!

Seccin 1 Acceso a llaves

Este es el programa que guarda todas nuestras contraseas, se encuentra en la seccin utilidades. Por ejemplo, cuando en el programa Adium o Skype ( o tantos otros ) usamos nuestra cuenta por primera vez tras introducir la contrasea nos indica si queremos guardarla, si indicamos que si, la contrasea se guarda en el Acceso a llaves, de este modo, cuando usemos de nuevo esa cuenta, el programa leer la contrasea del acceso a llaves y no nos la pedir de nuevo. Si abrimos el programa vemos lo siguiente.

Arriba a la izquierda tenemos las distintas llaves que existen: La llave de inicio de sesin se encuentra abierta por defecto, para que los programas puedan aadir informacin a ella cuando le damos a guardar contrasea. Es propia de cada usuario y es la llave que se usa por defecto y la ms importante. La llave de sistema guarda claves asociadas a distintos usuarios, como por ejemplo la contrasea de airport de distintas redes.

Gua Acceso a llaves en OS X, certicados, rmas y dems"

Pgina 2 de 10

 La llave X509Anchors guarda los certicados digitales que van preinstalados en el sistema. Mas tarde explicarque son los certicados. En la seccin categora podemos ltrar los items que tenemos a la derecha, por contraseas de internet, de aplicacin, certicados, claves, etc.. Por cada contrasea que guardamos se crea un item a la derecha, en mi captura se puede ver un item de Adium, y otro de Skype. Los items de aplicacin tienen un smbolo distinto a los items de web. Finalmente tambin podemos ltrar los items por nombre arriba a la derecha, como de costumbre en las aplicaciones Mac. Los items de contrasea se pueden editar dando doble clic, y tambin borrar. Si borramos un item, la aplicacin que lo usa no podr leerlo y volver a pedirnos contrasea como la primera vez que la usamos.En ese caso, de nuevo, podremos indicarle si queremos que sta se guarde en el acceso a llaves. Si nunca has tenido problemas ni curiosidad por saber como funciona ms en detalle esta aplicacin, puedes seguir viviendo sin conocerla ms, y, adems puedes rmar tus emails sin saber mucho ms, de modo que pasar al siguiente apartado, para, ms tarde, volver a esta aplicacin para que las personas que tengan curiosidad puedan aprender un poco ms.

Gua Acceso a llaves en OS X y dems

Pgina 3 de 10

Seccin 2 Conceptos de seguridad

Aqu explicar algunos conceptos de seguridad informtica. Certicado o entidad digital es una manera de identicar a alguien en forma electrnica. Consta de un cdigo secreto (tu "clave privada") y otra clave la cual uno publica libremente (tu "clave pblica"). Tu clave privada te permite rmar documentos electrnicos, y todas las personas que lo lean podrn vericar tu rma usando tu clave pblica. Del mismo modo, con tu clave privada puedes mostrar ("desencriptar") documentos que otros usuarios ocultaron ("encriptaron") usando tu clave pblica. De este modo uno puede publicar su clave publica en un servidor de claves, o bien colocarla en su web, de este modo todas las personas que dispongan de ella podrn: conrmar que somos nosotros quienes le escribimos, osea comprobar nuestra rma electrnica en un email, y tambin enviarnos informacin que solo podremos leer nosotros (informacin encriptada con nuestra clave publica que solo puede ser desencriptada con nuestra clave privada). Para asegurar la autenticidad de una identidad digital, las autoridades certicadoras suministran identidades digitales a individuos, cuyas identidades pudieron ser vericadas. Una autoridad certicadora (CA): es una identidad digital que rma certicados ( como Verisign). Emiten certicados de diferentes niveles, formando lo que se conoce como "cadena de certicacin". Para que un certicado sea vlido, la CA que lo rm debe ser vlida, y lo mismo se aplica a toda la cadena. La validez de los certicados de una cadena es determinada en forma automtica por el Mac OS X, al evaluar un certicado. Esto quiere a decir a nivel prctico que si Verisign certica a la entidad keroCA y keroCA hace un certicado a jack kerouack, el certicado de jack ser able para nosotros ya que ha sido certicado por una entidad able (keroCA) y, a su vez, keroCA es able porque ha sido certicada por Verisign, que es raz y able. Las CAs raz son las mas importantes, se confa en ellas y crean su propio certicado able. En el acceso a llaves, llave X509Anchors, ya se encuentran multitud de certicados aceptados de entidades certicadoras importantes, como Verisign, esto provoca que todo lo certicado por Verisign, o por otra entidad que fuera certicada por Verisign, es able para nosotros. Podemos conseguir mas certicados de entidades ables y aadirlos. Para rmar un email: Necesito un certicado, con su clave publica y su clave privada. Conceptualmente existen dos formas de asegurar la abilidad de la rma:

