Renovamos nuestras claves PGP
Introducción
Dentro de los servicios que presta INCIBE-CERT, el servicio de gestión de incidentes es uno de los más activos. Para ello, una de las cuestiones que ha tenido en cuenta, desde el principio, es la seguridad de la comunicación que se establece con quien reporta un incidente de seguridad.
Los sistemas de información de INCIBE cuentan con medidas de seguridad apropiadas, y conforme al Esquema Nacional de Seguridad.
Entre las medidas de seguridad posibles se encuentran:
- Utilización SPF y DKIM para validar la autenticidad de nuestros correos;
- Recepción de los correos protegiendo la comunicación SMTP con TLS (STARTTLS);
- Publicación de un política MTA-STS, para que la anterior protección no pueda ser trivialmente eliminada por un atacante activo;
- Posibilidad de comunicarse con INCIBE-CERT a través de un formulario HTTPS para las personas que no deseen utilizar el correo electrónico.
Adicionalmente, INCIBE-CERT protege sus comunicaciones mediante OpenPGP, por lo que es posible cifrar un mensaje para INCIBE-CERT con la correspondiente clave pública. Las respuestas emitidas desde INCIBE-CERT, incluyen asimismo una firma digital con la correspondiente clave PGP, lo que permite validar la autenticidad de la respuesta.
Nuevas claves
Las claves PGP que INCIBE-CERT ha estado utilizando los dos últimos años, las denominadas «claves 2018-2020», caducan en los próximos días. Por este motivo, hemos generado unas nuevas claves con la que poder seguir comunicándonos con nuestro público de forma segura en los próximos años.
A continuación, se indican las nuevas claves a utilizar a partir de ahora:
Incidentes de ámbito general (empresas y ciudadanos)
La dirección de correo es la adecuada para notificar la mayoría de incidentes bajo el ámbito de actuación de INCIBE-CERT.
pub ed25519 2020-06-15 [C] [caduca: 2022-06-15] 0082 BF42 B2BB 9D89 3E7E ED67 2DDD 99A6 252E 6573 uid [ absoluta ] INCIBE-CERT incidents (2020-2022) > sub ed25519 2020-06-15 [S] [caduca: 2022-06-15] sub cv25519 2020-06-15 [E] [caduca: 2022-06-15]
Descargar incidencias.pub o incidencias.asc.
Incidentes red académica y de investigación
La dirección de correo la adecuada para notificar las incidencias de instituciones afiliadas a la Red Académica y de Investigación Española (RedIRIS).
pub rsa4096 2012-05-16 [SC] [caduca: 2021-04-17] D2DE 1DBE F689 ED1E 0312 34D9 8984 EB58 2006 B232 uid [ absoluta ] > sub rsa4096 2019-07-01 [S] [caduca: 2021-06-30]
Descargar iris.pub o iris.asc.
Incidentes Infraestructuras Críticas
La dirección de correo debe utilizarse exclusivamente para la notificación de incidentes relativos a operadores estratégicos, de servicios esenciales e de infraestructuras críticas, designados al amparo de la Ley 8/2011 y el Real Decreto-ley 12/2018. A no ser que haya recibido una comunicación indicándole expresamente que deba usar este punto de contacto, esta no es la vía adecuada para comunicarse con INCIBE-CERT.
pub ed25519 2020-06-15 [C] [caduca: 2022-06-15] F8F6 A1D7 D2E1 7E34 1C0A F65D 81CA 08D6 0950 4943 uid [ absoluta ] INCIBE-CERT - PIC (2020-2022) > sub ed25519 2020-06-15 [S] [caduca: 2022-06-15] sub cv25519 2020-06-15 [E] [caduca: 2022-06-15]
Contacto CERT
La dirección puede utilizarse para comunicaciones generales con el CERT. No debe ser usada para el reporte de incidentes, y al contrario que otras no se encuentra monitorizada 24/7. Utilice en su lugar.
pub ed25519 2020-06-15 [C] [caduca: 2022-06-15] 628F A05D 5BFF 5E0C E5EF 75DA 64A2 99BC 6365 7274 uid [ absoluta ] INCIBE-CERT Team (2020-2022) > sub ed25519 2020-06-15 [S] [caduca: 2022-06-15] sub cv25519 2020-06-15 [E] [caduca: 2022-06-15]
Descargar cert.pub o cert.asc.
