Analisis de seguridad de alto nivel de Mailfence

Presentamos el analisis de seguridad de alto nivel para Mailfence, un servicio de webmail seguro y privado que ofrece cifrado de extremo a extremo y funcionalidades de firmado digital. Todas las operaciones de cifrado relacionadas con una clave privada, así como las de los cuerpos de los correos electrónicos se ejecutan después de que el usuario desbloquea la clave privada con la frase de contraseña respectiva, que solamente éste conoce.

Analisis de seguridad de alto nivel

La siguiente tabla ofrece un resumen del analisis de seguridad de alto nivel respecto al tipo de información y al nivel de protección que ofrece.

Tipo de información Nivel de protección
Fuente de datos aleatorios al crear nuevas claves de PGP Entropía recolectada mediante el dispositivo cliente
Contraseña cifrada en la transmisión desde el navegador hacia el servidor web SSL/TLS
Contraseña almacenada de manera segura en el servidor web SHA256 (iterado y «hasheado»)
Exposición de frase de contraseña de clave privada La verificación de frase de contraseña para todas las actividades de cifrado siempre ocurre a nivel del lado del cliente, y nunca se expone al servidor
Clave privada cifrada en la transmisión entre navegador y servidor web Dos capas de cifrado:
1- Con frase de contraseña del usuario (mediante AES)
2- TLS/SSL
Clave privada cifrada almacenada Con frase de contraseña de seguridad del usuario (mediante AES)
Clave privada descifrada en el servidor web No aplica a Mailfence, puesto que todas las actividades de descifrado de clave privada ocurren del lado del cliente con la frase de contraseña del usuario
Mensajes cifrados de extremo a extremo durante la transmisión entre el navegador cliente a los servidores de Mailfence Dos capas de cifrado:
1 – SSL/TLS
2 – OpenPGP
Cuerpo y archivos adjuntos de los mensajes cifrados de extremo a extremo durante la transmisión entre el servidor web y la cuenta de correo electrónico del destinatario 1 PGP
2 STARTTLS (si el destinatario tiene compatibilidad)
Cuerpo y archivos adjuntos de los mensajes cifrados de extremo a extremo almacenados cifrados en el servidor web OpenPGP
El cuerpo y archivos adjuntos de los mensajes cifrados de extremo a extremo son conocidos por el servidor Nunca, puesto que todas las operaciones de cifrado de seguridad relacionadas con cifrado de extremo a extremos ocurren solamente del lado del cliente
Encabezados de los mensajes cifrados durante la transmisión entre el navegador y el servidor web SSL/TLS
Encabezados de los mensajes cifrados durante la transmisión entre el servidor web y la cuenta de correo electrónico del destinatario STARTTLS (si el destinatario tiene compatibilidad)
Encabezados de los mensajes almacenados en el servidor web Sin cifrar

Analisis de seguridad: vulnerabilidades

Los siguientes puntos aplican a los correos electrónicos enviados usando cifrado de extremo a extremo:

Ataque Nivel de protección
El atacante puede «escuchar» su conexión a internet Protegido
El atacante tiene acceso a los correos electrónicos almacenados en el servidor Protegido
El atacante tiene acceso a las bases de datos de los servidores Protegido
El atacante puede poner en riesgo el servidor web después de que usted haya accedido a su correo electrónico Protegido
Ataque MiTM de alto nivel, donde un adversario le envía un código falso para ser verificado en todas las operaciones de cifrado Sin protección
El atacante tiene acceso a su cuenta Protegido (pero los mensajes enviados con cifrado de extremo a extremo serán visibles en texto simple)
*existen planes para mitigar esto
El atacante tiene acceso a su ordenador antes de que usted acceda a su correo electrónico (y puede instalar programas tales como keyloggers/malware…) Sin protección

No dude en contactarnos en caso de que tenga más preguntas acerca del analisis de seguridad de alto nivel de nuestro servicio.

Obtenga su email seguro

Síganos en twitter/reddit y manténgase actualizado en todo momento.

– El Equipo Mailfence

También te podría gustar...