Planeación de la criptografía de mensajes de correo electrónico en Outlook 2010
Se aplica a: Office 2010
Última modificación del tema: 2016-11-29
Microsoft Outlook 2010 admite características relacionadas con la seguridad que sirven para que los usuarios envíen y reciban mensajes de correo electrónico criptográficos, entre las que se incluyen los mensajes de correo electrónico criptográficos, las etiquetas de seguridad y las confirmaciones firmadas.
Nota
Para disfrutar de la funcionalidad de seguridad completa en Microsoft Outlook, debe instalar Outlook 2010 con derechos administrativos locales.
En este artículo:
Acerca de las características de mensajes criptográficos en Outlook 2010
Administración de Id. digitales criptográficos
Etiquetas de seguridad y confirmaciones firmadas
Configuración de las opciones criptográficas en Outlook 2010
Configuración de otras opciones de criptografía
Acerca de las características de mensajes criptográficos en Outlook 2010
Outlook 2010 admite características de mensajes criptográficos con las que los usuarios pueden realizar las siguientes tareas:
Firmar un mensaje de correo electrónico digitalmente. La firma digital proporciona una garantía de no rechazo y comprobación del contenido (el mensaje contiene lo que el remitente ha enviado sin modificación alguna).
Cifrar un mensaje de correo electrónico. El cifrado ayuda a garantizar la privacidad impidiendo que nadie pueda leer el mensaje, excepto el destinatario que debe recibirlo.
Se pueden configurar más características para disfrutar de la mensajería con seguridad mejorada. Si la organización admite estas características, la mensajería con seguridad mejorada permitirá a los usuarios realizar las siguientes tareas:
Enviar un mensaje de correo electrónico en el que se usa una solicitud de confirmación. Esto sirve para comprobar que el destinatario valida la firma digital del usuario (esto es, el certificado que el usuario ha aplicado a un mensaje).
Agregar una etiqueta de seguridad a un mensaje de correo electrónico. La organización puede crear una directiva S/MIME V3 personalizada mediante la que se agreguen etiquetas a los mensajes. Una directiva de seguridad S/MIME V3 es código que se agrega a Outlook y que incorpora información al encabezado del mensaje sobre la confidencialidad del mismo. Si desea obtener más información, vea Etiquetas de seguridad y confirmaciones firmadas más adelante en este artículo.
Modo en el que Outlook 2010 implementa mensajes criptográficos
El modelo de criptografía de Outlook 2010 usa el cifrado de clave pública para enviar y recibir mensajes de correo electrónico firmados y cifrados. Outlook 2010 admite la seguridad S/MIME V3, gracias a la cual los usuarios pueden intercambiar mensajes de correo electrónico con seguridad mejorada con otros clientes de correo electrónico S/MIME a través de Internet o la intranet. Los mensajes de correo electrónico cifrados con la clave pública del usuario se pueden descifrar únicamente con la clave privada asociada correspondiente. Esto quiere decir que, cuando un usuario envía un mensaje de correo electrónico cifrado, el certificado (clave pública) del destinatario lo cifra. Cuando un usuario lee un mensaje de correo electrónico cifrado, la clave privada de dicho usuario lo descifra.
En Outlook 2010, los usuarios deben tener un perfil de seguridad para poder usar las características criptográficas. Un perfil de seguridad es un grupo de opciones de configuración que describe los certificados y los algoritmos que se usan cuando un usuario envía mensajes que emplean características criptográficas. Si no hay un perfil presente, los perfiles de seguridad se configuran automáticamente en las siguientes situaciones:
El usuario tiene certificados para la criptografía en el equipo.
El usuario empieza a usar una característica criptográfica.
Puede personalizar estas opciones de seguridad para los usuarios por adelantado. Así, puede usar la configuración del Registro o de la directiva de grupo para personalizar Outlook de manera que cumpla con las directivas criptográficas de la organización y configurar (y aplicar mediante la directiva de grupo) las opciones que desea incluir en los perfiles de seguridad. Estas opciones se describen en la sección Configuración de las opciones criptográficas en Outlook 2010 más adelante en este artículo.
