Advertisement
  1. Code
  2. Security
Code

Es momento de Encriptar tu Correo Electrónico: Usando Keybase

by
Difficulty:BeginnerLength:MediumLanguages:
This post is part of a series called It's Time To Encrypt Your Email.
It's Time to Encrypt Your Email: Using GPGTools for OS X
It's Time to Encrypt Your Email: Using the Browser

Spanish (Español) translation by Javier Salesi (you can also view the original English article)

Keybase

Éste es el siguiente tutorial en una serie enfocada en encriptar tu correo electrónico. En el primer tutorial, presentamos los conceptos generales de encriptación y como pueden usarse para asegurar y autenticar nuestros correos electrónicos. En el segundo tutorial, te guié a través de la instalación de software de encriptación en tu computadora y te iniciaste en el envío de tus primeros mensajes; usamos GPGTools para Mac OS X, una integración de GnuPG de código abierto.

En éste tutorial, te guiaré en el uso de un nuevo servicio que fortalece el Anillo de Confianza, creando una estela de audición sofisticada de autenticación para la validación de claves públicas.

Además de leer los primeros episodios, puedes querer revisar la Guía de Autoprotección Digital contra la Vigilancia de la Electronic Frontier Foundation y su explicación sobre Verificación de Claves.

En los próximos episodios, exploraremos la encriptación de correo electrónico basada en el navegador, y luego cambiaremos tópicos un poco para encriptar tus actividades de internet con el uso de una VPN. Finalmente, como parte de la serie sobre manejo de tus recursos digitales después de tu muerte, usaremos lo que hemos aprendido para crear un cache seguro de información importante para tus descendientes en caso de emergencia.

Solo un recordatorio, regularmente participo en las discusiones de la parte inferior de la página. Si tienes una pregunta o sugerencia de un tópico, por favor publica un comentario abajo. También puedes seguirme en Twitter @reifman o mandarme un correo electrónico directamente.

¿Qué es Keybase?

Desde el principio, la eficacia de PGP es limitada por el Anillo de Confianza. ¿Qué tan seguro estás de que la persona que te envió un mensaje realmente mantiene la clave privada que lo firmó? ¿O qué tan seguro estás de que el mensaje que encriptaste con la clave pública de alguien no es realmente la de un impostor? Dependiendo de que tan importante son  la confidencialidad y la validez de tus mensajes, éstas preguntas pueden literalmente significar la vida o la muerte.

Keybase es un intento de crear un anillo de confianza en nuestras cuentas sociales y los sitios web que alojamos. Es un servicio gratuito creado por dos de los cofundadores de OKCupid, Chris Coyne y Max Krohn.

La idea básica de Keybase es que si confias que yo, Jeff Reifman, controlo mi cuenta de Twitter, mi cuenta de Github y mi sitio web personal y de consultoría, entonces puedes confiar en la clave pública que ha sido autenticada por publicaciones a esas cuentas y sitios web. De hecho, si das click en los enlaces precedentes, son publicaciones a todos esos lugares (o entradas DNS) que ayudan a autenticar mi clave pública alojada con Keybase.

Keybase actualmente explica su implementación del Anillo de Confianza para cada una. Aquí hay un ejemplo de por qué deberías confiar en mi clave pública de Keybase dado un registro DNS TXT para mi sitio web, JeffReifman.com.

Esencialmente, utilicé mi clave privada para firmar la huella digital de mi clave pública.

Keybase The Crypto Walkthrough Part One

Posteriormente, Keybase creo un hash (algoritmo de autenticación) de ésta firma y me pidió publicar un registro DNS TXT para JeffReifman.com.

Keybase The Crypto Walkthrough Part Two

Puedes verificar el registro DNS con la herramienta de búsqueda de tu elección.

Keybase también me pidió tuitear un hash similar para mi cuenta de Twitter @reifman.

Keybase Verification Tweet for Jeff Reifman reifman twitter account

Si mis sitios web o cuenta de Twitter son hackeadas o comprometidas, puedo revocar éstas verificaciones por medio del sitio de Keybase. Similarmente, otros usuarios de Keybase descubrirán ésto cuando tratan de encriptar mensajes para mi y notifican a Keybase.

Si eres un soplón deseando enviarme documentos confidenciales-quizá trabajes en el Departameno de Ingresos del Estado de Washington y te sientas obligado a mandarme por correo electrónico el balance actual de pago de impuestos por concepto de regalías de Microsoft para el periodo 1991-2012-pudieras usar Tor para crear una dirección de correo electrónico anónimo y cifrar un mensaje usando la clave pública validada en el perfil de Keybase para Jeff Reifman:

The Keybase profile for Jeff Reifman and his public PGP key

Claro, nunca harías eso porque pudiera ser considerado ilegal y vergonzoso para Microsoft, a menos que fueras un soplón.

Iniciando con Keybase

Keybase Graphics credit Keybaseio website

Por ahora, el uso de Keybase es principalmente mediante invitación, pero para el momento en que éste episodio se publique, es probable que ya esté disponible para el público. Actualmente, hay un cola para registrarse para el lanzamiento beta:

Keybase Join the Private Beta

Creando un Par de Claves

Una vez que te registraste, necesitas importar o generar un par de claves privada/pública y verificar tus cuentas sociales y sitios web.

