Por qué importa el cifrado del lado del cliente

Muchos servicios anuncian "cifrado". Casi todos se refieren al cifrado en tránsito (HTTPS) y cifrado en reposo. Ambas son prácticas razonables. Ninguna oculta tus datos a las personas que gestionan el servicio.

Dónde está el límite

El cifrado protege datos de alguien fuera del límite de confianza. Si el límite es "de tu portátil al servidor", entonces HTTPS lo mantiene privado de tu ISP — pero el servidor ve el texto en claro. Si el límite es "solo tu portátil", el servidor solo ve texto cifrado que no puede leer.

El cifrado del lado del cliente significa el segundo límite. Tus datos se cifran antes de salir de tu máquina, y las claves para descifrarlos nunca existen en un servidor.

Qué significa "lado del cliente" en esta aplicación

• Cada llamada de cifrado/descifrado se ejecuta en tu navegador usando OpenPGP.js o Web Crypto.
• Las claves privadas viven en la memoria de tu navegador solo durante la operación; nunca se envían a ningún lugar.
• No hay backend. El servidor solo entrega HTML, JS y CSS — sin API, sin cuentas de usuario.
• Puedes verificarlo. Abre las herramientas de desarrollo → pestaña Red. Con el modo sin conexión activado, no se realizan peticiones salientes.

La contrapartida

El cifrado del lado del cliente desplaza el límite de confianza hacia tu máquina. Si tu navegador está comprometido, o la aplicación se sirve desde un servidor con MITM, pierdes. Por eso este sitio es de código abierto, tiene una CSP y se sirve sobre HTTPS. También puedes clonar el repositorio y ejecutarlo localmente.

Conveniencia versus confianza es la compensación fundamental. Los servicios del lado del servidor son más cómodos — sincronización, recuperación, restablecimiento de contraseña — a costa de confiar en un operador. Los servicios del lado del cliente son más fríos — si pierdes tu clave, pierdes tus datos — pero el operador no puede traicionarte.