran sus
especificaciones). Según el servicio, sus servidores usan LiveCDs y
mucha memoria RAM para funcionar y se cifran los mensajes enviados
usando OpenPGP(con claves de codificación de 4096 bits para proteger sus datos). El servicio es de pago (aunque tiene un período de
prueba gratuito) y, entre las cosas que podemos encontrar, se ofrece al
usuario la posibilidad de comprar "una llave USB" para almacenar su
clave y poder usar el servicio desde cualquier sitio.
Countermail : https://countermail.com/
El usuario puede acceder a su cuenta de correo electrónico en cualquier momento, desde cualquier lugar del mundo. Tu cuenta siempre será encriptada y anónima.
Registro : https://countermail.com/index.php?p=signup3
Nota : Tener instalado Java.
A continuación vamos a reenviarnos un pequeño correo electrónico. (New mail).
Nuevo mensaje - Imbox : Hackeando automoviles - antisec-security.
Option USB
Esta opción convertira su correo eletrónico aun mas seguro, ya que será imposible iniciar sesión sin su llave USB insertado en el puerto USB. La verdadera seguridad de extremo a extremo.
Lavabit era un servicio de correo electrónico especializado en la privacidad de sus usuarios. Fue fundado 2004
y suspendió sus actividades en agosto de 2013 por causas aún
desconocidas, aunque se sospecha que la suspensión podría estar
relacionada con las "prácticas de vigilancia doméstica" de la NSA y que
el revelador de secretos Edward Snowden tenía su cuenta de correo electrónico principal en sus servidores.
Lavabit comenzó a ofrecer un servicio con fuertes mecanismos de cifrado y
protección de privacidad para sus usuarios entre los que incluían criptografía asimétrica, cuyo nivel de fortaleza eran difíciles de romper incluso para agencias de inteligencia. El un determinado momento fue considerado el servicio de correo electrónico privado más seguro del planeta.
La gran excusa.
El 10 de junio de 2013, un juez dictó una orden de registro para obtener
todos los datos que Lavabit almacenaba de la cuenta de correo
Joey006@lavabit.com, por supuesta posesión de pornografía infantil. No está claro si esta orden judicial tuvo alguna relación con la posterior suspensión de los servicios de Lavabit.
Causa del cierre de Lavabit.
Lavabit recibió una gran atención mediática en julio de 2013 cuando se conoció que el ex-trabajador de la NSA, Edward Snowden,
usó una dirección de correo electrónico de Lavabit, concretamente
edsnowden@lavabit.com, para convocar a activistas y abogados defensores
de los derechos humanos a una rueda de prensa durante su reclusión en el Aeropuerto Internacional de Moscú-Sheremétievo, en Rusia.
El 8 de agosto de 2013, Lavabit suspendió sus actividades.Se piensa que Lavabit fue la primera empresa de tecnología que eligió
suspender y acabar con sus actividades antes que cumplir una orden
judicial del gobierno de los Estados Unidos que le obligaba a revelar o
dar acceso a información.
Mensaje del CEO Lavabit.
Actualmente se especula que Lavabit esta luchando contra una orden judicial o una carta de seguridad nacional que le pedía información de un cliente suyo bajo circunstancias extraordinarias.
Silent Circle
es una empresa de comunicaciones cifrado que proporciona servicios de
comunicación multiplataforma seguras para dispositivos móviles, de
escritorio y de correo electrónico, se lanzo oficialmente el
16 de octubre 2012.
Silent Circle : https://silentcircle.com/?lang=es
Lamentablmente Silent Circle siguió con el ejemplo de Lavabit y suspendió
sus servicios de correo electrónico cifrado el mismo día, poco después de
conocerse el cierre de Lavabit.
Despues del duro golpe que han sufrido estas dos empresas, cuyo objetivo era brindar una seguridad al mas alto nivel en el ambito de correo electrónico. Dichas compañías han anunciado una alianza con el fin de "cambiar el mundo de email completamente
poniendo la privacidad y la seguridad en su núcleo." El proyecto lleva como nombre Dark Mail.
Dark Mail tiene como objetivo proveer correo electrónico garantizando el cifrado de datos gracias a su propio protocolo de correo, que sustituiría al habitual SMTP.
En vez de eso, estará basado en XMPP (antes conocido como Jabber), el
protocolo de mensajería instantánea ya usado por muchos programas.
Su objetivo es de proveer correo electrónico garantizando el cifrado de datos gracias a su propio protocolo de correo, que sustituiría al habitual SMTP.
En vez de eso, estará basado en XMPP (antes conocido como Jabber), el
protocolo de mensajería instantánea ya usado por muchos programas.
La idea también es que este producto sea un protocolo abierto, esperando
así que otros servicios de correo electrónico decidan incorporar esta
protección a sus productos.
Bueno, creo que hemos llegado al final de post, espero que la información que he presentado les sea útil. Sin mas que decir, me despido y será hasta la próxima.