OpenPGP es uno de los protocolos estándar para cifrar/firmar datos. Es el estándar de cifrado de correo electrónico más utilizado. También es una de las maneras en que Mailfence brinda seguridad y privacidad a sus usuarios de todo el mundo.
OpenPGP y las preocupaciones en torno a la privacidad
Si se les pregunta a las personas hoy en día si les preocupa el uso de sus datos por parte del gobierno o las compañías, la mayoría responderían que sí. Según un estudio realizado por la Agencia de los Derechos Fundamentales de la Unión Europea (2020), más de la mitad de las personas que usan internet afirman temer que los criminales puedan usar la información que comparten online.
A la vez, al otro lado del charco, los estadounidenses también manifiestan preocupación, pero a la vez sienten que simplemente no es posible vivir sin que alguien recopile datos suyos, ya sean las compañías (62%) o el gobierno (63%), según investigaciones realizadas por Pew Research (2019).
Pero hay un detalle. Tiene toda la razón en preocuparse por la recolección de datos. Usted ciertamente tiene control sobre su privacidad, y una de las cosas que puede ayudale con esto es OpenPGP.
¿Qué es OpenPGP y cómo funciona?
Cifrado, criptografía, firmas digitales, claves públicas y privadas… todas estas son ideas y herramientas de las que la persona promedio seguramente habrá escuchado hablar, pero que no comprende realmente. Y lo que no entendemos, nos asusta.
Es por esto que opinamos que sería muy provechoso hablar acerca de una de estas herramientas: OpenPGP. Cómo funciona, y cómo puede ayudarle con la privacidad de su correo electrónico.
Vale, entonces ¿qué es OpenPGP?
PGP significa “Pretty Good Privacy” (literalmente, “privacidad bastante buena”) y es un sistema para enviar correos electrónicos y archivos cifrados. Fue creado y lanzado en 1991 para proteger a los archivos en sistemas de tablones de anuncios (estos eran servidores que permitían a los usuarios conectarse antes que existiese internet).
Originalmente, PGP era gratis de usar, pero se volvió una solución patentada después de que Symantec lo compró.
Es por esto que Phill Zimmerman, el autor original del estándar PGP, emitió una propuesta de código abierto a la Internet Engineering Task Force (IETF) en 1997, y así nació Open PGP.
OpenPGP es un estándar de cifrado que usa algoritmos de criptografía tanto simétrica como asimétrica. Con esto, OpenPGP toma lo mejor de ambos mundos: la eficiencia del cifrado simétrico y la seguridad del asimétrico.
¿Cómo funciona?
Pretty Good Privacy no es realmente tan complicado como parece. Démosle un vistazo a un ejemplo.
- La persona A (el remitente), quiere enviar a su amigo, la persona B (destinatario) un correo electrónico, pero quiere que sea privado.
- Ahora, la persona B (el destinatario) necesita generar una clave privada y una clave pública. Vea cómo generar su clave personal con Mailfence. Mire nuestro vídeo y descubra cómo añadir sus claves a su cuenta.
- A continuación, la persona B le envía su clave pública a la persona A.
- Usando la clave pública que acaba de recibir, la persona A puede cifrar su correo electrónico.
- Ahora ya puede enviarle el correo electrónico cifrado a la persona B.
- Por último, para leer el mensaje, la persona B necesita descifrarlo usando su clave privada. Cualquier otra persona que intercepte el correo electrónico no podrá leerlo, porque sería incomprensible para ellos.
¿Cuál es la diferencia entre PGP, OpenPGP y GnuPG?
Ya hemos cubierto cómo se Phil Zimmerman, el creador de PGP, envió OpenPGP como propuesta a la IETF en 1997 para evitar problemas con la patente.
También existe un tercer participante en esta historia, y es el GnuPG, o Gnu Privacy Guard (GPG).
Gnu Privacy Guard fue desarrollado dos años después del OpenPGP en 1999, y está basado en el estándar OpenPGP que Zimmerman envió a la IETF. Es una alternativa gratuita a PGP que los usuarios pueden descargar, modificar, distribuir y usar para cifrar/descifrar archivos PGP y OpenPGP.
Recapitulando: el PGP original se desarrolló en 1991 y después lo compró Symantec, y después se creó OpenPGP, que se envió y fue aprobado por la IETF en 1997 como alternativa gratuita, y después salió el GPG en 1999, basado en el estándar OpenPGP.
¿Para qué se usa PGP/OpenPGP?
Entonces, ¿qué se puede hacer realmente con PGP u OpenPGP?
