El cifrado de extremo a extremo, y más concretamente OpenPGP, es una parte esencial de lo que hacemos aquí en Mailfence.
Sin embargo, el cifrado OpenPGP no siempre es sencillo, y la gestión adecuada de las claves sigue siendo todo un desafío. Así que en esta guía, cubriremos nuestros mejores consejos para gestionar de forma segura sus claves de OpenPGP, incluyendo:
- cómo generar y gestionar claves OpenPGP;
- cómo intercambiar claves OpenPGP con otros;
- cómo establecer fechas de caducidad en sus claves privadas;
… ¡y mucho más! Así que vamos a por ello.
Nota: si necesita un repaso de lo que es OpenPGP, consulte este artículo de nuestro blog.
Consejo nº 1: Generar la clave más fuerte posible
Mailfence genera por defecto una clave de 4096 bits utilizando RSA (Rivest-Shamir-Adleman), uno de los criptosistemas de clave pública más antiguos y utilizados.
Mailfence también admite la generación de claves mediante Criptografía de Curva Elíptica (ECC) con Curve25519 (longitud de clave de 256 bits).
Los algoritmos ECC suelen ser más rápidos y eficaces que los RSA, sobre todo en entornos con recursos informáticos limitados. Si piensas generar su clave privada utilizando una herramienta externa, asegúrate de que esté basada en ECC con Curve25519 O RSA con una longitud de clave de 4096 bits.
Consejo nº 2: Verificar las claves públicas
Cualquiera puede subir claves a servidores de claves públicas.
Esto significa que no hay razón para que confíes en las relaciones dadas, es decir, en la asociación entre el ID de correo electrónico y la clave pública.
Por tanto, es recomendable verificar con el propietario la huella digital completa de su clave. Se recomienda realizar esta verificación en la vida real o por teléfono (si es posible) utilizando un canal distinto al utilizado para intercambiar o descargar la clave pública OpenPGP del contacto.
Como recordatorio, la huella digital es un hash del certificado del usuario y aparece como una de las propiedades del certificado.
Si esto no es posible, busca en lugares como redes sociales, sitios web personales, blogs,… que pertenezcan a la persona de la que quiera tener una huella digital de clave, ya que algunas personas simplemente publican su huella digital de clave pública.
Asegúrese de verificar esta huella antes de importarla.
Consejo nº 3: No confiar sólo en la ID de CLAVE
Siempre se debe comprobar cualquier clave pública OpenPGP a través de su huella digital, que es una cadena alfanumérica de 40 dígitos (sin espacios ni guiones).
Incluso en el caso de las ID de clave OpenPGP de 64 bits de longitud (por ejemplo, 0x44434547b7286901 -) la probabilidad de colisión es potencialmente un problema muy grave.
Consejo nº 4: Actualizar las claves públicas de su almacén de claves
Si no se actualizan las claves públicas de su almacén de claves, no conseguirá que caduquen o se revoquen a tiempo.
Es muy importante conocer tanto los vencimientos como las revocaciones.
Con Mailfence, puedes hacerlo simplemente haciendo clic en “Actualizar desde servidor público” en cualquier clave pública importada que tengas en su almacén de claves.
Si es posible, ¡realice un intercambio denegable de claves!
Puede intercambiar claves de manera denegable teniendo una clave pública fácilmente disponible e identificable. Diga a todos los corresponsales que utilicen su clave pública para ponerse en contacto con usted y que incluyan su clave pública en el cuerpo cifrado del mensaje.
Esto le protegerá de los principales ataques de intercambio de claves. Sólo tiene que asegurarse de que su clave pública sea verificable a través de múltiples canales, incluidas las redes sociales, listas de correo públicas, servidores de claves, etc. Cuantos más canales alojen su huella digital de clave PGP, más difícil será para alguien atacarlos todos.
Consejo nº 5: Establecer fechas de caducidad
Otro consejo que a menudo se pasa por alto es poner una fecha de caducidad a sus claves.
En general, los usuarios no quieren que sus claves caduquen, pero hay buenas razones para dejar que lo hagan.
¿Por qué? Se trata de configurar algo que desactive su clave en caso de que pierdas el acceso a esta o si se ha visto comprometida. La idea aquí es establecer una fecha de caducidad que pueda ampliar incluso después de la fecha de caducidad.