Gua Acceso a llaves en OS X, certicados, rmas y dems"

Pgina 4 de 10

- Dar la clave publica de forma segura a nuestros amigos ( desde un servidor, o nuestra web, en persona o email ). Cuando reciban un email rmado con nuestra clave privada, comprobarn la rma con nuestra clave pblica. De este modo no hace falta que el certicado lo haya creado una CA certicada, podemos generarlo nosotros mismos. - Obtener el certicado de una CA certicada, de este modo no hace falta que demos la clave publica a nuestros amigos. Como ya dije, si Verisign certica a Thawte ( otra CA) y Thawte nos certica a nosotros, cualquier persona que confe en Verisign (osea todo el mundo), conar en nuestro certicado. Por otro lado existen dos niveles de certicacin, en el primero se asegura que escribe el email la persona duea de la cuenta de email, en la segunda modalidad, adems de lo primero se conoce quien es exactamente la persona duea del email con nombre y apellidos. Pero realmente sirve de algo la primera opcin? Aunque en la primera opcin no tengamos certeza a nivel de seguridad informatica de quien es quien nos escribe el email, puede que ya dispongamos de esta informacin. Por ejemplo, yo uso una determinada direccin de correo, mis amigos conocen mi direccin y tambin me conocen a mi y saben quien soy. Sin embargo cualquier persona puede enviarles un email en el que gure mi direccin en el apartado de remitente. sin embargo, si yo les aviso de que a partir de ahora rmar mis emails, ellos tendrn la seguridad de que si mi email est rmado, es seguro que lo estoy enviando realmente yo. Otro ejemplo, si recibimos un email rmado desde una direccin de una gran empresa, puede que no sepamos con nombre y apellidos quien exactamente nos escribe , pero sabremos que es realmente el dueo del email, y, por tanto, se nos escribe desde esa empresa realmente y no es una broma de un amigo, envo de virus o propaganda. Para encriptar un email : Necesitamos tener nuestro certicado y, adems, tener el certicado de la persona a quien le enviamos el email. Explicacin tcnica: Necesitamos la clave pblica de la persona que ser la nica que pueda leerlo. De este modo lo ocultaremos con su clave pblica, y como esta persona es la nica que tiene su clave privada, ser la nica que pueda leerlo.

Gua Acceso a llaves en OS X y dems

Pgina 5 de 10

Firma digital en MAIL paso a paso

Voy a explicar paso a paso el proceso de solicitar un certicado digital para nuestro email a una entidad certicadora. Este certicado autenticar que la persona que escribe el email es la duea de la cuenta. Para, adems, certicar quien es la persona duea de la cuenta se deben seguir otros pasos, e ir a determinadas ocinas con nuestro DNI para que lo comprueben.

He elegido la autoridad de certicacin THAWTE ( http://www.thawte.com ) ya que indagando por internet he sabido que hacen certicados a emails de forma gratuita, es posible que existan muchas otras autoridades que podamos usar. El proceso de realizar la peticin no es corto, pero tampoco especialmente difcil, se trata de leer las indicaciones e ir haciendo lo que corresponda. En primer lugar entramos en la pagina web y elegimos el idioma espaol, aunque no toda la informacin de la pgina se nos vaya a traducir.

