PGP Tool

Aprender · 6 min de lectura

Primeros pasos con Generar Claves — tu primer par de claves, paso a paso

Has abierto la herramienta "Generar Claves" y estás mirando cuatro campos. Aquí explicamos qué hace cada uno y qué elegir si tienes dudas.

Generar un par de claves PGP es una decisión única con la que vivirás durante años. La mayoría de las guías saltan las elecciones y te dicen "solo haz clic en Generar". Esta explica qué hace realmente cada campo, para que los valores por defecto tengan sentido y puedas desviarte conscientemente cuando lo necesites.

Todo lo que sigue ocurre íntegramente en tu navegador. La clave privada nunca abandona tu dispositivo.

Qué estás creando

Dos archivos, generados juntos como un par. La clave pública (.asc) es la dirección que compartes — cualquiera en el mundo puede cifrar mensajes para ti con ella. La clave privada (.asc) es el secreto que guardas — solo ella puede descifrar los mensajes enviados a tu clave pública. Están vinculadas matemáticamente. Si pierdes la clave privada, los mensajes son ilegibles para siempre; si la filtras, tu correspondencia anterior queda expuesta.

Campo 1 — Nombre y correo electrónico

Estos datos se incorporan a la clave como un "User ID" (UID), una etiqueta legible por humanos que viaja con la clave pública. Elige el nombre y el correo que quieras que los demás vean cuando consulten tu clave. El correo no tiene por qué ser la dirección que realmente usas para enviar mensajes — los UIDs sirven para identificar, no para entregar.

Puedes tener varios UIDs en una misma clave (trabajo, personal, seudónimo). Para una primera clave, basta con uno. Nombre real + el correo que quieras asociar más fuertemente a la clave es la opción habitual.

Campo 2 — Algoritmo

El predeterminado es Curve25519. Acéptalo. Es rápido, moderno, tiene claves pequeñas y lo soporta cualquier cliente OpenPGP actual. RSA-3072 y RSA-4096 siguen disponibles para clientes antiguos (algunos tokens de hardware, algunas configuraciones de correo heredadas) — elige RSA solo si un destinatario o dispositivo lo exige explícitamente. Si dudas, el predeterminado es la elección correcta.

Hay un artículo aparte sobre cómo se comparan los algoritmos; este asume que aceptas el predeterminado.

Campo 3 — Frase de contraseña

La frase de contraseña cifra tu archivo de clave privada en reposo. Sin ella, cualquiera que copie tu .asc puede descifrar todos los mensajes que has recibido. Es el dato de seguridad más importante.

Hazla larga. Cinco o seis palabras no relacionadas tomadas de un diccionario (una "frase EFF") es mucho más fuerte que una cadena corta con mayúsculas/minúsculas y símbolos — y más fácil de recordar. El Generador de Contraseñas puede crearte una. Evita cualquier cosa que hayas usado en otro sitio — la reutilización de frases de contraseña es la causa más común de compromiso.

Apúntala en algún lugar físico la primera vez que la pongas. Una frase de contraseña que no puedes recordar es funcionalmente idéntica a una clave privada perdida.

Campo 4 — Expiración

Una fecha de expiración no destruye la clave — le indica a otros clientes que la clave no debería considerarse confiable después de esa fecha. Establecer una (1–2 años es lo habitual) te da un camino elegante para rotar claves sin revocaciones dramáticas. Puedes ampliar la expiración más adelante si decides conservar la clave por más tiempo.

"Nunca expira" también es aceptable para uso casual. La desventaja: si pierdes el acceso sin un certificado de revocación, el mundo seguirá pensando que la clave es válida para siempre.

Después de hacer clic en Generar

Verás tres descargas:

  • Clave pública (.asc) — compártela libremente. Envíala por correo, ponla en tu sitio web, súbela a un keyserver. Cualquiera que quiera escribirte la necesita.
  • Clave privada (.asc) — guárdala con cuidado. Consulta el artículo "Copias de seguridad de claves PGP". Nunca la envíes por correo. Nunca la pegues en herramientas no confiables.
  • Certificado de revocación (.asc) — almacénalo separado de la clave privada. Si la clave privada es robada o perdida, publica la revocación para que el mundo deje de confiar en la clave pública.

Lista para la primera semana

  1. Haz al menos una copia de seguridad fuera de línea de la clave privada (USB cifrado o papel).
  2. Almacena el certificado de revocación en un lugar distinto al de la clave privada.
  3. Comprueba que puedes descifrar: cifra un mensaje de prueba con tu propia clave pública y luego descifralo con la clave privada.
  4. Comparte tu clave pública con una persona y pídele que te envíe un saludo cifrado.
  5. Añade la huella digital de la clave a tu firma de correo o sitio web para que otros puedan verificar que tienen la clave correcta.