PrivacyTools.io

Cifrado y autenticación de correos electrónicos basados en GPG/PGP

Cifrado y autenticación de correos electrónicos basados en GPG/PGP

Una de las otras cosas que probablemente hayas notado que menciono son las empresas que están dispuestas a compartir su clave PGP con los clientes para que estos puedan usar el correo electrónico + PGP para comunicarse con el soporte. Primero, abordemos la diferencia entre PGP y GPG. PGP son las siglas de Pretty Good Privacy y fue desarrollado por Phil Zimmerman en 1991. GPG son las siglas de Gnu Privacy Guard, que es una versión adaptada de este lanzada en 1999. Y OpenPGP es el estándar con el que ambos programas de software son compatibles. Así que cuando la gente habla de claves GPG, técnicamente siguen siendo claves PGP, pero unas que derivan de un programa GPG como GPG Keychain para OSX. En mi sitio web, he listado mi clave como G/PGP porque es una clave PGP que usa el software GPG.

RSA es la base para generar una clave privada y una clave pública únicas para cada usuario. Estas claves podrían compararse con 2 piezas de un rompecabezas, cada una del tamaño de un campo de fútbol, que contienen cientos de miles de pequeñas muescas a lo largo de cada lado. La clave pública y la clave privada que se generan son las únicas 2 piezas del rompecabezas que encajan entre sí.

Normalmente, las claves PGP se usan tanto para comunicarse de forma segura de manera cifrada, como para firmar mensajes cuya autenticidad se puede validar. Una vez generada, uno distribuye su clave pública y la envía a los servidores de claves de Internet, que la almacenan para que otros puedan recuperarla. Sin embargo, tu clave privada, que está protegida por una frase de contraseña larga, se mantiene privada y nunca debería distribuirse públicamente. Una vez que tu clave pública se ha distribuido, la gente puede usarla para cifrar mensajes dirigidos a ti que solo tu clave privada puede descifrar. También podrías firmar un mensaje, lo que lo protegería de ser alterado. Los usuarios podrían entonces tomar el mensaje y usar tu clave pública para validar su autenticidad. Si se eliminara aunque fuera un solo espacio, el mensaje no se verificaría correctamente y los destinatarios o el público del mensaje sabrían que ha sido alterado. Esto es especialmente útil en mensajes relacionados con la seguridad de una empresa o sitio web, como al firmar notificaciones y actualizaciones para confirmar que quien publica dichos mensajes es el propietario del sitio web y no un hacker o un organismo gubernamental.

Hace poco compré ProtonMail Plus, lo que implicó vincular mi nombre de dominio con ProtonMail para que se enrutara a través de sus servidores. Esto, sin embargo, significó que el correo electrónico que había añadido a mi clave PGP principal no era el correo electrónico que daba al público. La misma bandeja de entrada, un correo electrónico distinto. Echa un vistazo a mi método para cambiar a una nueva clave con mi nuevo correo electrónico y, al mismo tiempo, maximizar el vector de confianza para quienes se comunicaban conmigo con frecuencia o simplemente tenían guardada mi antigua clave PGP. No digo que sea algo que todo el mundo necesite hacer. Sin embargo, quería asegurarme de que la transición a una nueva clave no pudiera, de ninguna manera, forma o modo, malinterpretarse como algo malicioso o como que mi seguridad se había visto comprometida.

Si eres una persona dentro de esta categoría, diría que es prudente que la generación de esta clave se haga en un sistema que tenga la conexión de red deshabilitada, con el programa GPG de tu elección aislado por un cortafuegos para bloquear todas las conexiones hacia y desde los servidores de claves. Lo último que necesitas es un programa con una puerta trasera que suba tu clave privada a algún sitio de forma maliciosa y sin tu conocimiento. Sí, tu clave privada debería tener una contraseña muy fuerte que la proteja de ataques como este, pero tampoco debería ser “tan fácil” de robar. Tu programa GPG no necesita recuperar claves ni nada por el estilo, ya que importarlas es sencillo con copiar y pegar, así que no tiene sentido dejar que acceda a Internet en absoluto.