Novedades en @egarante

Ha pasado ya algún tiempo desde la última vez que hablé de eGarante en el blog.

Ni mucho menos hemos estado de brazos cruzados, más bien al revés: Hemos avanzado mucho en consolidar y ampliar el servicio.

De entrada, hace tiempo que hemos estrenado una nueva página web donde aparece toda la información de los servicios que ofrecemos y los productos en los que se engloban.

Además, también hemos estrenado un blog en el que se publica contenido referente al servicio, utilidades o información técnica

Actualmente hay tres servicios plenamente operativos:

eG-Email: Para obtener certificaciones con plena validez legal de correo electrónico.

eG-Doc: Para enviar documentos en formato PDF, (ideal para emisión de facturas donde la fecha de emisión e importe suele ser un factor crítico)

eG-Web: Para sellar páginas webs.

A este último servicio le hemos incorporado una utilidad nueva: una herramienta de captura de evidencias avanzada.

Actúa a modo de plugin para navegadores Firefox y permite obtener una evidencia de una web aunque requiera autenticación ya que es capaz de hacer la captura incluyendo las cookies de la sesión. De esa forma tenemos, por una parte, una simplificación del servicio (no es necesario enviar correo electrónico) y por otra, la capacidad de sellar, por ejemplo, una página como Facebook que requiere login/password para acceder al contenido. Hemos conseguido que la evidencia web sea exactamente lo que está viendo el usuario en su navegador.

También estamos trabajando mucho en poder integrar eGarante con otras plataformas, mucha gente nos sugirió que le resultaría cómodo poder archivar las evidencias fuera del correo electrónico, hemos recogido el guante y eGarante ya se integra perfectamente con Evernote 

Si alguno de nuestros lectores tiene la inquietud de probar una cuenta 'Pro' (necesario para archivado de evidencias y uso de la herramienta de captura), que no dude en dejar un comentario y le facilitaré un código para que lo pueda probar gratis

Leer más...

Mail Sellado 2.0

Hace algún tiempo presentábamos nuestro servicio de Mail Sellado como herramienta para garantizar el envío de un correo electrónico, pudiendo garantizar fidedignamente cuando se ha escrito un correo, a quien se ha dirigido y que se ha escrito, todo ello únicamente añadiendo en copia (oculta o no) a mailsellado@securitybydefault.com.

En la presentación de la versión 1.0 un avispado lector nos dejaba un comentario indicando que faltaba algo, faltaba una firma digital que aun no estaba implementada.

Finalmente, presentamos la versión 2.0 que funciona de la siguiente forma:

1. Envías un correo con copia a mailsellado@securitybydefault.com
2. Al llegar ese correo electrónico, MailSellado lo firma digitalmente empleando una clave GPG cuya clave pública está disponible aquí
3. Sobre esa firma digital se computa un sello de tiempo empleando la TSA de la Agencia de Tecnología y Certificación Electrónica
4. Te enviamos de vuelta tu mail original + la firma GPG + el sello de tiempo, con este correo de vuelta tienes la prueba irrefutable de que enviaste ese correo

De esa forma podrás demostrar que enviaste un correo electrónico y su contenido.

Para verificar las firmas:

Primero descargamos la clave pública de Mail Sellado:

$ wget www.security-projects.com/mailsellado.key

Luego el certificado de la CA raiz de accv:

$ wget http://www.accv.es/fileadmin/Archivos/certificados/rootca.crt

Importamos la clave pública:

$ gpg --import mailsellado.key

Verificamos la firma digital sobre nuestro correo original:

$ gpg --verify 2390495814521.39.txt.asc 2390495814521.39.txt

Y finalmente verificamos el sello de tiempo:

$ openssl ts -verify -data 2390495814521.39.txt.asc -in 2390495814521.39.tsr -CAfile rootca.crt

(Para este último paso necesitamos una versión de OpenSSL reciente, mínimo 1.0.0c)

Leer más...

