Tuta Mail encripta automáticamente todos los datos que almacena en su buzón de correo de extremo a extremo con algoritmos de encriptación resistentes al quantum. Al enviar correos electrónicos cifrados o invitaciones de calendario cifradas, el cifrado de extremo a extremo se realiza con cifrado asimétrico: con la ayuda de una clave pública y otra privada.

En Tuta, cuando envías un correo electrónico seguro a otro usuario de Tuta, lo encriptas con su clave pública para que sólo él pueda leerlo. No te das cuenta del proceso de cifrado de extremo a extremo, ya que Tuta gestiona el intercambio de claves automáticamente por ti.

Establecer la confianza

Sin embargo, ¿cómo sabes que la clave pública que utilizas al enviarles un correo electrónico cifrado les pertenece realmente? En teoría, un “monstruo en el medio” (MITM) podría darte su propia clave pública y fingir que es la clave de tu destinatario. El atacante podría entonces desencriptar tu mensaje y leerlo antes de reenviarlo a tu destinatario.

La verificación de claves resuelve este problema. Garantiza que el destinatario pueda comprobar que todos los mensajes que envías proceden realmente de ti y que no han sido manipulados.

Verificación de claves en Tuta

La verificación de claves en Tuta debe hacerse manualmente. La verificación manual de claves funciona mejor cuando estás físicamente junto a tu contacto, o cuando podéis autenticaros mutuamente a través de un canal de confianza. Una vez que hayáis verificado las huellas digitales de la clave pública del otro, podéis estar seguros de que todos los mensajes que enviáis están a salvo de ser interceptados.

Puedes verificar la clave pública de uno de los dos de dos maneras:

• escaneando un código QR con la aplicación
• introduciendo la dirección de correo electrónico del destinatario y comparando la huella digital con la que aparece en la configuración de verificación de claves del otro.

Una vez verificada, el cliente Tuta se asegurará de que la clave coincide con la que guardaste como verificada antes de enviarles mensajes.

¿Qué ocurre si no se verifica una clave?

La verificación de claves es opcional, pero te recomendamos encarecidamente que verifiques las claves de tus contactos. Si decides no verificar la clave de un contacto, Tuta utilizará el concepto de TOFU (Trust On First Use).

¿Qué significa TOFU?

Cuando te comunicas por primera vez con alguien en Tuta, tu cliente almacena automáticamente su clave pública, y simplemente asumirá que es válida. A partir de ese momento, Tuta comprobará cada nuevo mensaje que envíes para asegurarse de que la clave no ha cambiado.

• Si la clave sigue siendo la misma, la comunicación continúa sin problemas.

• Si la clave cambia inesperadamente, Tuta te avisará, porque eso podría indicar un riesgo potencial para la seguridad, como un ataque de tipo “monstruo en el medio”.

TOFU hace que la comunicación segura sea fluida sin necesidad de verificación manual. Sin embargo, no es tan seguro como verificar una clave uno mismo, porque en el primer intercambio de correo electrónico no se puede estar seguro al 100% de que nadie haya manipulado la clave.

Por eso, la verificación de claves es lo mejor para obtener la máxima seguridad, mientras que TOFU ofrece una cómoda opción por defecto para los usuarios que no quieran ocuparse de la verificación manual de inmediato.

Máxima seguridad

Una vez que hayas verificado tus contactos, puedes estar seguro de que los mensajes cifrados de extremo a extremo que envíes estarán más seguros que nunca.

Estamos encantados de ofrecerte esta función como parte de nuestra misión de construir el servicio de correo electrónico y calendario más seguro y respetuoso con la privacidad. Tuta Mail y Tuta Calendar te permiten comunicarte en línea de forma confidencial. Con nuestra reciente introducción de la encriptación quantum-resistente combinada con esta actualización para la verificación de claves, nos aseguramos de que tus datos permanezcan seguros, ahora y en el futuro.