Id. digitales: una combinación de claves públicas/privadas y certificados
La características de S/MIME se basan en Id. digitales, también conocidos como certificados digitales. Los Id. digitales asocian la identidad de un usuario a un par de claves pública/privada. La combinación de un certificado y un par de claves pública/privada se denomina Id. digital. La clave privada se puede guardar en un almacén con seguridad mejorada, como el almacén de certificados de Windows del equipo de usuario, o bien en una tarjeta inteligente. Outlook 2010 admite plenamente el estándar X.509v3, que requiere que se creen claves públicas y privadas a través de una entidad de certificación de una organización, como un equipo de Windows Server 2008 que ejecuta Servicios de certificados de Active Directory, o de una entidad de certificación pública como VeriSign. Si desea obtener información sobre la opción más adecuada para su organización, vea la sección Certificado digital: autofirmados o emitidos por entidades de certificación en Planeación de la configuración de la firma digital para Office 2010.
Los usuarios pueden obtener Id. digitales a través de entidades de certificación públicas basadas en Internet como VeriSign y Servicios de certificados de Microsoft. Si desea obtener más información sobre las formas que un usuario tiene de obtener un Id. digital, vea el tema de la ayuda de Outlook sobre cómo obtener un Id. digital (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0xC0A). En tanto que administrador, puede proporcionar Id. digitales a un grupo de usuarios.
Cuando los certificados de los Id. digitales expiran, lo normal es que los usuarios obtengan certificados actualizados de la entidad de certificación que los emite. Si la organización se basa en la entidad de certificación (CA) de Windows Server 2003 o de Servicios de certificados de Active Directory (AD CS) en Windows Server 2008 para obtener certificados, Outlook 2010 administrará las actualizaciones de certificado automáticamente.
Administración de Id. digitales criptográficos
Outlook 2010 suministra diversas formas para que los usuarios administren sus Id. digitales (combinación del certificado de un usuario y un conjunto de claves de cifrado pública/privada). Los Id. digitales sirven para que los mensajes de correo electrónico de los usuarios estén protegidos, ya que permiten que se intercambien mensajes criptográficos. Entre las tareas de administración de Id. digitales se encuentran las siguientes:
Obtener un Id. digital. Si desea obtener más información sobre las formas que un usuario tiene de obtener un Id. digital, vea el tema de la ayuda de Outlook sobre cómo obtener un Id. digital (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0xC0A).
Almacenar un Id. digital para, de este modo, poder transferirlo a otro equipo o ponerlo a disposición de otros usuarios.
Proporcionar un Id. digital a otros usuarios.
Exportar un Id. digital a un archivo. Esto resulta útil cuando el usuario crea una copia de seguridad o cambia a un equipo nuevo.
Importar un Id. digital de un archivo a Outlook. Un archivo de Id. digital puede ser la copia de seguridad de un usuario o bien contener un Id. digital de otro usuario.
Renovar un Id. digital que ha expirado.
Un usuario que trabaja con mensajes criptográficos en varios equipos deberá copiar su Id. digital en todos ellos.
Lugares donde almacenar Id. digitales
Los Id. digitales se pueden almacenar en tres ubicaciones:
Libreta de direcciones global de Microsoft Exchange Los certificados generados por una entidad de certificación o por AD CS se publican automáticamente en la Libreta de direcciones global. Los certificados generados de manera externa se pueden publicar manualmente en la libreta de direcciones global. Para llevar esto a cabo en Outlook 2010, haga clic en Opciones en la ficha Archivo y, a continuación, haga clic en Centro de confianza. En Centro de confianza de Microsoft Outlook, haga clic en Configuración del Centro de confianza. En la ficha Seguridad de correo electrónico, en Id. digitales (Certificados), haga clic en el botón Publicar en GAL.
