S/MIME Cifrando correos electrónicos

No es muy diferente a usar OpenGPG o PGP en cuanto a concepto, sin embargo muchos clientes de correo requieren la instalación de plugins como enigmail mientras que el S/MIME ya viene soportado en muchos de los clientes de correos mas famosos como Outlook o ThunderBird entre otros.

¿ Donde usarlo ?

Por lo general se usa en empresas o en grupos de personas que se conocen y quieren mantener sus correos de forma confidencial ademas de que puedan ser firmados para saber que provienen de la persona que dice ser quien lo envía evitando suplantación de identidad.

Creando llave privada y los certificados

En una organización lo mejor es tener un responsable que se encargue de ser la autoridad certificadora o CA y que solo esta persona emita nuevos certificados para nuevos miembros. Si no estas muy empapado de como funcionan los certificados, las llaves publicas y privadas seria mejor que primero leas algo de eso para tener mas claro como funciona este nivel de seguridad.

Se requiere

– Crear una llave privada y el certificado para la autoridad certificadora.
– Instalar el certificado de autoridad en las maquinas como Certificado ROOT/CA
– Crear la llave privada y certificados para cada correo electrónico firmados por la autoridad certificadora
– Crear el archivo PFX para cifrar o firmar los correos antes de enviarlos
– Instalar estos certificados en las maquinas donde se requieran.

Comandos para crear los archivos de certificados y llaves usando OpenSSL

Generar llaves privadas y publicas de 512 Bytes

openssl genrsa -out private.key 4096

Crear un certificado autoridad

openssl req -new -x509 -days 10000 -key private.key -subj '/C=MX/ST=DF/L=CDMX/CN=Last Dragon Email' -out calastdragon.net.crt

Crear el requerimiento de firma para certificado de correo electrónico

openssl req -new -key emailprivate.key -subj '/emailAddress=email@lastdragon.net/C=MX/ST=DF/L=CDMX/CN=Email de Last Dragon' -out email.lastdragon.net.csr

Firmar el requerimiento con el certificado de autoridad certificadora

openssl x509 -req -CA calastdragon.net.crt -CAkey caprivate.key -days 10000 -in email.lastdragon.net.csr -CAcreateserial -out email.lastdragon.net.crt

Crear el archivo PFX que incluye el certificado y la llave privada en un solo archivo binario

openssl pkcs12 -export -out email.lastdragon.net.pfx -inkey emailprivate.key -in email.lastdragon.net.crt

Thunderbird

En este articulo usare Thunderbird, aunque outlook y otros clientes soportan estas configuraciones cada uno se configura a su manera ademas estos clientes de correo electrónico no se encuentran en todos los sistemas operativos, sin embargo thunderbird es configurable de la misma forma en macOS, GNU/Linux o Windows.

Instalando los certificados en Thunderbird.

En la configuración de la cuenta en la opción de seguridad y presionar el botón de Administrador de certificados.

Instalar el certificado autoridad.

Ir a la pestaña de Autoridades e importar el el certificado autoridad en cada cliente donde se vaya a asegurar los correos electronicos.

Instalar el archivo PFX para cifrar correos o firmarlos.

En la pestaña de tus certificados, te preguntara la clave que introdujiste al momento de generar el archivo PFX

Aceptar y seleccionar en firma digital y encriptacion/cifrado el certificado PFX recién importado.

Instalar el certificado de cada correo al que vayas a enviar correos seguros.

En la pestaña de gente/personas/people importar cada certificado generado por correo electrónico, de no instalar el certificado de cada persona no podrás enviarles correos cifrados, solo a correos normales sin firma o cifrar.

¿ Donde consigo cada certificado de correo para enviar ?

Si es una organización, los puede generar y distribuir el encargado de ser autoridad certificadora, si no es parte de la organización puede ser enviado como un archivo adjunto o incluirlo una URL de descarga en la firma al pie del correo, el certificado incluye la llave publica, por lo que distribuirla en medios no seguros no es problema.

Imágenes de la instalación de los archivos de certificados en Thunderbird.

SMIME en Thunderbird

SMIME en Thunderbird

2 Comments

Add a Comment

Comment spam protected by SpamBam