18CorreoSeguroPDFc

Capítulo 18
Aplicaciones de Correo Seguro
Seguridad Informática y Criptografía
Ultima actualización del archivo: 01/03/06
Este archivo tiene: 97 diapositivas

v 4.1

Material Docente de
Libre Distribución

Dr. Jorge Ramió Aguirre
Universidad Politécnica de Madrid

Este archivo forma parte de un curso completo sobre Seguridad Informática y Criptografía. Se autoriza el uso,
reproducción encomputador y su impresión en papel, sólo con fines docentes y/o personales, respetando los
créditos del autor. Queda prohibida su comercialización, excepto la edición en venta en el Departamento de
Publicaciones de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, España.
Curso de Seguridad Informática y Criptografía © JRA

Capítulo 18: Aplicaciones de Correo Seguro

Página829

El correo electrónico seguro
En sistemas abiertos como en el caso de Internet, el correo
seguro se logra a través de la plataforma S/MIME acrónimo
de Secure Multipurpose Internet Mail Extensions.
A comienzos de los años 90 hacen su aparición dos sistemas
o aplicaciones de correo electrónico seguro:
PEM: Private Enhanced Mail
PGP: Pretty Good Privacy
De los dos, ha sido PGP quien se haconvertido en un estándar
de hecho en clientes de e-mail seguro en entornos cerrados.
Por lo tanto veremos sólo algunos aspectos genéricos de PEM
y analizaremos más en profundidad PGP.
© Jorge Ramió Aguirre

Madrid (España) 2006

Capítulo 18: Aplicaciones de Correo Seguro

Página 830

Private Enhanced Mail PEM
•
•
•
•
•
•
•

Es una propuesta de la IETF Internet Engineering Task Force
en 1985. Eldocumento técnico se publica en 1993.
Las especificaciones técnicas están en las RFCs Request For
Comments números 1421, 1422, 1423 y 1424.
Se usa conjuntamente con el protocolo SMTP Simple Mail
Internet Protocol.
Cifrado de la información: DES modo CBC.
Generación y gestión de claves: RSA de 508 a 1024 bits.
Estructura de certificados según la norma X.509.
Clave de sesión: DES modo ECB, TripleDES-EDE.Firma digital: RSA, MD2, MD5.
http://www.ietf.org/rfc/rfc1421.txt

© Jorge Ramió Aguirre

Madrid (España) 2006



Capítulo 18: Aplicaciones de Correo Seguro

Página 831

Implementación de PEM
• Es compatible con otros modelos de mensajería como, por
ejemplo, X.400.
• PEM se implementa en el nivel de aplicación:
• es independiente de los protocolos de los niveles OSI o
TCP/IP inferiores.
• esindependiente de los sistemas operativos o del
ordenador.
• Se puede implementar como un módulo independiente que
trabaje con el cliente de correo habitual para el usuario.

© Jorge Ramió Aguirre

Madrid (España) 2006

Capítulo 18: Aplicaciones de Correo Seguro

Página 832

Servicios de seguridad en PEM
• Servicios de seguridad contemplados:
– Autenticación del origen.
– Confidencialidad.
–Integridad del mensaje.
– No repudio del origen cuando se utiliza gestión de clave
con algoritmo de clave asimétrica.
• Servicios de seguridad no contemplados:
– Control de acceso.
– Confidencialidad del tráfico de mensajes.
– No repudio del mensaje por parte del receptor.
© Jorge Ramió Aguirre

Madrid (España) 2006

Capítulo 18: Aplicaciones de Correo Seguro

Página 833

Formato e implementación de PEMTIS/PEM
Plataformas UNIX. Trusted Information
System. Código fuente disponible para
los ciudadanos o empresas de Estados
Unidos y Canadá. Usa una jerarquía de
certificación múltiple.
RIPEM
Implementa parte de los protocolos PEM
sin certificados para autenticación de
claves. Gratuito para aplicaciones no
comerciales. Exportación prohibida fuera
de Estados Unidos. Existen versiones
utilizadas entodo el mundo.
© Jorge Ramió Aguirre

Madrid (España) 2006

Capítulo 18: Aplicaciones de Correo Seguro

Página 834

Pretty Good Privacy PGP
•
•

•
•
•

Philip Zimmermann publica la versión 1.0 de PGP en 1991 con
mínimos requisitos de hardware y software.
En 1992 aparece la versión 2.0 en la que ya participan
programadores de todo el mundo. Su código se escribe fuera de
USA para evitar las leyes...