🍐 Perivi Yohanesburgo 🍐 5d ago

He leído por aquí varias veces que el cifrado de #Proton Mail solo funciona con Proton y NO es cierto:

- Proton utiliza #WebKeyDirectory para intentar localizar la clave pública del destinatario. (https://wiki.gnupg.org/WKD). De forma resumida: #WKD comprueba el dominio del destinatario por si tiene una web y esta tiene un directorio ".well-known/openpgpkey".

-- Si encuentra una clave pública que tenga la dirección de correo del destinatario asociada con su identidad, cifra el correo con ella.

- Si tienes un dominio propio pero no apunta a ninguna web, puedes apuntar al servidor de claves públicas de #OpenPGP.
(consulta "wkd as a service" https://keys.openpgp.org/about/usage/).

- Y sí, esto también funciona si usas un cliente de correo electrónico compatible con AutoCrypt. (Mozilla Thunderbird, FairEmail…).

Por estas cosas, pese a que Proton obviamente ha abusado del marketing, voy a seguir recomendándolo al público general.

#PGP

Show thread🍐 Perivi Yohanesburgo 🍐 

Por lo visto las claves generadas por Proton añaden a los datos de identidad el correo sin respetar los guiones y los puntos del usuario (pero no del dominio) a las claves disponibles en su servidor.

Es decir, si mi dirección es "[email protected]" o "[email protected]", la clave PGP tendrá asociada "[email protected]". Y si el correo asociado a la llave pública y la del destinatario no coinciden, otros clientes PGP se negarán a usarla.

En otras palabras: generad vuestras *propias claves*. Proton sigue permitiendo subir a sus servidores claves autogeneradas btw.

#Proton #OpenPGP #GPG #OpenKeychain #SequoiaPGP #Mozilla #Thunderbird

6:27pmWeb
Show threadz3r09h ago
@fruitchypear De todas formas yo ya me plantearía cifrar los mails con age y que el destinatario lo descifre por su cuenta
Show thread🍐 Perivi Yohanesburgo 🍐 8h ago

@z3r0 Por muchos problemas de usabilidad que tengan las principales implementaciones de OpenPGP, y por muchos problemas de seguridad que tenga GnuPG (que solventan otras implementaciones como SequoiaPGP), lo cierto es que PGP tiene a su favor que:

- está estandarizado
- está implementado en varios clientes de correo (+mailvelope) y otros programas como Git.
- permite certificar, autenticar (de hecho se puede usar como clave SSH) y firmar
- tiene interfaces gráficas en todos los sistemas operativos

age, minisign y Signal hacen mucho mejor trabajo, desde luego, pero Signal no es interoperable y el resto no son tan versátiles. Además, el correo electrónico no va a desaparecer aunque tengamos alternativas más privadas y seguras, igual que sigue existiendo el fax: prefiero al menos que la gente aprenda usar herramientas que sabemos que van a cumplir un mínimo.

Let's move slow and fix things.