Pretty Good Privacy (PGP) es un programa de cifrado y descifrado de datos que proporciona privacidad y autenticación criptográficas. Esta guía explora los principios del cifrado PGP, sus aplicaciones en la protección de correos electrónicos y archivos, y cómo mejora la confidencialidad de los datos.
Obtenga información sobre el proceso de gestión de claves y las mejores prácticas para implementar PGP en sus comunicaciones. Comprender el cifrado PGP es esencial para las personas y organizaciones que buscan proteger la información confidencial del acceso no autorizado.
¿Cómo funciona el cifrado PGP?
El cifrado PGP utiliza criptografía de clave pública, criptografía de clave simétrica y hash para ocultar y verificar los datos entre el remitente y el destinatario. En primer lugar, definamos algunos términos que luego podremos combinar para formarnos una idea de lo que está sucediendo:
- Criptografía de clave pública – El receptor de un mensaje genera una clave privada que se mantiene en secreto y una clave pública que se puede compartir con todo el mundo. Cuando alguien cifra un mensaje con esta clave pública, solo la clave privada del receptor puede descifrarlo. Para que quede claro: una clave pública solo puede cifrar un mensaje, pero no puede descifrarlo. Este concepto matemático unidireccional se conoce como función trampa.
- Criptografía de clave simétrica – Tanto el remitente como el destinatario de un mensaje tienen la misma clave (es decir, simétrica) que se utiliza para cifrar y descifrar un mensaje. Se trata de una metodología más sencilla y mucho más rápida que su homóloga de clave pública. Sin embargo, las claves públicas deben generarse y luego intercambiarse para su uso. Hacerlo en la Internet pública es inaceptable, ya que es como si un espía publicara su clave de cifrado en un tablón de anuncios público (físico) en lugar de entregarla de forma sigilosa.
- Hash o función hash – PGP crea un hash, o resumen del mensaje, a partir de un correo electrónico y, a continuación, crea una firma digital utilizando la clave privada del remitente. Esto se puede utilizar para verificar que el mensaje procede del remitente correcto.
¿Cómo funciona el cifrado PGP?
- El receptor genera primero un par de claves pública y privada. La clave privada se mantiene en secreto, mientras que la clave pública se comparte con el remitente, con la suposición implícita de que cualquier otra persona puede interceptarla.
- El remitente genera una clave de cifrado simétrica aleatoria y la utiliza para cifrar los datos que se van a enviar.
- La clave de cifrado simétrica se cifra utilizando la clave pública del receptor y se envía (cifrada) al receptor. La clave pública nunca se comparte en Internet.
- Los datos, cifrados con la clave simétrica, se envían al destinatario.
- El destinatario recibe tanto los datos cifrados (simétricamente) como la clave simétrica cifrada (asimétricamente) pública-privada. De esta manera, tanto los datos como la clave simétrica se comparten sin que haya datos utilizables en Internet.
- A continuación, el destinatario descifra la clave de cifrado utilizando su clave privada y los datos utilizando la clave de cifrado simétrica generada por el remitente.
Aunque el proceso pueda parecer complicado, es necesario para permitir la transmisión de datos privados en espacios públicos sin necesidad de un intercambio inicial de códigos fuera de línea. Cabe destacar que la clave simétrica, también conocida como clave de sesión, se utiliza una sola vez para el cifrado/descifrado y se descarta para evitar futuros problemas de seguridad.
Ejemplos de cifrado PGP en acción: herramientas de cifrado PGP actuales
Aunque el proceso de cifrado PGP puede parecer abrumador, la buena noticia es que existen varios servicios y programas que lo facilitan mucho. Algunos ejemplos destacados son:
- Múltiples clientes de correo electrónico – Windows, MacOS, Android, iOS, Linux
- Complementos para navegadores de correo web – Gmail, GMX, Outlook.com, mailbox.org
- Proveedores de correo web (sin necesidad de complementos) – ProtonMail, Mailfence
Con ProtonMail, por ejemplo, los correos electrónicos entre dos usuarios de ese servicio se cifran automáticamente de extremo a extremo. También puedes enviar correos electrónicos protegidos con contraseña a quienes utilizan otros servicios de correo.
Si las ofertas actuales no se ajustan a sus necesidades, tenga en cuenta que, al tratarse de un estándar abierto, en teoría es posible desarrollar su propio servicio de correo electrónico o "dispositivo" de cifrado utilizando OpenPGP. Al mismo tiempo, esto requeriría mucho tiempo y esfuerzo, por lo que es de esperar que alguno de los servicios existentes en la actualidad se adapte a sus necesidades.
A sus 33 años, ¿se puede piratear el cifrado PGP?