- Cifrar/descifrar correos electrónicos (o archivos)
- Firmar/verificar correos electrónicos (o archivos)
- Firmar/verificar acciones
El ejemplo anterior (ver “¿Cómo funciona PGP?”) ya explica cómo OpenPGP se usa para cifrar un correo electrónico entre dos partes que quieren mantener en privado sus conversaciones.
OpenPGP también se puede usar para verificar la identidad de la persona que envía el correo electrónico. O, en pocas palabras, ejecutar una verificación de firma de correo electrónico.
Esto se hace mediante la firma digital de OpenPGP, que en esencia es un hash del correo electrónico cifrado usando la clave privada OpenPGP del remitente. Entonces, se envía esta firma digital se envía junto con el correo en sí mismo.
Una vez que el destinatario recibe el correo electrónico, puede descifrar la firma digital usando la clave pública del remitente. Así, el destinatario sabrá si se cambió aunque sea un solo carácter, lo que indicaría que el mensaje se ha manipulado mientras transitaba, o que la firma digital es falsa y el remitente no es quien dice ser.
Por último, además de cifrar y firmar correo electrónico u otros archivos, el OpenPGP también se puede usar para firmar acciones, como establecer confianza en la identidad, revisión contra un repositorio de Github/Gitlab, o publicar un paquete saliente de Debian.
Pros y contras
OpenPGP definitivamente tiene sus ventajas, pero no es perfecto. A continuación le daremos un vistazo a los pros y contras del cifrado con OpenPGP:
Pros
- Es fácil de usar, descargar y modificar
A diferencia del PGP, que pertenece a Symantec, OpenPGP es completamente gratis para todos.
- Es prácticamente indescifrable y muy seguro
Las claves de cifrado de OpenPGP suelen tener una longitud de hasta 4096 bits (cifrado asimétrico) y hasta 256 bits (cifrado simétrico). En la actualidad, esto es considerado seguro por varios organismos de estandarización, como el NIST.
- Mejora la seguridad en la nube
OpenPGP puede ser extremadamente útil para cifrar archivos en reposo (en servidores) y añadir seguridad adicional en la nube en caso de una vulneración de nombre de usuario y contraseña.
Contras
- No es anónimo
OpenPGP es una herramienta de privacidad y seguridad, no de anonimato. Recuerde, la privacidad oculta sus actividades, mientras que el anonimato oculta su identidad. Esto significa que tanto la identidad del remitente como la del destinatario se pueden conectar con ellos. Esto es, a menos que usen un alias de correo electrónico, una VPN o un servidor proxy
- Puede ser bastante intimidante.
Aunque la mayoría se acostumbra a usarlo, para los primerizos el PGP puede resultar complicado de configurar y usar. Esto es especialmente cierto para la generación y gestión de pares de claves. Es por esto que muchas personas evitan usarlo, y simplemente esperan que no les pase nada.
Mailfence logró hacer mucho más fácil para cualquiera el utilizarlo:
- Generar o importar una clave privada y una pública.
- Comparta la clave pública por correo electrónico o vea este artículo acerca de cómo compartir claves públicas en tres pasos sencillos.
- Descubrir e importar las claves públicas del destinatario usando los más recientes estándares.
- Enviar correos electrónicos firmados y/o cifrados.
- Tanto el remitente como el destinatario deben tenerlo
OpenPGP no funcionará si solo una de las partes lo tiene instalado. Tanto el remitente como el destinatario tienen que tener un programa compatible con OpenPGP para poder usarlo. De nuevo, Mailfence ha encontrado una solución para esta “contra”: usar solamente el cifrado simétrico cuando una de las partes no es compatible con OpenPGP.
¿Necesito OpenPGP?
La respuesta a esto no debería basarse en qué tan complicado de usar sea o en cuánto cueste.
En su lugar, debería depender de la necesidad de proteger sus datos delicados por correo electrónico o sus archivos. A pesar de que algunos medios de comunicación afirman que el OpenPGP está muerto, esto no podría estar más lejos de la realidad. Más y más personas se dan cuenta de que internet no es un lugar seguro, y de que necesitan proteger sus datos.
Mailfence usa cifrado OpenPGP para proteger sus correos electrónicos sin dificultad. ¡Todas las cuentas tienen un depósito de claves de OpenPGP para darle un control total sobre sus claves!
Además, Mailfence ofrece un paquete de correo electrónico seguro y privado, que incluye un calendario con gestión de encuestas y grupos, un servicio de chat instantánea, y un gestor de contactos y documentos, todas ellas protegidas por cifrado de extremo a extremo, firmas digitales y 2FA.