Cómo respaldar claves PGP de forma segura

Una clave privada PGP es irrecuperable. No hay enlace de "olvidé mi contraseña". Si tu portátil muere y no tienes copia, todos los mensajes cifrados a esa clave se pierden para siempre. Así que haces copia. Pero una clave privada en un disco en la nube está a una brecha de arruinarte. La higiene de copias es una disciplina propia.

El modelo de amenaza

Dos modos de fallo tiran en direcciones opuestas. (1) Pierdes la clave — fallo de disco, portátil perdido, borrado accidental. La copia mitiga eso. (2) Un atacante encuentra tu copia — mala contraseña en la nube, dispositivo robado, adjunto descuidado. La copia crea ese riesgo. La buena práctica satisface ambos: suficientes copias para que perderlas sea improbable y cada copia endurecida contra el compromiso.

Estrategia 1 — Medio offline cifrado

Graba el archivo de clave privada (.asc) en un USB o tarjeta SD cifrados. Usa una frase de paso fuerte y única para el cifrado del disco (VeraCrypt o el cifrado nativo del SO). Guarda el medio en un sitio físico que requiera esfuerzo para acceder — una caja fuerte en casa, una caja de seguridad bancaria, la casa de un familiar de confianza.

Haz al menos dos copias en dos sitios físicos distintos. Una sola copia más un incendio no es mejor que ninguna copia.

Estrategia 2 — Copia en papel

Imprime el .asc armored en papel. Guárdalo en una caja resistente al fuego o lamínalo y séllalo en un sobre con evidencia de manipulación. El papel no se pudre, no se hackea y sobrevive a la muerte de todos tus dispositivos digitales. Herramientas como paperkey producen copias en papel con códigos QR que puedes volver a escanear.

Una copia en papel también está protegida por frase de paso. El .asc está cifrado con tu frase de paso, así que incluso un robo físico no da acceso en claro.

Estrategia 3 — División Shamir

Para claves de alto valor, usa la herramienta Dividir clave para partirla en N partes con reconstrucción K-de-N. Distribuye a partes de confianza o guárdalas en compartimentos geográficamente separados. Una sola parte no filtra nada. La reconstrucción requiere reunir K de ellas. Esto cambia fricción de recuperación por resistencia a una fuga catastrófica.

Útil para claves de uso poco frecuente — una clave de firma corporativa, un plan de herencia, una clave maestra organizativa. Menos útil para tu clave diaria.

El certificado de revocación

Cuando generes una clave, genera también un certificado de revocación y guárdalo aparte. Si tu clave privada se ve comprometida, publicar la revocación le dice al mundo que deje de cifrar a esa clave. Sin él, no tienes forma de invalidar una clave robada.

La herramienta Generar claves emite el certificado de revocación junto con la clave. Guárdalo en otro medio — otro USB, otro archivo en papel, otra caja. Solo puede que lo necesites una vez, pero cuando lo necesitas, lo necesitas de verdad.

Lista de higiene

• Al menos dos copias en dos ubicaciones físicas distintas.
• Cada copia está cifrada — por frase de paso en el .asc o por cifrado completo del medio.
• Certificado de revocación guardado aparte de la clave privada.
• Reprueba la recuperación una vez al año — intenta restaurar desde una de las copias en un dispositivo limpio. Las copias nunca probadas a menudo no funcionan.
• Actualiza las copias siempre que añadas una subclave, extiendas la expiración o cambies la frase de paso.