Esto significa que la fecha de caducidad actúa más como una “válvula de seguridad” que se activará automáticamente en algún momento. Si tiene acceso al material de la clave secreta, puede impedir que caduque.
Un segundo consejo es establecer un evento en el calendario que le recuerde la fecha de caducidad
Lo mejor es configurar un evento en su calendario de Mailfence que le recuerde en el momento adecuado que debe ampliar la fecha de caducidad de su clave de OpenPGP. De nuevo, ¡siempre puede ampliar la fecha de caducidad incluso después de que haya caducado! No es necesario crear una clave nueva, sólo tiene que ampliar su caducidad a una fecha posterior.
Consejo nº 6: Generar un Certificado de Revocación
Sin embargo, ¿qué ocurre si olvida su frase de contraseña? O si su clave privada se ve comprometida o se pierde.
Entonces, la única esperanza que tiene es esperar a que caduque la clave (lo cual no es la mejor solución).
Un enfoque mejor es activar su certificado de revocación publicándolo en servidores de claves públicas. Haciendo esto notificará a los demás que ha revocado la clave. Sin embargo, una clave revocada puede seguir utilizándose para verificar firmas digitales antiguas o, si la clave privada es accesible, para descifrar datos antiguos.
Nota: Tenga en cuenta que su certificado de revocación está listo para usar. Si un delincuente accede a esta, puede utilizarla para revocar su clave.
Consejo nº 7: Compartir de forma segura sus claves de OpenPGP
La primera vez que encripte sus correos electrónicos con OpenPGP, puede que se sienta un poco confundido. ¿Cómo obtengo la clave pública de mi destinatario? ¿Cómo consigue la mía? Estos son algunos de los métodos más comunes que puede utilizar.
Método 1: Correos electrónicos firmados digitalmente
La primera opción es enviar un correo electrónico firmado digitalmente con su clave pública adjunta a su destinatario. Posteriormente, su destinatario debería hacer lo mismo. Para ello, deberá disponer previamente de la dirección de correo electrónico de su destinatario.
Método 2: Aplicaciones de mensajería instantánea
En la mayoría de los casos, esta opción requerirá que dispongas por adelantado del número de móvil de su destinatario. También es necesario que ambos utilicéis la aplicación correspondiente.
Si piensas utilizar este método, le recomendamos que utilice Signal.
Si no está seguro de la identidad de su contacto, siga los pasos de verificación de contactos que se detallan aquí.
Método 3: Cuentas en redes sociales y sitios web
Hoy en día mucha gente está en las redes sociales (Facebook, X, …). Esto significa que puede enviarles un Mensaje Directo con su clave pública OpenPGP en texto plano.
A veces puedes encontrar la huella digital de la clave pública OpenPGP en el sitio web/otra presencia en línea de un usuario. Mailfence también ofrece la opción de compartir documentos mediante enlaces públicos que pueden utilizarse para compartir una clave pública OpenPGP.
Sin embargo, ten en cuenta que los perfiles falsos en las redes sociales son habituales. Así que asegúrate de utilizar el correcto (haciendo algunas comprobaciones). Los perfiles de las redes sociales también se ven comprometidos. Comprueba siempre el perfil de su destinatario en busca de señales sospechosas, para asegurarte de que no ha sido comprometido.
Método 4: Repositorios de claves públicas
Un repositorio de claves públicas es un lugar donde residen las claves públicas de diferentes personas.
Recomendamos utilizar repositorios o servidores que implementen la verificación del correo electrónico y sean compatibles con el RGPD (por ejemplo, keys.openpgp.org).
Como alternativa, existen otros servidores de claves públicas abiertos basados en las especificaciones del “Protocolo de Servidor de Claves HTTP OpenPGP”. Hockeypuck es una de esas implementaciones.
Sin embargo, publicar claves públicas en estos servidores es un proceso no reversible (su clave no puede borrarse ni eliminarse por completo). Una desventaja adicional de estos servidores de claves es que el UID (nombre y dirección de correo electrónico) de su clave puede hacerse público.
Ten en cuenta que cualquiera puede publicar una clave pública en estos servidores de clave pública abiertos. Por tanto, debes asegurarte de que has establecido cierto nivel de confianza en la propiedad antes de importar la clave pública de su contacto.
