7 min de lectura
Verifica al destinatario antes de sellar un archivo
Una dirección de recepción es una clave pública, no un nombre. Antes de sellar un archivo sensible, confirma la dirección del destinatario a través de un canal de confianza: el cifrado puede funcionar a la perfección y aun así enviar el archivo a la persona equivocada.
Antes de sellar un archivo sensible, verifica la dirección de recepción del destinatario a través de un canal que un atacante difícilmente controle. Una dirección de recepción es una clave pública, no un nombre. Si cifras hacia la clave equivocada, quien posea esa clave podrá abrir el archivo, mientras que la persona a la que querías llegar quizá no pueda.
Este es el fallo humano más habitual en los flujos de trabajo cifrados. La criptografía puede ser impecable y el envío seguir siendo incorrecto, porque nada en una cadena de caracteres demuestra de quién es esa clave. El cifrado responde a «¿quién puede abrir estos bytes?». No responde a «¿elegí a la persona correcta?».
¿Qué es una dirección de recepción?
Una dirección de recepción es una clave pública de cifrado que el remitente usa para sellar un registro. En CardanoWall se presenta de dos formas:
age1...— una dirección de recepción clásica X25519.age1pqc...— una dirección de recepción híbrida poscuántica.
El remitente sella hacia la dirección publicada del destinatario. El destinatario abre el registro con la clave privada correspondiente, que se deriva de su semilla de identidad. La dirección está pensada para compartirse; la clave privada y la semilla deben permanecer en secreto. (Para más detalles sobre qué es una dirección y cómo la reparten los destinatarios, consulta qué es una dirección de recepción.)
¿Por qué importa tanto verificar la clave?
Porque las claves públicas no son identidades.
Cualquiera puede enviarte una cadena que parezca una dirección de recepción. Cualquiera puede pegar una clave junto a un nombre conocido. La cadena en sí no demuestra nada sobre quién controla la clave privada correspondiente, solo que la controla algún poseedor de clave. Un atacante que te cuele su propia dirección podrá leer todo lo que selles «para» tu contacto, mientras que tu contacto no recibe nada.
Para un archivo de prueba desechable, puede que no importe. Para material probatorio en un litigio, datos de un incidente, información personal, trabajo inédito o material de un denunciante, verifica la clave antes de sellar. La agenda de contactos existe para que esa verificación quede fijada: compruebas la clave una vez, la guardas y reutilizas la entrada guardada en lugar de volver a pegar una cadena en la que tienes que confiar de nuevo cada vez.
¿Qué cuenta como un buen canal de verificación?
Usa una vía que el atacante difícilmente controle, y confirma la clave por un canal distinto del que te la entregó. Opciones razonables, más o menos por orden de solidez:
- una entrega en persona (por ejemplo, escaneando juntos un código QR);
- una llamada telefónica a un número que ya conoces, leyendo en voz alta la huella de la clave;
- una página de claves
.well-knownen el dominio oficial del destinatario; - un registro DNS TXT en ese dominio;
- un perfil firmado enlazado desde el sitio oficial del destinatario;
- una conversación cifrada de extremo a extremo que ya existe y en la que confías;
- un directorio de claves aprobado por la organización;
- una huella de clave impresa y entregada mediante un proceso en el que confías.
El método correcto depende de lo que estés enviando. Para archivos de alto valor, confírmalo por dos canales independientes: una clave que te llega por correo y que se lee de vuelta en una llamada telefónica es mucho más difícil de falsificar que cualquiera de las dos por separado.
¿Qué no basta por sí solo?
Un nombre conocido no basta. Trata lo siguiente como no verificado hasta que un segundo canal lo confirme:
- una clave que llega en un hilo de correo recién creado;
- un mensaje directo de una cuenta que no has verificado;
- una captura de pantalla de una clave;
- un perfil público sin un enlace de confianza que apunte de vuelta a la persona;
- una dirección que te reenvía un tercero;
- un mensaje del tipo «esta es mi clave nueva» sin comprobación por un segundo canal.
Los atacantes se concentran en el momento del intercambio de claves, porque es el único paso en el que una clave sustituida parece completamente normal. Una vez que se guarda una clave equivocada, todos los envíos posteriores pueden seguir yendo al lugar equivocado sin que te des cuenta.