Servicio de directorio de protocolo ligero de acceso a directorios Los servicios de directorio, entidades de certificación y demás proveedores de certificado externos pueden publicar sus certificados de usuario a través de un servicio de directorio LDAP. Outlook permite el acceso a estos certificados mediante directorios LDAP.
Archivo de Microsoft Windows Los Id. digitales se pueden almacenar en los equipos de los usuarios, para lo cual éstos deben exportar su Id. digital a un archivo de Outlook 2010. Para hacerlo, haga clic en Opciones en la ficha Archivo y, a continuación, haga clic en Centro de confianza. En Centro de confianza de Microsoft Outlook, haga clic en Configuración del Centro de confianza. En la ficha Seguridad de correo electrónico, en Id. digitales (Certificados), haga clic en el botón Importar/Exportar. Al crear el archivo, los usuarios pueden cifrarlo escribiendo una contraseña.
Suministro de Id. digitales a otros usuarios
En caso de que un usuario desee intercambiar mensajes de correo electrónico criptográficos con otro, cada uno deberá tener la clave pública del otro. Los usuarios proporcionan acceso a su clave pública a través de un certificado. Entre las formas de suministrar un Id. digital a otros usuarios se encuentran las siguientes:
Usar un certificado para firmar digitalmente un mensaje de correo electrónico. Un usuario proporciona su clave pública a otro escribiendo un mensaje de correo electrónico y firmándolo a continuación con un certificado. Cuando los usuarios de Outlook reciben el mensaje firmado, han de hacer clic con el botón secundario en el nombre del usuario (en la línea De) y hacer clic Agregar a Contactos. La información de la dirección y el certificado se guardan en la lista de contactos del usuario de Outlook.
Proporcionar un certificado mediante un servicio de directorio, como la Libreta de direcciones global de Microsoft Exchange. Otro método consiste en que un usuario recupere automáticamente el certificado de otro de un directorio LDAP o un servidor LDAP estándar al enviar un mensaje de correo electrónico cifrado. Para obtener acceso a un certificado de este modo, los usuarios deben estar inscritos en la seguridad S/MIME con los Id. digitales de sus cuentas de correo electrónico.
Un usuario también puede obtener certificados de la Libreta de direcciones global.
Importación de Id. digitales
Los usuarios pueden importar un Id. digital de un archivo. Esto es práctico si, por ejemplo, un usuario quiere enviar mensajes de correo electrónico criptográficos desde un equipo nuevo. Todos los equipos desde los que el usuario envíe mensajes de correo electrónico deben tener los certificados del usuario instalados. Los usuarios exportan su Id. digital a un archivo desde Outlook 2010. Para ello, haga clic en Opciones en la ficha Archivo y, a continuación, haga clic en Centro de confianza. En Centro de confianza de Microsoft Outlook, haga clic en Configuración del Centro de confianza. En la ficha Seguridad de correo electrónico, en Id. digitales (Certificados), haga clic en el botón Importar/Exportar.
Renovación de claves y certificados
Cada certificado y clave privada tiene asociado un límite de tiempo. Cuando las claves que emite una entidad de certificación o AD CS se aproximan al término del periodo de tiempo establecido, Outlook muestra un mensaje de advertencia y ofrece la posibilidad de renovarlas. Así, Outlook muestra un mensaje al usuario en el que se le ofrece enviar el mensaje de renovación al servidor en nombre de cada uno de los usuarios.
Si los usuarios no optan por renovar un certificado antes de que expire, o si usan otra entidad de certificación en lugar de CA o AD CS, deberán ponerse en contacto con la entidad en cuestión para renovar el certificado.
Etiquetas de seguridad y confirmaciones firmadas
Outlook 2010 admite extensiones de Servicios de seguridad mejorados (ESS) de S/MIME V3 relativas a etiquetas de seguridad y confirmaciones firmadas. Estas extensiones ayudan a proporcionar comunicaciones de correo electrónico con seguridad mejorada en la organización, así como a personalizar la seguridad para ajustarse a los requisitos particulares.