Obtención de claves
Puede descargar las claves anteriores, individualmente, desde los enlaces indicados, los keyserver OpenPGP o a través de Web Key Discovery.
gpg --search-keys
También puede descargar el conjunto de todas las claves (bundle.pub o bundle.asc).
Verificación de las claves
Puede comprobar que dispone de la clave correcta ejecutando el comando:
gpg --fingerprint --list-keys
Y verificando que coincide con la salida indicada en la descripción anterior para la clave adecuada.
Las diferentes claves firman y se encuentran firmadas por .
Asimismo, en caso de haber validado anteriormente las claves anteriores, estas firman de igual forma la sucesora.
Si forma parte del Strong set de PGP, posiblemente pueda también validar las mismas a través de la Web of Trust.
Criptografía de curva elíptica
Asimismo, hemos aprovechado la renovación de claves para pasar a utilizar criptografía de curva elíptica. Esto supone usar primitivas criptográficas más modernas (concretamente Curve25519/Edwards25519, con información adicional en RFC 7748 y en Recommendations for Discrete Logarithm-Based Cryptography: Elliptic Curve Domain Parameters) frente al tradicional uso de RSA, DSA o Elgamal. Tiene, además, la propiedad de generar firmas mucho más reducidas, lo que es una ventaja para aquellos casos donde el receptor no dispone de un cliente de correo capaz de gestionar adecuadamente las firmas OpenPGP. Recomendamos encarecidamente integrar en el cliente de correo la gestión del cifrado PGP, lo cual evita errores y simplifica enormemente la comunicación bajo este estándar. Más información en la Guía de Cifrado seguro de correo electrónico con PGP.
El uso de algoritmos más modernos supone, no obstante, que clientes antiguos puedan tener dificultad para funcionar con claves de curva elíptica.
Los clientes sin soporte para criptografía elíptica podrán descifrar mensajes enviados por INCIBE-CERT, pero serían incapaces de cifrar a INCIBE-CERT o validar la firma de los mismos. En tal caso es posible recibir un mensaje como:
encryption failed: clave pública inutilizable
Particularmente, reseñar que GnuPG 1.x no es compatible con este algoritmo, ya que la rama de GnuPG 1.4x está obsoleta. Se mantiene únicamente por compatibilidad con las anticuadas claves PGP-2, y GnuPG 1 no se considera. Normalmente, los sistemas donde el comando gpg se corresponde a GnuPG 1.x disponen de un comando gpg2 con una versión posterior.
Se encuentra ampliamente soportado por los programas actuales, y hace años que estos algoritmos están incorporados para su inclusión en la próxima versión de rfc 4880.
Herramientas
Algunas herramientas o clientes de correo compatibles:
- Claws Mail (cliente de correo multiplataforma);
- Emacs (módulo Easy PG);
- encrypt.to (envío web);
- End-to-end (= abril 2016);
- Enigmail (extensión para los clientes de correo Thunderbird / Postbox);
- Evolution;
- FairEmail;
- FlowCrypt;
- GnuPG = 2.1.0 con libgcrypt = 1.7.0 (abril 2016);
- GnuPG for OS X;
- gpg4o = 5.0;
- Gpg4win = 3.0.0 (septiembre 2017);
- incluye Kleopatra y la extensión para Outlook GpgOL.
- GPG Suite = 2017.1 (septiembre 2017);
- contiene GPG Mail (extensión para Apple Mail).
- K-9 Mail;
- Kleopatra;
- Kontact;
- Mailvelope;
- Mutt / NeoMutt;
- OpenKeychain = 4.9 (febrero 2018);
- OpenPGP.js;
- R2Mail2 = 2.06;
- rnp;
- Sequoia-PGP.
Dispone de más información detallada de uso de PGP en la Guía de cifrado seguro de correo electrónico con PGP.