Analisis de seguridad de alto nivel de Mailfence

Presentamos el analisis de seguridad de alto nivel para Mailfence, un servicio de webmail seguro y privado que ofrece cifrado de extremo a extremo y funcionalidades de firmado digital. Todas las operaciones de cifrado relacionadas con una clave privada, así como las de los cuerpos de los correos electrónicos se ejecutan después de que el usuario desbloquea la clave privada con la frase de contraseña respectiva, que solamente éste conoce.

Analisis de seguridad de alto nivel

La siguiente tabla ofrece un resumen del analisis de seguridad de alto nivel respecto al tipo de información y al nivel de protección que ofrece.

Tipo de informaciónNivel de protección
Fuente de datos aleatorios al crear nuevas claves de PGPEntropía recolectada mediante el dispositivo cliente
Contraseña cifrada en la transmisión desde el navegador hacia el servidor webSSL/TLS
Contraseña almacenada de manera segura en el servidor webSHA256 (iterado y «hasheado»)
Exposición de frase de contraseña de clave privadaLa verificación de frase de contraseña para todas las actividades de cifrado siempre ocurre a nivel del lado del cliente, y nunca se expone al servidor
Clave privada cifrada en la transmisión entre navegador y servidor webDos capas de cifrado:
1- Con frase de contraseña del usuario (mediante AES)
2- TLS/SSL
Clave privada cifrada almacenadaCon frase de contraseña de seguridad del usuario (mediante AES)
Clave privada descifrada en el servidor webNo aplica a Mailfence, puesto que todas las actividades de descifrado de clave privada ocurren del lado del cliente con la frase de contraseña del usuario
Mensajes cifrados de extremo a extremo durante la transmisión entre el navegador cliente a los servidores de MailfenceDos capas de cifrado:
1 – SSL/TLS
2 – OpenPGP
Cuerpo y archivos adjuntos de los mensajes cifrados de extremo a extremo durante la transmisión entre el servidor web y la cuenta de correo electrónico del destinatario1 PGP
2 STARTTLS (si el destinatario tiene compatibilidad)
Cuerpo y archivos adjuntos de los mensajes cifrados de extremo a extremo almacenados cifrados en el servidor webOpenPGP
El cuerpo y archivos adjuntos de los mensajes cifrados de extremo a extremo son conocidos por el servidorNunca, puesto que todas las operaciones de cifrado de seguridad relacionadas con cifrado de extremo a extremos ocurren solamente del lado del cliente
Encabezados de los mensajes cifrados durante la transmisión entre el navegador y el servidor webSSL/TLS
Encabezados de los mensajes cifrados durante la transmisión entre el servidor web y la cuenta de correo electrónico del destinatarioSTARTTLS (si el destinatario tiene compatibilidad)
Encabezados de los mensajes almacenados en el servidor webSin cifrar

Analisis de seguridad: vulnerabilidades

Los siguientes puntos aplican a los correos electrónicos enviados usando cifrado de extremo a extremo:

AtaqueNivel de protección
El atacante puede «escuchar» su conexión a internetProtegido
El atacante tiene acceso a los correos electrónicos almacenados en el servidorProtegido
El atacante tiene acceso a las bases de datos de los servidoresProtegido
El atacante puede poner en riesgo el servidor web después de que usted haya accedido a su correo electrónicoProtegido
Ataque MiTM de alto nivel, donde un adversario le envía un código falso para ser verificado en todas las operaciones de cifradoSin protección
El atacante tiene acceso a su cuentaProtegido (pero los mensajes enviados con cifrado de extremo a extremo serán visibles en texto simple)
*existen planes para mitigar esto
El atacante tiene acceso a su ordenador antes de que usted acceda a su correo electrónico (y puede instalar programas tales como keyloggers/malware…)Sin protección

No dude en contactarnos en caso de que tenga más preguntas acerca del analisis de seguridad de alto nivel de nuestro servicio.

¡Obtenga su email seguro!

Síganos en twitter/reddit y manténgase actualizado en todo momento.

– El Equipo Mailfence


¡Corra la voz!

También te podría gustar...