02 marzo 2011

Mail Sellado 2.0

Hace algún tiempo presentábamos nuestro servicio de Mail Sellado como herramienta para garantizar el envío de un correo electrónico, pudiendo garantizar fidedignamente cuando se ha escrito un correo, a quien se ha dirigido y que se ha escrito, todo ello únicamente añadiendo en copia (oculta o no) a mailsellado@securitybydefault.com.

En la presentación de la versión 1.0 un avispado lector nos dejaba un comentario indicando que faltaba algo, faltaba una firma digital que aun no estaba implementada.

Finalmente, presentamos la versión 2.0 que funciona de la siguiente forma:

  1. Envías un correo con copia a mailsellado@securitybydefault.com
  2. Al llegar ese correo electrónico, MailSellado lo firma digitalmente empleando una clave GPG cuya clave pública está disponible aquí
  3. Sobre esa firma digital se computa un sello de tiempo empleando la TSA de la Agencia de Tecnología y Certificación Electrónica
  4. Te enviamos de vuelta tu mail original + la firma GPG + el sello de tiempo, con este correo de vuelta tienes la prueba irrefutable de que enviaste ese correo


De esa forma podrás demostrar que enviaste un correo electrónico y su contenido.

Para verificar las firmas:

Primero descargamos la clave pública de Mail Sellado:

$ wget www.security-projects.com/mailsellado.key

Luego el certificado de la CA raiz de accv:

$ wget http://www.accv.es/fileadmin/Archivos/certificados/rootca.crt

Importamos la clave pública:

$ gpg --import mailsellado.key

Verificamos la firma digital sobre nuestro correo original:

$ gpg --verify 2390495814521.39.txt.asc 2390495814521.39.txt

Y finalmente verificamos el sello de tiempo:

$ openssl ts -verify -data 2390495814521.39.txt.asc -in 2390495814521.39.tsr -CAfile rootca.crt

(Para este último paso necesitamos una versión de OpenSSL reciente, mínimo 1.0.0c)

16 comments :

evilteq dijo...

Habéis usado en la imagen un sobrecito "parecido" al de gmail. Pues hasta que gmail (y demás) no incorporen de serie la verificación, ya puede ir firmado por el Papa.

ramandi dijo...

Hola,

me gusta la idea, pero sigo sin verlo claro si no es algo que implanta el servidor de destino en un alarde de transparencia y buen rollo.

Yo puedo poner todos los destinatarios que quiera en las cabeceras de los contenidos y luego sólo enviarlo a vuestro servicio "en el sobre", con lo que el recibo no demuestra nada ¿no?.

Que enviarais el mail a los destinatarios de las cabeceras os convertiría en un relay abierto, así que tampoco me convence.

¿Se me escapa algo?

Saludos!!

Anónimo dijo...

La idea está bien pero ¿qué política de privacidad teneís? (no es por desconfiar) pero puedo estar mandando e-mails con datos personales y hay que tener cuidado con la LOPD.

Además este sistema te puede permitir asegurar que enviaste el e-mail y cuando pero no que lo recibió el destinatario e incluso se podría poner en duda que se enviara tal correo ya que se pudo falsear el sistema de envío enviándolo sólo a vosotros el e-mail (aunque aparezca el destinatario en el correo).

Anónimo dijo...

Este servicio es tan confiable como confiable es el tercero que lo proporciona. De ahí lo de "tercero de confianza".

Servicios parecidos fueron planteados por colegios de abogados, por los notarios, y por alguna empresa también.

Como prueba de concepto me perece interesante, pero poco más allá. Como era eso de darle al lobo la tarea de guiar a las ovejas. :)

Yago Jesus dijo...

@evilteq No termino de entender bien que quieres decir

@ramandi: Cuando el correo se firma digitalmente por nuestra parte, se hace sobre todo el correo en raw, donde aparecen todas las cabeceras y por ende, el SMTP que estas usando, los destinatarios etc. Entonces, es cierto que tu podrías emplear un SMTP propio que esté 'adulterado' para no hacer los envíos correctamente, pero eso también quedará registrado en las cabeceras. Si usas un servicio como Gmail cuyos SMTPs no están bajo tu control, nadie podría poner en tela de juicio el envío.

@Anónimos: En su momento publicamos una F.A.Q. contestando a esas cuestiones http://www.securitybydefault.com/2010/09/anadiendo-veracidad-al-envio-de-un-mail.html

ramandi dijo...

Ok, convencido ;-).

Gracias por la explicación!

pranki dijo...

Testeado. Gracias Yago

Anónimo dijo...

Para que reinventar la rueda y además haciendola de piedra... Hay un servicio que garantiza la autenticidad del emisor y firma el correo: http://www.correos.es/comun/apartadoPostalElectronico/06b02-cep.asp Es ofrecido por una empresa española (correos) no por una extranjera (gmail). Además, proximamente estará disponible el servicio de "Mensajería electrónica segura" pudiendo solicitar certificaciones electronicas del contenido y entrega con "plena validez legal", que al fin y al cabo es lo más interesante.

Yago Jesus dijo...

@Anónimo Muy interesante e instructivo tu comentario, lastima que me temo que ahí donde ves dos ruedas, en realidad es una rueda y un triangulo. De entrada lo que veo que Correos ofrece es una dirección de correo electrónico compulsada, es decir, que garantiza que quien envía el correo ES esa persona. Lo que nada tiene que ver con MailSellado que certifica el envío, el contenido y los destinatarios. Indicas que 'próximamente' Correos dará un servicio similar, de entrada le veo un handicap, no es interoperable desde cuentas ajenas a correos, MailSellado lo puedes emplear desde Gmail, Yahoo o desde tu cuenta corporativa, tan solo metiendo en copia mailsellado@securitybydefault.com. No obstante cuando 'próximamente' correos ponga en marcha un servicio como el nuestro, podremos comprobar que tal han reinventado la rueda :P

Anonymous dijo...

Para que reinventar la rueda y además haciendola de piedra... Hay un servicio que garantiza la autenticidad del emisor y firma el correo: http://www.correos.es/comun/apartadoPostalElectronico/06b02-cep.asp Es ofrecido por una empresa española (correos) no por una extranjera (gmail). Además, proximamente estará disponible el servicio de "Mensajería electrónica segura" pudiendo solicitar certificaciones electronicas del contenido y entrega con "plena validez legal", que al fin y al cabo es lo más interesante.

José dijo...

Muy bueno el servicio de mailsellado, mientras me anduvo.
no anda actualmente para mí desde una ip de Buenos Aires y sé de otro usuario que tiene la misma dificultad en Barcelona, y ambos no tuvimos nunca problemas anteriormente

muchas gracias por la idea y por el servicio, y lamento darles esta noticia, pero es necesario que adviertan que por aquí dejó de funcionar

saludos

Yago Jesus dijo...

El servicio debería funcionar perfectamente, ¿Que problema tienes?

José dijo...

Hola, soy el responsable del comentario de José de acá abajo y ahora estoy reportando que se acaba de arreglar el servicio de mailsellado, recibí todo lo atrasado junto, y uno nuevo que escribí me volvió confirmado en el acto. Desde  Buenos Aires, muchas gracias, cordiales saludos

Yago Jesus dijo...

Disculpa las molestias, estamos experimentando bastantes problemas con nuestro hosting -OVH- 

Migu dijo...

Esto ha dejado de funcionar?

Yago Jesus dijo...

Ahora es eGarante www.egarante.com :)