Aunque el cifrado PGP está bien establecido y es antiguo incluso en términos de Internet, se ha revisado y actualizado constantemente a lo largo de su historia. Se podría argumentar que su herencia de código abierto y su perfeccionamiento lo hacen más fiable que quizás cualquier otro método de cifrado disponible públicamente en la actualidad.
Al mismo tiempo, las herramientas de piratería informática generales, como los keyloggers y el malware, pueden comprometer un sistema informático en el punto de cifrado. Si bien los mensajes cifrados pueden ser seguros, también hay que tener en cuenta la seguridad del sistema informático frente a ataques externos, así como la de su socio o socios de comunicación.
Algunos también han teorizado que el desarrollo de la computación cuántica práctica hará que el cifrado tradicional quede obsoleto. Aunque existen formas teóricas de combatir este problema (teórico), el cifrado seguro de hoy puede no serlo mañana, ya sea a través de la computación cuántica, vulnerabilidades desconocidas o simplemente robando u obligando a alguien a revelar una clave de cifrado privada.
Por lo tanto, el cifrado PGP es una medida de seguridad razonable en la actualidad. Sin embargo, si los datos transmitidos serán seguros para siempre es una pregunta sin respuesta.
PGP, estándar OpenPGP para una mayor seguridad en Internet
Para el transporte de mensajes del punto A al punto B, PGP y el estándar OpenPGP ofrecen una protección razonable para que los mensajes no puedan leerse si son interceptados (salvo que se produzca el advenimiento del descifrado mediante computación cuántica). Al mismo tiempo, la seguridad de los mensajes en tránsito es solo una parte de la historia.
Si un dispositivo se ve comprometido en cualquiera de los extremos de la comunicación a través de cualquier número de rutas, los mensajes también pueden verse comprometidos. Piense en una situación en la que se instala un keylogger u otro malware en su dispositivo. Aunque OpenPGP podría cifrar las comunicaciones entre el origen y el destino, si el mensaje ya se ha visto comprometido, ofrece, en el mejor de los casos, una seguridad incompleta. Para proteger su red y sus dispositivos, SentinelOne proporciona una plataforma que protege a su organización de las amenazas, utilizando la plataforma de ciberseguridad basada en IA más avanzada del mundo.
Ciberseguridad impulsada por la IA
Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.
DemostraciónConclusión
El cifrado PGP se ha utilizado durante más de treinta años, tanto como programa de software como conjunto estándar de prácticas de cifrado. Utiliza criptografía de clave pública y criptografía de clave simétrica para transferir mensajes seguros a través de Internet, junto con hash para verificar que un mensaje es auténtico y no ha sido alterado. El cifrado PGP ha evolucionado con los cambios tecnológicos para hacer frente a nuevas amenazas, lo que permite que siga considerándose seguro en la actualidad.
"FAQs
Mientras que PGP era originalmente un programa de cifrado (y ahora es un conjunto de principios que subyacen a un sistema de cifrado), RSA, el algoritmo Rivest-Shamir-Adleman, es una función matemática utilizada para el cifrado de claves públicas y privadas y la verificación de firmas. RSA es el núcleo subyacente de muchos sistemas de cifrado, incluidas las versiones originales de PGP y SSH.
PGP, desarrollado en 1991 por Phil Zimmerman, es un programa de cifrado utilizado originalmente para cifrar mensajes enviados en sistemas de tablones de anuncios (BBS). Desde entonces se ha utilizado para cifrar correos electrónicos, textos y archivos, y es una filial de Broadcom.
OpenPGP, sin embargo, es un estándar de cifrado abierto, definido por la RFC 4880 (Solicitud de comentarios) del IETF (Grupo de Trabajo de Ingeniería de Internet). PGP, al igual que otros paquetes de software de cifrado similares, sigue el estándar de cifrado OpenPGP. Sin embargo, no todos los programas basados en OpenPGP son compatibles.
Sí, el cifrado PGP sigue utilizándose mucho, ya que ha evolucionado a lo largo de tres décadas para hacer frente a nuevos retos.
Hoy en día existe una amplia gama de paquetes de software y servicios PGP disponibles, incluidos los que se enumeran en la sección: Ejemplos de cifrado PGP en acción: Herramientas de cifrado PGP actuales. En última instancia, la mejor herramienta será aquella que se adapte a una situación concreta, equilibrando la seguridad y la facilidad de uso.
Para las comunicaciones por correo electrónico que deben mantenerse absolutamente privadas, un programa o estándar de cifrado como PGP es una herramienta muy buena. Al mismo tiempo, enviar mensajes cifrados puede causar algunas molestias (esperemos que menores) tanto al remitente como al destinatario. Al final, hay que tener en cuenta tanto la comodidad como la necesidad de privacidad.