Mis lecturas de febrero 2021

Llegando al final de febrero he conseguido terminar Etxeak eta hilobiak de Bernardo Atxaga, así que han sido tres libros:

Bajo el influjo del cometa – Jon Bilbao

Jon Bilbao ha sido un descubrimiento y ya tengo en la lista Basilisco, a ver cuándo lo puedo leer.

Con los cuentos de este libro me ha pasado como con los de Carver, los lees muy a gusto, sigues la historia de las relaciones y, de repente, terminan y te quedas con la sensación de que te has perdido algo, de que tienes que volver a leerlo para descubrir esas claves que te has saltado. No es que las historias estén inacabadas, es que sabes que hay más y no estás seguro de si te has dejado algo pendiente.

En TTL En Amazon

El mar – Jon Banville

Tenía pendiente leer a Jon Banville. Lo tenía pendiente como Benjamin Black, pero me crucé con El mar y ese ha sido el que me lee leído, yo diría que para bien, aunque sigue pendiente algún libro de Benjamin Black.

El mar es un largo monólogo en el que el personaje, ya mayor, rememora su infancia, la relación con su mujer, con su hija y casi cualquier cosa que se le venga a la cabeza, porque realmente así es cómo funciona el cerebro: va saltando de un tema a otro sin demasiado control.

Es un libro corto y muy agradable de leer.

En TTL En Amazon

Etxeak eta hilobiak – Bernardo Atxaga

Aspaldian es nuen euskaraz irakurtzen eta kostatu zait. Liburua, historio ezberdinak kontatzen ditu era independientean irakur daitezkenak, baina lotura daukatenak. Historio bakoitzeko pertsonaiak gurutzatzen dira beste historietan, leku eta denbora ezberdinetan, baina iragan komun izan zirenak.

Historiak erlazionatzeko modu hori Atxagaren beste liburuetan azaltzen da (bai, Obabakoak, adibidez) eta beti bezala trebeziaz idatzita dago baina ez zait horrenbeste gustatu beste liburuekin konparatuta. Dena den, komenigarria beti.

TTL-en Amazon-en

No arrastras piedras, construyes castillos

Algo así me dijeron hace algunos años y claro, se me quedó cara de tonto debajo del sofoco que llevaba por la enorme piedra que llevaba en la espalda.

Esta es una de las grandes falacias con las que, los que construyen castillos, pretenden hacer partícipes de la gloria de un hecho mayor a toda la plebe que acarrea las piedras o limpia las letrinas. Ya sabéis, lo de sois la mierda cantante y danzante del mundo pero a la inversa. Ciertamente no habría castillos sin nosotros/vosotros/ellos, pero eso no significa que sea mi/tu/su castillo, ojito, y decirlo así raya el insulto.

El caso es que, con tanta especialización, parece que cada vez hay más gente acarreando piedras y luego así quedan los castillos.

Mis lecturas de enero 2021

No he dedicado demasiado tiempo a la lectura este enero, la verdad. Tengo varios libros empezados pero durante enero solo han caído 2 libros.

Dersu Uzala – Vladimir Arsenyev

Lo primero que habría que aclarar es que es un libro de viajes, no una novela. Lo tenía pendiente de hace años (no he visto la peli, que seguirá pendiente) y por fin he podido leerlo.

Recuerda a esos libros de aventuras del s. XIX, las expediciones al Ussuri que se narran son de 1902 a 1907, con Dersu Uzala, un cazador de la etnia hezhen, como buen salvaje donde su forma de vivir con la naturaleza se gana el respeto y el afecto de Arseneyev.

En TTL En Amazon

Q – Luther Blisset

¿A quién no le gusta un buen libro histórico? En Q recorres los caminos de la Europa de principios y mediados del s. XVI durante el surgimiento del protestantismo y las luchas de la iglesia católica contra estos herejes y los equilibrios de poder con el emperador Carlos V.

Q fue un pelotazo en su momento y yo lo descubrí gracias a otro libro del colectivo de escritores que están detrás de Luther Blisset, Proletkult (firmado por Wu Ming).