Método 5: Reunión en persona
Si conoce a su destinatario de antemano y es posible reunirse en persona, probablemente sea la opción más adecuada. Puedes compartir o intercambiar la clave pública utilizando una unidad flash. Luego, intercambia su huella dactilar vocalmente, o por cualquier otro medio posible que sea seguro y fiable.
El objetivo al intercambiar claves públicas OpenPGP es asegurarse de que pertenecen realmente al propietario declarado.
Consejo nº 8: Hacer una copia de seguridad del material de su clave secreta
Compruebe dos veces que tenga una copia de seguridad encriptada del material de su clave secreta.
Lo ideal es que haga una copia de seguridad de su clave (cifrada con su frase de contraseña por defecto).
Con Mailfence, puede hacer fácilmente copias de seguridad de sus claves secretas y de cualquier otro documento delicado con nuestra solución de nube virtual.
Además, haga una copia de seguridad de su certificado de revocación y guárdela en una ubicación protegida de su dispositivo.
Consejo nº 9: Utilizar correctamente el ID de usuario
No incluya un “Comentario” en su ID de usuario, si no es necesario. El ID de usuario OpenPGP suele ser para mencionar su nombre o alias y no para hacer comentarios.
Consejo nº 10: Prestar atención a los servidores de claves públicas
La mayoría de las aplicaciones basadas en OpenPGP vienen con un único servidor de claves específico, sin otras opciones para el descubrimiento o intercambio de claves. Esto no es lo ideal, porque si el servidor de claves falla, o peor aún, si parece funcionar pero no lo hace correctamente, puede que no reciba las actualizaciones de claves críticas.
Esto no sólo es un punto único de fallo, sino que también es una fuente principal de filtraciones de información sobre relaciones entre usuarios de OpenPGP, y por tanto un objetivo de ataques.
Por último, todas sus interacciones con el servidor de claves deben estar cifradas (sobre TLS/SSL – hkps), lo que ocultará su mapa de relaciones sociales a cualquiera que pueda estar husmeando en su tráfico.
Consejo nº 11: Cómo responder a un correo electrónico cifrado
Elimine el contenido descifrado en una respuesta a un correo electrónico cifrado, y cite sólo las partes relevantes si es necesario. Configure su aplicación para que no guarde borradores (o los guarde encriptados) por defecto y descarte los mensajes encriptados de los elementos enviados o no los guarde en texto plano.
Consejo nº 12: Proteger sus metadatos
Minimizar la fuga de información contextual de la comunicación también es una buena práctica, simplemente ocultando los metadatos (direcciones “para”, “de”, dirección ip, etc.).
Cuando sea posible y pertinente, tome el control sobre esa información y desvincúlela de los datos vinculados a usted.
Por ejemplo, puede controlar el campo “De” creando una nueva cuenta de correo electrónico. La dirección IP del cliente de correo electrónico remitente puede cambiarse utilizando una VPN, Tor o una conexión pública a Internet. Se aplican las advertencias habituales sobre Tor: no confíe exclusivamente en Tor, si necesita proteger su dirección IP utilice una dirección IP que no pueda relacionarse directamente con usted.
Por motivos de privacidad de los datos, el asunto no debe hacer referencia directa al contenido del correo electrónico. Por ejemplo, “Asunto: Fue un placer conocerte en la Torre Eiffel” proporciona una revelación casi completa del contenido del correo electrónico.
Consejo nº 13: Comprobaciones finales
Por último, aquí tiene unas últimas comprobaciones que puede realizar en sus claves OpenPGP:
- asegúrese de que el formato de su clave OpenPGP no sea v3 o anterior;
- compruebe que sus claves OpenPGP tengan una fecha de caducidad razonable (por ejemplo, 2 años en el futuro).
Si ha generado su clave privada utilizando Mailfence, puede estar seguro de que el par de claves se generará con parámetros técnicos sólidos.
Última palabra sobre las buenas prácticas de OpenPGP
Con esto terminamos nuestra guía sobre las buenas prácticas de OpenPGP. Esperamos que le haya resultado útil y que pueda poner en práctica estos consejos.
Si le interesa profundizar, puede consultar las siguientes lecturas:
- ¿Qué es OpenPGP?
- Cifrado de extremo a extremo. ¿Qué es y cómo funciona?
- Cifrado Simétrico vs Asimétrico: ¿Cuál es la diferencia?
- Correos electrónicos firmados digitalmente. ¿Qué es y cómo funciona la firma digital?