El cifrado de extremo a extremo es una parte fundamental de la plataforma de E-mail seguro y privado de Mailfence. Para poder usar el cifrado de extremo a extremo, el compartir claves públicas de OpenPGP de manera confiable y segura puede llegar a ser complicado. En este artículo, le presentamos algunas maneras sencillas y confiables para intercambiar sus claves públicas de OpenPGP. Hemos organizado el método en pasos: dónde obtener una clave pública de OpenPGP, cómo obtener su huella digital, y cómo verificar que corresponde verdaderamente a su supuesto dueño.
Paso -1: Intercambio de clave pública de OpenPGP:
El primer paso es compartir o enviar la clave pública de OpenPGP a su destinatario. A continuación de ilustran algunas de las maneras más comunes (y eficientes) para ello:
E-mail con firma digital
Envíele un E-mail con su clave pública adjuntada, firmado digitalmente, a su destinatario. Su destinatario debe hacer lo propio. Para esto le hará falta conocer la dirección E-mail de su destinatario.
Este artículo de la Base de conocimientos le proporcionará los pasos exactos a este respecto.
Nota:
- Asegúrese de que la dirección de E-mail a la que envía o desde la cual recibe, sea la adecuada (recibida a través de un canal confiable: en persona, por teléfono, etc.).
Aplicaciones de mensajería instantánea
Existen varias aplicaciones de mensajería móvil que le permiten enviar archivos. Necesitará conocer previamente el número de móvil de su destinatario, y ambos deberán estar registrados en la aplicación correspondiente.
A continuación, indicamos algunas de las aplicaciones móviles que le permiten compartir su clave pública con su destinatario.
Nota:
- Asegúrese de estar usando el número de móvil correcto de su destinatario (recibido a través de un canal confiable: en persona, por teléfono, etc.).
- Si no está completamente seguro de la identidad de su contacto, siga los pasos de verificación indicados a continuación para para cada aplicación (WhatsApp: verificar el código de seguridad; Signal: verificar a la persona).
Cuentas en redes sociales y otros espacios online
Hoy en día hay una enorme cantidad de personas en las redes sociales (facebook, twitter, …). Sin embargo, existen varias restricciones (específicas para cada plataforma) para el envío de mensajes directamente a otros usuarios.
Use una de las siguientes redes sociales
- Twitter
Simplemente copie el texto de su clave pública de OpenPGP, y envíelo como mensaje directo a su destinatario
- Facebook
Simplemente copie el texto de su clave pública de OpenPGP, y envíelo como mensaje directo a su destinatario.
También puede usar otras plataformas, como Google+, de la misma forma.
A veces es posible encontrar la huella digital de la clave pública de OpenPGP en la página web u otras plataformas de presencia online del usuario. En Mailfence, usted puede usar su almacenamiento de documentos para compartir su clave pública mediante el enlace de acceso directo.
- Vaya al almacenamiento de documentos de su cuenta de Mailfence, haga clic en la rueda, y después en “Crear carpeta pública”
- Suba su clave pública de OpenPGP
- Haga clic derecho en su clave pública, y después en “Acceso directo”
- Comparta el enlace en “Acceso público” con sus destinatarios u otras personas
Notas:
- Los perfiles falsos en redes sociales son muy comunes. Asegúrese de que ha encontrado el perfil correcto (haciendo algunas verificaciones para determinar el nivel de confiabilidad).
- Los perfiles sociales pueden verse comprometidos. Verifique siempre el perfil de su destinatario para identificar cualquier motivo de sospecha. Tan solo para estar seguro de que no ha sido comprometido.
Repositorios de claves públicas: Keybase.io
Un repositorio de claves públicas es un lugar donde residen las claves públicas de diferentes personas. Keybase.io es un repositorio de claves públicas que les permite a los usuarios el vincular su clave con los dispositivos conectados, y también a una variedad de cuentas en medios sociales. Esto proporciona una mayor legitimidad a sus identidades, que pueden entonces ser corroboradas mediante identificación cruzada con otras plataformas sociales. También facilita la verificación de firmas digitales. Keybase.io está perfectamente alineado con la funcionalidad de OpenPGP interoperable de Mailfence.