Si la organización desarrolla y proporciona directivas de seguridad de S/MIME V3 para agregar etiquetas de seguridad personalizadas, el código de las directivas de seguridad puede exigir que se adjunte una etiqueta de seguridad a un mensaje de correo electrónico. A continuación se ofrecen dos ejemplos de etiquetas de seguridad:
Una etiqueta de uso únicamente interno se puede implementar como etiqueta de seguridad que hay que aplicar al correo que no se debe enviar ni reenviar fuera de la compañía.
Una etiqueta puede especificar que ciertos destinatarios no pueden reenviar o imprimir el mensaje, si el destinatario también tiene la directiva de seguridad instalada.
Los usuarios también pueden enviar solicitudes de confirmación con seguridad mejorada junto con los mensajes para comprobar que los destinatarios reconocen la firma digital del usuario. Cuando el mensaje se recibe y se guarda (aunque todavía no se haya leído) y se comprueba la firma, se devuelve a la Bandeja de entrada del usuario una confirmación que indica que el mensaje se ha leído. Si no se comprueba la firma del usuario, no se envía ninguna confirmación. Cuando se devuelve la confirmación, se tiene constancia de que el usuario recibió y comprobó el mensaje, ya que la confirmación también va firmada.
Configuración de las opciones de criptografía de Outlook 2010
Puede controlar muchos de los aspectos de las características de criptografía de Outlook 2010 con el propósito de configurar una mensajería y un cifrado de mensajes de mayor seguridad para la organización por medio de la plantilla de directiva de grupo de Outlook 2010 (Outlook14.adm). Así, puede configurar una opción de la directiva de grupo que requiere la presencia de una etiqueta de seguridad en todos los correos salientes, o una opción que deshabilite la publicación en la lista global de direcciones. También puede usar la Herramienta de personalización de Office (OCT) para configurar opciones predeterminadas, lo que permite a los usuarios cambiar la configuración. De igual modo, existen opciones de configuración de criptografía que se configuran exclusivamente mediante valores de claves de Registro.
Para obtener más información acerca de cómo descargar la plantilla administrativa de Outlook 2010 y sobre otras plantillas administrativas de Office 2010, vea Archivos de plantillas administrativas de Office 2010 (ADM, ADMX, ADML) y Herramienta de personalización de Office. Para obtener más información acerca de la directiva de grupo, vea Introducción a la directiva de grupo para Office 2010 y Exigir una configuración usando la directiva de grupo en Office 2010.
Para obtener más información acerca de la OCT, vea Office Customization Tool in Office 2010.
Las opciones que recoge la siguiente tabla se pueden bloquear para personalizar la criptografía. En la página Modificar configuración del usuario de la herramienta OCT, estas opciones se encuentran en Microsoft Outlook 2010\Seguridad\Criptografía. En la directiva de grupo, estas opciones se encuentran en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2010\Seguridad\Criptografía.