Pulsamos el enlace Proteccin de su email en el apartado Qu necesita. Pulsamos Join. Nos aparece una ventana nueva con los trminos del contrato, los aceptamos pulsando next. Damos nuestros datos bsicos.

Indicamos la cuenta de correo a certicar, y algunos datos ms, como el tpico apartado de preguntas sencillas, que debemos rellenar para utilizar en caso de que olvidemos nuestro password.
Gua Acceso a llaves en OS X, certicados, rmas y dems" Pgina 6 de 10

De este modo llegaremos a la pgina en la cual manejaremos nuestras peticiones de certicados. Para solicitar un certicado pulsamos en Certicates y luego en Request my certicate. Pulsamos en el Request asociado a los certicados X.509. Inicialmente nuestro certicado estar pending, cuando sea creado pasar a estar issued. Seguimos los pasos y recibiremos un email con dos claves, tras esto colocamos las dos claves en la pgina web y se nos indicar una web para descargar el certicado. Pinchamos en el enlace ( Fetch ) y el certicado se nos aadir automticamente a nuestro acceso a llaves, seccin mis certicados.

En este momento abrimos la aplicacin Mail y veremos que al escribir un nuevo mensaje disponemos de dos nuevos botones a la derecha de la rma. El candado sirve para encriptar el email, y no podemos usarlo ahora mismo ya que no disponemos del certicado ( clave publica ) de nadie. La V si podemos usarla ya que ya tenemos nuestro certicado, sirve para rmar nuestro email. Si vemos la V el email se rmar, si vemos la X no se rmar. Pulsamos el botn para cambiar su estado. Cuando recibamos un email rmado por alguien, el certicado (clave pblica) del emisor se aade a nuestro acceso a llaves (podremos verlo en la seccin certicados). De este modo cuando le enviemos un email a esta persona, podremos usar el botn del candado para encriptar el email. Candado cerrado indicar encriptado y candado abierto no encriptado. Cada aplicacin tiene una forma de indicarnos que un email est rmado o encriptado, Mail nos lo indica de estos modos:

Gua Acceso a llaves en OS X y dems

Pgina 7 de 10

Ya podemos asegurarnos de que quien recibe un email, est seguro de que somos nosotros, y, adems, enviarle informacin que slo l podr leer (siempre que l tambin use certicados). Si recibimos un email rmado en un lector de correo que no reconoce las rmas, como gmail por web, veremos este archivo como adjunto.

Gua Acceso a llaves en OS X y dems

Pgina 8 de 10

Acceso a llaves II, la venganza.

Ya puedes rmar y encriptar emails, adems tienes una idea de la aplicacin acceso a llaves, de modo que si no te apetece seguir leyendo, tu mismo, yo probablemente no seguira y me pondra a escuchar un buen disco. Para los dems... Si pulsamos doble clic sobre un elemento de seguridad del acceso a llaves veremos la siguiente informacin. Por defecto no se muestra la contrasea asociada a este momento, pero podemos aqui visualizarla.

En la pestaa Control de acceso podemos ver que aplicacin puede leer este elemento/contrasea, y cambiar algunos de sus atributos, asi como aadir aplicaciones que puedan leer este elemento. El tpico mensaje cuando instalamos una nueva versin del mismo programa de Esta aplicacin solicita permiso para leer del acceso a llaves, quiere decir que se nos pide permiso para aadir la nueva versin del programa aqu, o bien que va a crear un nuevo elemento de llaves con esa informacin. Tambin podemos crear notas con contraseas de lo que queramos y se guardaran de forma segura

Gua Acceso a llaves en OS X, certicados, rmas y dems"

Pgina 9 de 10