Keybase My new user profile

Primero, agregamos una clave pública, asi que elegí I need a public key: (Necesito una clave pública)

Keybase Add a public key for Jeff Reifman

Después, Keybase utiliza matemáticas, matemáticas complejas, para generarme un par de claves pública/privada:

Keybase Getting a key pair for Jeff Reifman

Ves, mucho de matemáticas:

Keybase Building a key pair for Jeff Reifman with MATH

Cuando termina, ofrece albergar tu clave privada también. Dependiendo del nivel de amenaza con la que vives, puedes estar cómodo con ésto, o puedes querer exportar tu clave privada a una memoria USB.

Keybase Jeff Reifman Key Pair

Aquí está mi perfil de Keybase ahora con mi huella digital de clave pública. Cualquiera que quisiera enviarme un mensaje encriptado puede obtener mi clave pública en https://keybase.io/jeffreifman:

Keybase My Keybase Profile with my public key fingerprint

Pero claro, tendrían muy poca razón para confiar en que soy yo. Necesitamos trabajar a través de Keybase para verificar nuestra clave pública con mis cuentas sociales y sitios web.

Verificando tu Identidad con Keybase

Comencemos con mi cuenta de Twitter.

Usando tu cuenta de Twitter

Keybase te pedirá el nombre de mi cuenta de Twitter: Soy @rifman.

Keybase Prove Your Twitter Identity

Luego, Keybase usará tu passphrase para firmar tu identidad para Twitter:

Keybase Prove Your Twitter Identity in the Browser

Cuando esté listo, te pedirá tuitear éste hash firmado:

Keybase Publish this tweet

Asi es como se ve el tuit en tu cuenta:

Keybase Proof Tweet

Para que las personas de manera sencilla encuentren mi clave pública enlazo a mi perfil de keybase en mi perfil de Twitter.

Linking to my Keybase profile from my Jeff Reifman Twitter account

Una vez que Keybase verifica que he tuiteado, muestra ésta verificación en mi perfil:

Keybase My Expanded Keybase Profile for Jeff Reifman

Utilizando GitHub

Ahora, verifiquemos mi cuenta de GitHub. Keybase te pedirá publicar un archivo como un GitHub Gist:

Keybase Posting a Gist

Aquí está la prueba que ellos te piden publicar (la tuya sería diferente)

Cuando se haya verificado, mi credencial de GitHub será publicada en mi perfil de Keybase:

Keybase My Expanded Profile with Github

Usando Tu(s) Sitio(s) Web

Ahora, verifiquemos mi sitio web Jeff Reifman:

Keybase Website proof options

Puedes publicar un archivo de texto o establecer un DNS TXT record. Elegí lo último. Keybase te pedirá tu nombre de dominio:

Keybase Prove Your Domain

Luego, te pedirá publicar éste registro DNS TXT:

Keybase Prove Your Domain via DNS TXT Record

Puede tomar varias horas propagar y ser verificado por Keybase:

Keybase Waiting for DNS Record Evidence

Usando éstos rastros de autenticación, las personas que buscan mi clave pública en Keybase pueden estar relativamente seguros que están encriptando mensajes para el verdadero Jeff Reifman- o todas sus cuentas han sido hackeadas y ni él ni nadie más se ha dado cuenta (improbable).

Keybase Tracking down Jeff Reifmans public key authority - credit Keybaseio website

Así es como se ve mi perfil de Keybase completamente verificado:

Keybase Completed Keybase profile for Jeff Reifman

Enviando un Mensaje Encriptado

Keybase también hace fácil enviar mensajes encriptados a otros usuarios de Keybase. Envié una nota a Chris Coyne para hacerle saber que estaba escribiendo éste tutorial.

Keybase Encrypt a message

Ingreso mi passphrase y doy click en Sing & encrypt (firmar y cifrar). Es fácil.

Keybase también es una sofisticada aplicación de línea de comandos. También puedes usarla para encriptar y  descifrar mensajes. De hecho, hay ventajas para hacer ésto. Tu cliente puede ejecutar revisiones de verificación que no son tan confiables como usar el sitio web (que pudiera estar comprometido de varias formas sin que te des cuenta).

Keybase The Command Line

Una vez encriptado, Keybase me proporcionará texto plano que puedo pegar en un correo electrónico para Chris:

Keybase Encrypted Message

Si alguien además de Chris lo recibe, todos verán texto sin sentido:

Keybase Robot with encrypted message - credit Keybaseio website

Desencriptando un Mensaje

Similarmente, para desencriptar un mensaje, puedo pegar un mensaje PGP de cualquier parte en Keybase, ingresar mi passphrase y dar click en Decrypt (Descifrar):

Keybase Decrypt a message

Invitar a Personas que Conoces

Keybase se vuelve más útil cuando más contactos tuyos lo usan. Afortunadamente, invitar a amigos y colegas a Keybase es fácil:

Keybase Invite your friends into the web of trust

Incluso puedes reclamar invitaciones si personas no las usan.

¿Qué sigue?

Keybase da un paso enorme en facilitar a al gente el envío y la recepción de mensajes encriptados. Estoy emocionado para ver como el servicio continúa evolucionando.

¿Qué estás esperando? Invita a amigos a que se unan a Keybase e incien a mandar correos electrónicos de manera mas segura con encriptación. Es tiempo de encriptar tu correo electrónico.

Por favor con toda confianza publica tus preguntas y comentarios abajo. También puedes contactarme en Twitter @reifman o mandarme directamente un correo electrónico. Puedes encontrar mis otros tutoriales al navegar en mi página de instructor en Tuts+.

Enlaces Relacionados

¡Sé el primero en conocer las nuevas traducciones–sigue @tutsplus_es en Twitter!

Advertisement
Advertisement
Looking for something to help kick start your next project?
Envato Market has a range of items for sale to help get you started.