- Cree su cuenta.
- Cargue su clave pública de OpenPGP (esto también requerirá que inicie su sesión mediante el uso de su clave privada en el asistente que indicamos a continuación).
- Enlace sus dispositivos y conecta múltiples cuentas de redes sociales y otros espacios online ─para que su identidad sea aún más legítima.
Otros repositorios de claves públicas
Existen otros servidores de claves públicas, que no requieren que usted cree una cuenta y/o tenga que iniciar sesión con su clave pública antes de cargarla. Sin embargo, el publicar claves públicas en ellos es un proceso no reversible (su clave no puede ser eliminada ni modificada, exceptuando las fechas de caducidad, sub-claves, etc.). Otra desventaja de tales servidores de claves es que su UID (nombre y dirección de E-mail) se vuelven públicos.
Si aun así usted desea publicar en otros servidores de claves públicas mediante Mailfence, siga estos pasos:
- Vaya a Configuración -> Mensajes -> Cifrado, y haga clic en su Clave personal.
- Haga clic en “Publicar en servidor de clave pública”.
Notas:
- Dado que cualquiera puede publicar una clave pública en estos servidores de claves públicas, asegúrese de haber establecido un cierto nivel de confianza antes de copiar la huella digital de la clave pública.
- Evite copiar la huella digital de una clave pública revocada o caducada.
Paso – 2: ¡Obtenga la huella digital de la clave pública de OpenPGP usando una canal diferente!
Después de compartir la clave pública con su destinatario, el siguiente y más importante paso es adquirir la huella digital de la clave pública respectiva usando un canal diferente. Las claves públicas pueden ser víctimas de spoofing, así que no se salte este paso.
E-mail con firma digital
Envíe un E-mail con su firma digital. Debe incluir su huella digital de clave pública en el cuerpo del mensaje, y pedirle al destinatario que haga lo mismo.
En Mailfence, esto se puede hacer fácilmente siguiendo estos pasos:
- Escriba su mensaje, que debe incluir la huella digital de su clave pública de OpenPGP:
- Firme digitalmente y envíe su mensaje
Nota:
- Asegúrese de que la dirección de E-mail a la que está enviando, o de la que está recibiendo su E-mail es la correcta (obtenida mediante un canal auxiliar confiable: en persona, por teléfono, etc.).
Aplicaciones de mensajería instantánea o una llamada
Esto necesitará que usted tenga el número de móvil de su destinatario. Una simple llamada telefónica será suficiente. En caso de la mensajería instantánea: usted y su destinatario deben estar disponibles (registrados) en la aplicación correspondiente.
A continuación, le indicamos algunas de las aplicaciones móviles que puede usar para compartir su huella digital de clave pública con su destinatario
Notas:
- Asegúrese de estar usando el número de móvil correcto de su destinatario (recibido a través de un canal confiable: en persona, por teléfono, etc.).
- Si no está completamente seguro de la identidad de su contacto, siga los pasos de verificación indicados a continuación para para cada aplicación (WhatsApp: verificar el código de seguridad; Signal: verificar a la persona).
Cuentas en redes sociales
Hoy en día hay una enorme cantidad de personas en las redes sociales (facebook, twitter, …). Esto las vuelve un canal sencillo de usar para compartir o intercambiar la huella digital de su clave pública. Sin embargo, existen varias restricciones (específicas para cada plataforma) para el envío de mensajes directamente a otros usuarios.
Use una de las siguientes redes sociales:
- Twitter:
Simplemente copie el texto de su clave pública de OpenPGP, y envíelo como mensaje directo a su destinatario.
También puede incluir su huella digital de clave pública de OpenPGP en la sección “Acerca de” de su perfil.
- Facebook:
Simplemente copie el texto de su clave pública de OpenPGP, y envíelo como mensaje directo a su destinatario.
Incluya su huella digital de clave pública de OpenPGP en la sección “Acerca de” de su perfil.