Añadiendo veracidad al envío de un Mail: mailsellado@securitybydefault.com

Que levante la mano quien nunca se haya visto en la típica situación de 'Te he enviado un mail ¿no te ha llegado ...?' Es una situación frustrante en ambos lados, si te lo están diciendo a ti porque directamente piensas 'excusa excusa' y si lo estás diciendo tu porque piensas 'suena a excusa'

Vamos a tratar de poner remedio a esto con un nuevo servicio de SbD en fase EXPERIMENTAL. El servicio es sumamente fácil de usar y permite tener una certeza comprobable (incluso con validez legal) de que un correo ha sido enviado. Este servicio permite demostrar:

1. Que un correo ha sido enviado en una determinada fecha
2. Los destinatarios a los que iba dirigido ese correo
3. El contenido del mensaje (su body)
4. Los adjuntos que fueron enviados

Para conseguir eso vamos a usar tecnología PKI, en concreto vamos a hacer uso de una TSA (Time Stamping Authority) o lo que es lo mismo una autoridad de sellado de tiempo. Para el que no lo sepa, una TSA lo que hace es emitir un sello firmado digitalmente que prueba la existencia de un determinado dato en un determinado tiempo. Si además esta TSA está reconocida, (En España por la ley de firma digital) quiere decir que un sello de esa TSA tiene validez legal probatoria.

Entonces ¿Como funciona nuestro servicio? Muy fácil. Hemos creado una cuenta de correo mailsellado@securitybydefault.com y sobre ella hemos creado un servicio que periódicamente hace check sobre esa cuenta, extrae los correos que le llegan, pide un sello digital a ese correo y envía al emisor del correo una copia con el sello y el mail original.

De forma esquemática:

• Creas un correo electrónico desde tu cliente de correo habitual
• Añades como CC o CCO a mailsellado@securitybydefault.com
• Envías tu correo
• El correo llega a mailsellado@securitybydefault.com
• Se extrae el correo en formato 'raw'
• Se computa un hash SHA-1 de ese correo
• Enviamos una petición de sello a una TSA sobre ese hash
• Una vez obtenido el sello te enviamos un mail como acuse de recibo con tu mail original en formato raw y el sello de tiempo

¿Fácil verdad?

Unas capturas (click para agrandar) :

Correo enviado con CC a mailsellado@securitybydefault.com

Y Aquí la respuesta. Como se puede ver en el resaltado el mail contiene información sobre el sello (El TimeStamp en formato GMT) y la CA que lo ha emitido. Como adjuntos nos ha llegado nuestro mail original en formato 'raw' y el sello de tiempo emitido por la TSA.

Para comprobar el sello de forma manual hazte con una copia de OpenSSL reciente (versión 1.0) y realiza lo siguiente:

1.- Descarga los dos ficheros adjuntos del email

2.- Descarga del certificado raíz de la CA de accv (Organización que amablemente ofrece gratuitamente su servicio de sellado)

# wget http://www.accv.es/fileadmin/Archivos/certificados/rootca.crt

3.- Sobre los dos ficheros descargados + el certificado de la CA raíz ejecuta:

# openssl ts -verify -data 9550876624799.79.txt -in 9550876624799.79.tsr -CAfile rootca.crt

Y deberías obtener algo como:

Verification: OK

F.A.Q.

Y esto ¿Cuanto me va a costar?

-Nada, es totalmente gratuito

Esto significa que puedo abusar, hacer pruebas, enviar mails con adjuntos de varios cientos de megas ...

-Ciertamente no hemos implementado ninguna restricción al servicio y sería un poco triste tener que hacerlo porque alguien está abusando del sistema de forma irresponsable. Usa tu sentido común

¿Que garantías ofrecéis en este servicio?

-Ninguna, el servicio funciona 'tal cual', no garantizamos disponibilidad ni que siempre vaya a funcionar, es un servicio EXPERIMENTAL que depende de servicios de terceros que, pueden funcionar o no (incluso si el uso llega a ser masivo dejar de ofrecer gratuitamente el servicio)

¿Y no supone un riesgo a mi privacidad enviar copias de mis mails a una cuenta que no controlo?

-Buena pregunta, permíteme recordarte una cosa: Cuando envías un mail, este no queda encapsulado mágicamente y viaja de tu PC al PC del destinatario, tu mail va pasando por diversos servicios gestionados por terceros hasta que es entregado. Nuestro servicio ha sido diseñado para NO guardar copias de los mails recibidos, según llegan son procesados y BORRADOS. No obstante la única garantía que ofrecemos es nuestra palabra, te puede parecer suficiente o no, eso queda a tu criterio.

Vuestra idea me ha parecido magnífica y como empresa me gustaría ofrecer este servicio internamente o a mis clientes

-Este servicio tiene multitud de aplicaciones profesionales, por ejemplo servicios de soporte técnico que necesitan acreditar el envío de mails, entidades bancarias, etc etc. Como puedes ver la tecnología 'ya está creada' y lo que haría falta para dar este servicio en modo profesional es inversión para poder ofrecer SLAs y poder usar un servicio de sellado profesional (que tiene un coste pero ofrece SLAs). contacto@securitybydefault.com para hablar de ello.

Leer más...