| Opción de criptografía | Descripción | ||||||||
|---|---|---|---|---|---|---|---|---|---|
Usar siempre el formato TNEF en mensajes S/MIME |
Use siempre TNEF (Transport Neutral Encapsulation Format) en los mensajes de S/MIME, en lugar del formato especificado por el usuario. |
||||||||
No comprobar direcciones de correo electrónico con direcciones de certificados en uso |
La dirección de correo electrónico del usuario no se contrasta con la dirección de los certificados que se usan para cifrar o firmar. |
||||||||
No mostrar el botón 'Publicar en GAL' |
Se deshabilita el botón Publicar en GAL de la página Seguridad de correo electrónico del Centro de confianza. |
||||||||
No proporcionar la opción Continuar en los cuadros de diálogo de advertencia de cifrado |
El botón Continuar se deshabilita en los cuadros de diálogo de advertencia de configuración del cifrado. En consecuencia, los usuarios no podrán presionarlopara enviar el mensaje. |
||||||||
Habilitar iconos de criptografía |
Los iconos de criptografía de Outlook se muestran en la interfaz de usuario de Outlook. |
||||||||
Cifrar todos los mensajes de correo electrónico |
Los mensajes de correo electrónico salientes se cifran. |
||||||||
Asegúrese de que todos los mensajes firmados S/MIME tienen una etiqueta |
Se requiere que todos los mensajes firmados con S/MIME tengan una etiqueta de seguridad. Los usuarios pueden adjuntar etiquetas a mensajes de correo electrónico en Outlook 2010. Para ello, en el grupo Más opciones de la ficha Opciones, en Seguridad, haga clic en el botón Configuración de seguridad. En el cuadro de diálogo Propiedades de seguridad, seleccione Agregar firma digital a este mensaje. Por último, en Etiqueta de seguridad para Directiva, seleccione una etiqueta. |
||||||||
Directivas de certificado de Fortezza |
Elabore una lista de las directivas que se permiten en la extensión de directivas de un certificado que indica que éste es un certificado de Fortezza. Especifique las directivas separadas por punto y coma. |
||||||||
Formatos de mensaje |
Elija los formatos de mensaje que se van a admitir: S/MIME (predeterminado), Exchange, Fortezza o una combinación de todos ellos. |
||||||||
Mensaje cuando Outlook no puede encontrar el Id. digital para descodificar un mensaje |
Escriba un mensaje que va a mostrarse a los usuarios (con un máximo de 255 caracteres). |
||||||||
Configuración de cifrado mínimo |
Establece la longitud de clave mínima de un mensaje de correo electrónico cifrado. Outlook mostrará un mensaje de advertencia si el usuario trata de enviar un mensaje con una clave de cifrado por debajo del valor mínimo establecido. Con todo, el usuario puede optar por ignorar la advertencia y enviar el mensaje con la clave de cifrado escogida inicialmente. |
||||||||
Las respuestas o los reenvíos para mensajes firmados o cifrados se firman o cifran |
Habilite esta opción para activar la firma/cifrado al responder o reenviar un mensaje firmado o cifrado, aun cuando el usuario no disponga de configuración S/MIME. |
||||||||
Solicitar confirmación S/MIME para todos los mensajes S/MIME firmados |
Se solicita una confirmación con seguridad mejorada para los mensajes de correo electrónico salientes. |
||||||||
Requerir algoritmos SuiteB para operaciones S/MIME |
Se usan únicamente algoritmos Suite-B en las operaciones S/MIME. |
||||||||
Entidad emisora de certificados requerida |
Indique el nombre de la entidad de certificación necesaria. Si se especifica un valor, Outlook no permite firmar correo electrónico con un certificado procedente de una entidad de certificación diferente. |
||||||||
Ejecutar en modo compatible FIPS |
Se requiere que Outlook se ejecute en modo FIPS 140-1. |
||||||||
Interoperabilidad S/MIME con clientes externos: |
Especifique el comportamiento para administrar los mensajes S/MIME: Administrar internamente, Administrar externamente o Administrar si es posible. |
||||||||
Comportamiento de solicitud de confirmación S/MIME |
Especifique una opción para controlar el modo en que se administran las solicitudes de confirmación:
|
||||||||
Enviar todos los mensajes firmados como mensajes firmados con firma transparente |
Los mensajes de correo electrónico firmados se envían en texto no cifrado. |
||||||||
Firmar todos los mensajes de correo electrónico |
Se requieren firmas digitales en todos los mensajes de correo electrónico salientes. |
||||||||
Advertencia de firma |
Especifique una opción relativa a cuándo se muestran advertencias de firma a los usuarios:
|
||||||||
URL de certificados S/MIME |
Indique la dirección URL en la que los usuarios pueden obtener una confirmación S/MIME. Esta dirección URL puede contener tres variables (%1, %2 y %3), que se sustituirán por el nombre de usuario, la dirección de correo electrónico y el idioma respectivamente. Si se especifica un valor en URL de certificados S/MIME, use los siguientes parámetros para enviar información sobre el usuario a la página web de inscripción.