Entretenido, aunque se ha hecho un poco largo.

En TTL En Amazon

¿Sirve para algo la garantía de un certificado SSL?

La respuesta corta sería : no. La garantía de los certificados no sirven realmente para nada porque es prácticamente imposible que se hagan efectivas. Digamos que la garantía funciona como el pan “de pueblo” o la comida “casera”, no deja de ser un reclamo.

Certificados en Comodo-apetekan181
La garantía de los certificados SSL

¿En qué consiste y qué cubre la garantía de un certificado?

La garantía del certificado SSL cubre cualquier daño que pueda derivarse de la emisión indebida de un certificado a una entidad fraudulenta. Por ejemplo, si un usuario se conecta a un sitio web fraudulento pero ha obtenido un certificado de una autoridad de certificación reconocida, ese es un caso en el que la garantía del certificado puede aplicar porque ha sido culpa de la Autoridad Certificadora (CA).

Ojo, la garantía cubre al usuario final, no al propietario del certificado. En este sentido, el concepto de la garantía del SSL puede ser engañosa porque el propietario del certificado SSL no puede reclamarlo. La garantía se aplica sólo a los usuarios finales. Si alguien compra un producto de un sitio HTTPS seguro y esto lleva a una pérdida de dinero. En este caso, el usuario final tiene derecho a reclamar una compensación de garantía. La CA cubrirá las pérdidas de acuerdo a sus términos y condiciones.

En SSL Dragon mencionan el caso de DigiNotar, que entregó un certificado para Google.com a una empresa que no era Google.

En este artículo Scott Helme, Do SSL warranties protect you? As much as rocks keep tigers away… tenéis más detalles sobre este asunto.

Probando Mailvelope en RoundCube: PGP en tu webmail

PGP siempre ha estado ahí pero me ha dado pereza probarlo… y ya sé por qué. El caso es que me he tenido que poner con ello y…

Qué es PGP

Malo será que no hayas oído hablar de ello. De forma resumida, PGP (Pretty Good Privacy) ofrece la posibilidad de firmar y cifrar la información transmitida a través del correo electrónico. En sus comienzos era un programa desarrollado por Phil Zimmermann en 1991 y a lo largo de los años se ha generalizado para describir el método de encriptado que utiliza este software (esto no es exactamente así… en la Wikipedia tenéis la versión larga de la historia).

Su funcionamiento se basa en la estructura de clave pública (o cifrado asimétrico): nos ponemos a juguetear de nuevo con nuestra clave pública y privada. En este caso, la clave pública se pone a disposición de los contactos de correo potenciales bien comunicándosela o cargándola en un servidor de claves externo. Con esta clave estos contactos cifrarán los mensajes electrónicos que quieran enviarte… y solo tú podrás descifrarlos.

xaedes & jfreax & Acdx, CC BY-SA 3.0, via Wikimedia Commons

La clave privada (protegida con contraseña, personal, secreta e intransferible por la cuenta que te trae) nos sirve para descifrar los correos electrónicos entrantes previamente cifrados con la clave pública.

Para establecer una comunicación segura siguiendo este proceso, será necesario que tu interlocutor también haga uso del protocolo PGP y te informe acerca de su clave pública.

Adicionalmente, la firma electrónica garantiza la autenticidad de los mensajes que se envían; es decir, nos aseguramos que el que envía el mensaje es quien dice ser.

Cómo implementamos PGP en nuestro correo

Como hemos visto antes, para empezar a usar PGP hay que hacer unas cuantas cosas con antelación:

  • Crear el par de claves necesarias: la pública y la privada
  • Intercambiar las claves con los destinatarios (de forma directa o a través de servidores)
  • Confirmar y validar de alguna forma esas claves para que no nos la cuelen (usando el fingerprint, muestras de sangre…)
Niveles de confianza para un certificado en Kleopatra
Niveles de confianza para un certificado en Kleopatra

Y una vez tenemos esto, ya podemos cifrar y descifrar los mensajes a troche y moche.