¿Cómo deberías usar la agenda de contactos?
Guarda la clave después de haberla verificado, nunca antes. Para cada contacto de confianza, la agenda de contactos registra:
- un nombre para mostrar;
- la clave pública de firma Ed25519 del contacto (el identificador que vincula sus registros con esa persona);
- una dirección de recepción
age1..., si la tiene; - una dirección de recepción poscuántica
age1pqc..., si la tiene; - cómo verificaste la clave, y cuándo;
- notas en formato libre: anota exactamente cómo la comprobaste.
Más adelante, cuando compongas un registro sellado, elige el contacto de la agenda de contactos en lugar de pegar otra vez una dirección. Así conviertes una verificación cuidadosa en muchos envíos más seguros. Para ver paso a paso cómo crear una, consulta crea tu agenda de contactos y cómo funciona la agenda de contactos.
¿Deberías preferir la dirección poscuántica?
Para archivos que pueden seguir siendo sensibles durante muchos años, sí: usa la dirección poscuántica cuando el destinatario ofrezca una.
Una dirección híbrida age1pqc... es mucho más larga que una clásica, pero te protege frente a un atacante que graba hoy el texto cifrado sellado y lo descifra más adelante con un futuro ordenador cuántico («recolectar ahora, descifrar después»). Si un registro solo necesita permanecer privado a corto plazo, una dirección clásica age1... suele bastar.
Elijas la que elijas, la regla no cambia: verifica primero la dirección. Una clave poscuántica que no verificaste no es más segura que una clásica que no verificaste.
¿Qué pasa si el destinatario rota sus claves?
Verifica la clave nueva como si fuera un contacto nuevo. No sobrescribas una dirección de recepción guardada solo porque un mensaje afirme que ha cambiado: esa es exactamente la forma que adopta un ataque de sustitución de claves. Confirma la clave nueva a través de un canal de confianza, actualiza la entrada y anota por qué cambió.
Para equipos y organizaciones, la rotación de claves debería anunciarse en lugares predecibles: un dominio oficial, un perfil firmado o un proceso interno documentado. Si sospechas que una clave se ha visto comprometida, deja de sellar hacia la dirección antigua de inmediato y espera a que se confirme la nueva.
¿Qué revela en la cadena un registro sellado?
No una lista de destinatarios legible. Un registro sellado Label 309 envuelve la clave de contenido en una ranura cifrada por cada destinatario y luego las baraja, de modo que el registro público no lleva ningún campo «destinatario» en claro. El Inbox encuentra los registros dirigidos a ti intentando descifrar localmente cada ranura con tus propias claves. Lo que sí puede ver un observador es que existe un registro sellado, cuándo se publicó y cuántas ranuras tiene, nunca quiénes son los destinatarios.
Esa ceguera respecto al destinatario protege la privacidad en la cadena, pero no hace nada por la verificación de la clave. La cadena oculta a quién sellaste; no puede comprobar que sellaste hacia la clave correcta. Elegir la dirección correcta sigue siendo enteramente tarea del remitente. Y ten presente el límite del otro lado: sellar mantiene el texto plano cifrado para los poseedores de la clave, pero no garantiza el anonimato, y cualquier destinatario puede filtrar el texto plano una vez que lo ha descifrado. (Para saber qué puede y qué no puede establecer una prueba, consulta lo que una prueba no demuestra.)
La versión corta
Un buen cifrado más una mala comprobación de la clave sigue siendo un mal envío. Así que:
- verifica una dirección de recepción antes de sellar cualquier cosa sensible, idealmente por dos canales;
- guarda las claves verificadas en la agenda de contactos; anota cómo se comprobó cada una;
- vuelve a verificar cuando una clave cambie: trata la clave nueva como un contacto recién creado.
La criptografía es la parte fácil. La verificación es la parte de la que respondes tú.
Para seguir leyendo
- Qué es una dirección de recepción y perfiles públicos y direcciones de recepción.
- Cómo recibir registros sellados y divulgación confidencial sin archivos públicos.
- El modo lista de permitidos para registros entrantes: un filtro de Inbox complementario para lo que recibes.
- El estándar abierto Label 309 en label309.org; el código abierto, los SDK y la CLI en github.com/cardanowall.