Así, para enviar información de usuario a la página web de inscripción de Microsoft, establezca la opción URL para certificados S/MIME del siguiente modo, parámetros incluidos:
Por ejemplo, si el nombre de usuario es Jeff Smith, la dirección de correo electrónico es someone@example.com y el Id. de idioma de interfaz de usuario es 1033, los marcadores de posición serán los siguientes:
|
Las opciones de la siguiente tabla se encuentran en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2010\Seguridad|Criptografía\Cuadro de diálogo de estado de la firma. Las opciones de OCT se encuentran en las ubicaciones correspondientes de la página Modificar configuración del usuario de OCT.
| Opción de criptografía | Descripción |
|---|---|
Carpeta temporal de seguridad de datos adjuntos |
Especifique una ruta de acceso de carpeta para la carpeta segura de archivos temporales. Esta ruta de acceso invalida la ruta predeterminada, lo cual no es aconsejable. En caso de que deba usar una carpeta concreta para los datos adjuntos de Outlook, recomendamos que haga lo siguiente:
|
Faltan listas CRL |
Especifique la respuesta de Outlook cuando falte una lista de revocación de certificados (CRL): mostrar una advertencia (opción predeterminada) o un mensaje de error. Los certificados digitales contienen un atributo que indica dónde se encuentra la CRL correspondiente. Las listas CRL contienen listas de certificados digitales que sus respectivas entidades de certificación han revocado, algo que suele ocurrir cuando los certificados se han emitido de forma inadecuada o cuando las claves privadas asociadas se han puesto en peligro. En caso de que falte una lista CRL o no esté disponible, Outlook no podrá averiguar si un certificado se ha revocado, con lo cual existe la posibilidad de usar un certificado incorrectamente emitido o que esté en peligro para obtener acceso a los datos. |
Faltan certificados raíz |
Especifique la respuesta de Outlook cuando falte un certificado raíz: no mostrar un error o advertencia (opción predeterminada), mostrar una advertencia o mostrar un error. |
Aumentar el nivel de los errores de nivel 2, no de los avisos |
Especifique la respuesta de Outlook en el caso de que se produzcan errores de nivel 2: mostrar un error o una advertencia (opción predeterminada). Las posibles situaciones de nivel 2 de error son las siguientes:
|
Recuperando listas CRL (Listas de revocación de certificados) |
Especifique el modo en que Outlook se comporta al recuperar listas CRL:
|
Configuración de otras opciones de criptografía
En la siguiente sección se proporciona más información sobre las opciones de configuración relativas a la criptografía.
Configuración de la directiva de seguridad para la criptografía general
La siguiente tabla contiene otras configuraciones del Registro de Windows que pueden servir para la configuración personalizada. Estas configuraciones del Registro se encuentran en HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default. No existe una directiva de grupo correspondiente.
| Entrada del Registro | Tipo | Valor | Descripción |
|---|---|---|---|
ShowWithMultiLabels |
DWORD |
0, 1 |
Establézcala en 0 para intentar mostrar un mensaje cuando el nivel de firma tenga etiquetas diferentes en varios idiomas. Establézcala en 1 para que el mensaje no se muestre. El valor predeterminado es 0. |
CertErrorWithLabel |
DWORD |
0, 1, 2 |
Establézcala en 0 para procesar un mensaje de error de certificado cuando el mensaje contenga una etiqueta. Establézcala en 1 para denegar el acceso a un mensaje cuando exista un error de certificado. Establézcala en 2 para omitir la etiqueta del mensaje y conceder acceso al mensaje (el usuario seguirá viendo el error de certificado). El valor predeterminado es 0. |