Para generar y gestionar las claves, existen diversos programas (os aparecen en la web de OpenPGP > Software) y algunos, como Thunderbird, ya tienen la gestión del cifrado de extremo a extremo (End to End Encryption) integrada de serie desde su versión 78.

El caso es que eso está muy bien, pero muchos usamos webmails: Gmail, Yahoo (sí, todavía hay gente que lo usa), Hotmail/Outlook… o el que te proporciona tu proveedor de hosting que casi seguro que es RoundCube. Para todos ellos, existe Mailvelope, un plugin para Firefox y Chromium (Chrome, Opera, Edge…). Mailvelope está basado en OpenPGP.js

Pantallazo de la web de Mailvelope
La web de Mailvelope el 17 de diciembre de 2020

En este documento del INCIBE os cuentan como usar PGP con el cliente de Outlook y con anteriores versiones de Thunderbird (como digo, a partir de la v78, no es necesario ningún plugin), a continuación os muestro como usar PGP en Firefox con Mailvelope para vuestro webmail.

Mailvelope + Roundcube (en Firefox)

Lo primero es descargar e instalar el plugin: https://addons.mozilla.org/es/firefox/addon/mailvelope/ y… comenzamos:

Empezamos…

Generamos el par de claves para el buzón de correo

Creamos nuestras claves. Las podemos crear nuevas o importarlas si ya las tenemos creadas.

´Creamos un nuevo par de claves para el buzón escogido

En este caso la vamos a crear desde el principio. Completamos los datos que nos piden en la pantalla, ponemos la contraseña y damos a generar las claves. Podemos elegir entre diversos algoritmos de encriptado, la fecha de validez de los certificados y si queremos que se suba a un servidor de claves o no:

Generando las claves con la información indicada…

Una vez generadas las claves, nos aparecerán en el Gestor de claves:

El gestor de claves con nuestras claves (privada y pública)

Al crear las claves y subirlas al servidor de Mailvelope, nos llegará al correo un mensaje para verificar la dirección de correo. El correo está cifrado, así que tendremos que descifrarlo previamente:

Mensaje cifrado de validación

La aplicación trae opciones para cifrar/descifrar mensajes ya sea copiando y pegando el contenido del mensaje o subiendo el archivo cifrado. En nuestro caso, desciframos el mensaje haciendo copia-pega. Nos dará la opción de descargar el mensaje en un archivo de texto y ahí nos aparece un mensaje con un enlace para confirmar la clave en el key server de Mailvelope

Desciframos el mensaje de validación…

El mensaje una vez descifrado:

Hello sasaeh PGP Test,

please verify your email address o1@sasaeh.com by clicking on the following link:

https://keys.mailvelope.com/api/v1/key?op=verify&keyId=****

After verification of your email address, your public key is available in our key directory.

You can find more info at keys.mailvelope.com.

Greetings from the Mailvelope Team

Autorizamos el dominio del webmail

Ya hemos visto que podemos cifrar y descifrar mensajes desde el menú del plugin, pero lo chulo es tenerlo todo integrado y trabajar con el cifrado dentro de la aplicación, así que tenemos que autorizar el dominio.

Vamos a nuestro webmail y, en las opciones de Mailvelope, pinchamos en "+ Authorize this domain"; en mi caso,

Autorización del dominio

Con esto ya tenemos Mailvelope integrado dentro del webmail y podremos:

  • Ver los mensajes cifrados directamente
  • Cifrar (y firmar) los mensajes desde el webmail a través de la interfaz de Mailvelope
A la hora de componer el mensaje, tenemos la opción de cifrarlo

Y ya está.

En el dashboard de Mailvelope tenéis más opciones para que le echéis un ojo.

Dashboard del plugin

Recordad que para que podáis comunicaros con PGP con otro buzón de correo, los dos tenéis que usar PGP y las claves públicas del destinatario. Podéis importar las claves públicas desde la interfaz de Mailvelope, desde el Keyring, desde donde generasteis vuestro par de claves.