PGP Tool

Aprender · 6 min de lectura · 2026-04-12

Cómo importar y verificar una clave pública

Cualquiera puede afirmar que publica una clave pública PGP. Verificarla antes de cifrar evita que envíes secretos a la persona equivocada. Aquí está el flujo.

Importar una clave pública es trivial — pégala en el Inspector de claves y ya la tienes. La verificación es donde la mayoría se detiene y donde ocurren la mayoría de los fallos. Un mensaje firmado para el destinatario equivocado no es mejor que no cifrar nada.

Este artículo recorre las dos mitades: obtener la clave, confirmar que es la correcta y luego usarla.

Qué es realmente una clave pública

Una clave pública es un bloque largo de ASCII armored que cualquiera puede tener. Contiene el algoritmo, la huella, las identidades (nombres + correos) y fechas de creación/expiración. La huella — una cadena hexadecimal de 40 caracteres — es la única parte que debes tratar como identificador canónico. El creador de la clave puede poner cualquier valor en nombres y correos.

Paso 1 — Obtener la clave

  • Desde un keyserver: keys.openpgp.org es el keyserver moderno. Busca por correo o huella y copia el bloque armored.
  • Desde el sitio web del destinatario: muchas personas publican su clave pública en una página personal o en /.well-known/openpgpkey/.
  • Desde una firma de correo: algunos incrustan su clave pública en el pie de sus mensajes.
  • En persona: si os veis, intercambiad huellas vía USB o código QR y evitad la red por completo.

Paso 2 — Inspeccionarla

  1. Abre la herramienta Inspector de claves.
  2. Pega el bloque de clave armored.
  3. Lee la huella, la fecha de expiración, el tipo de clave y las identidades.
  4. Anota la huella — esa cadena hex de 40 caracteres — en algún lugar seguro.

Paso 3 — Verificar la huella

Este es el paso que convierte "tengo una clave que dice ser de Alice" en "tengo la clave de Alice". Compara la huella que ves con una obtenida por un canal distinto — una tarjeta de visita impresa, una bio publicada, un registro de transparencia, una llamada telefónica donde Alice la lee en voz alta. Si coinciden, la clave es genuina.

Si las huellas no coinciden, no cifres con esa clave. O bien la versión importada es falsa, o lo es la del otro canal. Investiga antes de enviar nada sensible.

Paso 4 — Usarla

Una vez verificada, la clave es segura para usar en Cifrar, Cifrador JSON, Cifrar archivo o cualquier otra herramienta que acepte una clave pública. Guarda la huella junto a la clave en tus notas para no tener que repetir la verificación la próxima vez.