También puede usar otras plataformas, como Google+, de la misma forma.
A veces es posible encontrar la huella digital de la clave pública de OpenPGP en la página web u otras plataformas de presencia online del usuario. En Mailfence, usted puede usar su almacenamiento de documentos para compartir su clave pública mediante el enlace de acceso directo.
- Vaya a su almacenamiento de documentos de cuenta de Mailfence, haga clic en la rueda, y después en “Crear carpeta pública”.
- Suba su clave pública de OpenPGP.
- Haga clic derecho en su clave pública, y después en “Acceso directo”.
- Comparta el enlace en “Acceso público” con sus destinatarios u otras personas.
Notas:
- Los perfiles falsos en redes sociales son muy comunes. Asegúrese de que ha encontrado el perfil correcto (haciendo algunas verificaciones para determinar el nivel de confiabilidad).
- Los perfiles sociales pueden verse comprometidos. Verifique siempre el perfil de su destinatario para identificar cualquier motivo de sospecha. Tan solo para estar seguro de que no ha sido comprometido.
Repositorios abiertos de claves públicas
Usted puede usar cualquier repositorio de claves públicas (p. ej. Keybase.io u otros servidores de claves públicas) para adquirir huellas digitales de claves públicas. El objetico es obtener la huella digital de la clave pública usando un canal independiente.
- Keybase.io
- Servidor de claves públicas (p. ej. https://pgp.mit.edu)
Desde mailfence, haga lo siguiente:
- Vaya a Configuración -> Mensajes -> Cifrado -> Añadir clave pública -> Buscar en servidores de clave pública.
- Escriba el Nombre, ID de E-mail o ID de clave de su destinatario, y pulse Enter. Se mostrará la huella digital de la(s) clave(s) pública(s).
Notas:
- Evite copiar la huella digital de una clave pública revocada o caducada.
- El objetivo es obtener la huella digital de la clave pública usando un canal independiente. Procure buscar tantos canales como sea posible, y verifique la huella digital de la clave pública que haya adquirido.
Paso – 3: ¡Verifique que la clave pública de OpenPGP verdaderamente pertenece a su supuesto dueño!
Por último, después de haber obtenido la huella digital y clave pública de su destinatario mediante un canal diferente, el proceso de verificación es más bien sencillo. Simplemente consiste en comparar la huella digital de la clave pública de su destinatario con la que usted ha obtenido. Si coinciden, entonces usted puede estar seguro de que la clave pública verdaderamente coincide con la de su supuesto dueño. Ahora usted puede usarla con total seguridad para comunicarse con su(s) destinatario(s).
Desde mailfence, haga lo siguiente:
- Vaya a Configuración -> Mensajes -> Cifrado, y haga clic en la clave pública de su destinatario.
- Copie la huella digital de clave pública de OpenPGP que ha obtenido (en el paso 2), y use la funcionalidad de “Buscar” de su navegador (p. ej. pulse Ctrl+F).
- Si coinciden, usted tendrá la seguridad de que la clave pública que ha obtenido pertenece a su supuesto dueño. Usted puede entonces usarla para comunicarse con total seguridad con su(s) destinatario(s).
El siguiente infográfico ilustra el procedimiento entero, en especial el último paso.
CASO ADICIONAL
Encontrarse en persona: si usted conoce a su destinatario, y les es posible encontrarse en persona, entonces esta es la mejor opción. Pueden intercambiar sus claves públicas mediante una memoria USB. Y después pueden las huellas digitales oralmente, o mediante cualquier otro método que sea seguro y confiable. En este caso también aplica el Paso 3.
Un detalle final: no olvide verificar si la clave pública está revocada o ha caducado.
Vea también:
- Cifrado de extremo a extremo. ¿Qué es y cómo funciona?
- Buenas prácticas de cifrado con OpenPGP
- E-mails firmados digitalmente. ¿Qué son y cómo funcionan las firmas digitales?
- Buenas prácticas de firmado digital con OpenPGP
Síganos en twitter/reddit y manténgase actualizado en todo momento.
