Historias
Slashboxes
Comentarios
 
Búsqueda

Cifrado 'end-to-end' para webmails

Entrada escrita por jperex y editada por nettizen el 31 de Agosto 2015, 08:46h   Printer-friendly   Email story
Cifrado Correo electrónico Internet Seguridad World Wide Web
¿Es el correo electrónico seguro? Las comunicaciones cifradas mediante SSL (HTTPS, SMTPS, IMAPS) sólo 'garantizan' la protección de las comunicaciones entre máquinas clientes y servidores, pero no entre el emisor y el destinatario del e-mail: el origen o el destino del túnel SSL suele ser una máquina intermedia que no controlamos y que tiene acceso a nuestros mensajes en claro. Herramientas como GnuPG/OpenPGP tienen un número de usuarios reducido porque (1) demandan cierto esfuerzo de los usuarios para su configuración y (2) el webmail HTTP ha desbancado a los clientes de correo tradicionales mediante IMAP/SMTP.
El meme de moda actualmente entre los proveedores de webmail es "End-to-end (E2E) encryption": ofrecer al usuario la posibilidad de cifrar fácilmente sus mensajes en local antes de enviarlos para que sólo puedan ser leídos por el destinatario y aparezcan cifrados a los intermediarios que forman parte del canal de comunicación (tales como como los ISPs o nuestro proveedor de servicios de correo). Es decir, algo que los clientes de correo de escritorio tradicionales llevan ofreciendo desde hace años, por ejemplo mutt con gnupg, o Thunderbird con la extensión Enigmail (que en el futuro podría venir incluída en la instalación por defecto).

En esta situación, los proveedores alemanes de correo GMX y Web.de (subsidiarios de United Internet) han anunciado recientemente que los usuarios de su servicio de e-mail podrán usar fácilmente cifrado OpenPGP de clave pública, tanto desde su interfaz webmail como desde sus aplicaciones móviles para iOS y Android (anuncio de GMX (en alemán), anuncio de Mailvelope). Para ello, presentarán al usuario un asistente rápido de tres pasos que descarga y configura Mailvelope, una extensión disponible para navegadores Firefox y Chrome que utiliza openPGPjs para las operaciones criptográficas sobre los correos. Además, GMX y Web.de permitirán la sincronización, entre todos nuestros dispositivos móviles, del anillo con las claves públicas PGP de nuestros contactos (via IMAP), todo ello orientado a mejorar la usabilidad de PGP en un entorno webmail.

Mailvelope asegura que también funciona con los webmails de Google, Yahoo y Outlook, pero sin soporte oficial de dichas empresas. Otra extensión similar para integrar OpenPGP en los webmails es WebPG. Google, por otro lado, está trabajando en su propia extensión End-To-End para el navegador Chrome, que está todavía en fase de desarrollo (imágenes de su funcionamiento, aquí). Otro proyecto con una filosofía distinta como Lavaboom ha anunciado recientemente su cierre

Aunque tener una extensión en nuestro navegador sea una forma muy cómoda de conseguir cifrado en nuestros mensajes, varias voces consideran que la criptografía basada en código Javascript ejecutándose en un navegador nunca será segura.

Más información en la página de ayuda de Web.de, en un documento de GMX y en ZDNet. Más opiniones sobre cifrado E2E en servicios de webmail en Hacker News.

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Cifrado 'end-to-end' para webmails | Log in/Crear cuenta | Top | 7 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • ¿Gato encerrado?

    (Puntos:2, Informativo)
    por granda (2039) el Domingo, 30 Agosto de 2015, 09:16h (#1371738)
    ( http://blog.deif.org/ | Última bitácora: Miércoles, 19 Agosto de 2015, 16:06h )
    Me gustan las iniciativas que busquen proteger la privacidad de la gente, pero no pillo la jugada en la que Google Mail, que da un estupendo servicio gratuito de correo electrónico a cambio de leer mis mensajes, va a permitir cifrarlos para no poder acceder más que a los metadatos. Habrá que leer los términos de servicio _detenidamente_

    Por cierto, otro proveedor de correo electrónico procupado por la privacidad de sus clientes y radicado en Alemania, el siempre interesante Posteo [posteo.de]
    --
    FortSu.es [fortsu.es] - El buscador de zapatillas

  • Búsqueda

    (Puntos:3, Inspirado)
    por Ricardo Estalmán (102) el Domingo, 30 Agosto de 2015, 23:20h (#1371743)
    ( http://barrapunto.com/tags/restalman | Última bitácora: Domingo, 08 Julio de 2018, 16:42h )
    Si el servidor que almacena tus mensajes no tiene acceso a su contenido, no te permitirá hacer búsquedas dentro.
    --

    __
    Comprare è combattere.

  • Esfuerzos inutiles

    (Puntos:0)
    por pobrecito hablador el Lunes, 31 Agosto de 2015, 12:17h (#1371750)
    El sistema de GnuPG es difícil para un usuario medio. A mi a veces hasta me cuesta usarlo, por lo que no veo ningún futuro a esto.
    La solución sería idear un sistema que sustituya definitivamente al correo electrónico. La mensajería instantánea le ha comido bastante terreno, pero no es suficiente...

  • SMIME

    (Puntos:2)
    por LoadLin (66) <{LoadLin} {at} {legio7.net}> el Martes, 01 Septiembre de 2015, 08:18h (#1371763)
    ( http://barrapunto.com/ )
    Gracias a las actuales capacidades de los navegadores con almacenamiento local, no habría ningún problema en usar el SMIME de toda la vida, si no fuera porque no terminan de unificar el API criptográfico de una vez.

    A los progresos de WebCrypto http://www.w3.org/TR/WebCryptoAPI/ [w3.org] le sigue faltando la funcionalidad esencial de poder trabajar con claves obtenidas por acceso a un almacén propio del navegador (normalmente en dispositivo físico, que no permite la extracción de claves privadas, sino solo usarlas).

    Si ese API estuviera hecho de una vez, sería fácil disponer en todos los navegadores Web de un sistema unificado para firma electrónica sin necesidad de applets o aplicaciones nativas varias.

    Así que "solo" habría que transferir el Email al cliente y decodificarlo allí con estos APIs y a la inversa.
    --
    -------------------- La verdad no se puede crear, solo se puede buscar.