¿Por qué una passphrase si mi clave privada está en un archivo?

Sin passphrase, **cualquiera que consiga el archivo** (un portátil robado, una fuga de backup) puede leer tu correo y firmar commits como tú. Una passphrase **envuelve la clave privada en otra capa de cifrado**. Sin la passphrase el archivo es inútil. Es estándar del sector.

¿Cuál es la diferencia entre clave pública y privada?

**La clave pública la das a todos** (en tu firma de correo, en GitHub, en la página de tu empresa). Cualquiera puede usarla para cifrarte un mensaje. **La clave privada solo la guardas tú** (en tu portátil, idealmente en un token hardware YubiKey). Solo tú puedes descifrar mensajes cifrados con la pública. Asimetría = seguridad.

¿Qué son el fingerprint y el key ID?

El **fingerprint** es una cadena hex de 40 caracteres (SHA-1 de toda la clave), tu "huella criptográfica" única. El **key ID** son los últimos 16 caracteres del fingerprint, la versión corta que muestran las UI. Cuando alguien te entrega una clave con "mi clave: 1A2B 3C4D ...", **verifica el fingerprint** antes de confiar a ciegas (los ataques MITM cambian claves en silencio).

¿Puedo cambiar la passphrase después?

Sí, pero **no en esta herramienta**: esta solo genera. En GnuPG (`gpg --edit-key`), en los ajustes de ProtonMail, también en Keybase. La clave privada en sí se queda igual, solo cambia el envoltorio.

¿Y si pierdo mi clave privada?

**No podrás descifrar mensajes antiguos**, nunca. Eso es lo que hace fuerte a PGP. Práctica estándar: **genera un certificado de revocación inmediatamente** tras crear la clave y guárdalo a buen recaudo. Si pierdes la clave, publica el certificado para avisar al mundo de que tu clave pública está quemada. Aquí no generamos certificado de revocación (avanzado), hazlo con GnuPG.

La clave expiró, ¿qué hago?

Genera una nueva, publícala y anúnciala en tu blog/Twitter como tu nueva clave. La **clave antigua sigue descifrando mensajes antiguos**, no pierdes historial. La expiración es una **red de seguridad** por si pierdes el acceso o te olvidas de la clave.

¿Vuestro servidor ve mis claves?

**No**. La generación ocurre íntegramente en tu navegador (la librería OpenPGP.js, el mismo código que usa ProtonMail). Abre **DevTools → Network** y verás cero peticiones durante la generación. Nuestro servidor solo entrega HTML/JS/CSS estático.

¿Puedo usar esta clave en GnuPG / Thunderbird / ProtonMail?

Sí, **las claves siguen el estándar OpenPGP** (RFC 4880), formato ASCII "armored". En GnuPG: `gpg --import private.asc`. En Thunderbird: Ajustes → Cifrado End-to-End → OpenPGP → Importar. En ProtonMail: Ajustes → Cifrado y claves → Importar.

¿Esto sustituye a S/MIME?

PGP y S/MIME resuelven el mismo problema (correo cifrado) pero son **incompatibles**. S/MIME usa certificados X.509 (como HTTPS, CA jerárquicas), PGP usa la "Web of Trust" (red de confianza peer-to-peer). PGP domina entre desarrolladores y organizaciones de privacidad (EFF, Tor, ProtonMail), S/MIME domina en Outlook/Microsoft 365 corporativo.

Generador de par de claves PGP - gratis

Generador de par de claves PGP

Genera un par de claves OpenPGP para cifrar correo, firmar commits de Git y verificar software. Todo el cálculo se ejecuta en tu navegador.

Generador de par de claves PGP

Correo

Comentario (opcional)

Passphrase de la clave privada (opcional)

Sin una passphrase, cualquiera con acceso al archivo de la clave privada puede suplantarte. Te recomendamos encarecidamente establecer una.

Curva / algoritmo

Caducidad de la clave

Todo se ejecuta localmente. La clave privada nunca sale del navegador.

¿Qué es una clave PGP y por qué la necesitas?

PGP sigue siendo el estándar que usas para proteger correo privado (ProtonMail), firmar commits de Git en GitHub y verificar la autenticidad de software (kernel de Linux, Ubuntu, releases firmadas de paquetes). Generas un par de claves: una clave pública (la repartes a todos) y una clave privada (te la quedas tú). Cualquiera puede cifrarte un mensaje con tu clave pública, pero solo tú puedes leerlo.

Aquí generas el par directamente en tu navegador. Elige Ed25519 (la curva elíptica moderna y rápida) o el clásico RSA-2048/4096 (compatibilidad con cualquier herramienta antigua). Las claves salen en formato ASCII "armored", así que puedes pegarlas directamente en Gmail, GitHub o Keybase.

Todo se ejecuta en tu navegador. La clave privada no sale nunca de tu dispositivo. Esa es la regla central de PGP: solo tú conoces la clave privada.

Cómo usar

Introduce tu nombre y correo: esos campos quedan embebidos en la clave pública como "User ID".

Opcionalmente introduce un comentario (p. ej. "GitHub", "trabajo", "personal") si mantienes varias claves para distintos propósitos.

Passphrase para la clave privada: muy recomendado. Sin ella, cualquiera con acceso al archivo puede firmar commits en tu nombre.

Elige la curva: Ed25519 para uso moderno (GitHub, ProtonMail), RSA-2048 para sistemas heredados, RSA-4096 cuando quieras el mayor margen de seguridad (la generación tarda unos segundos).

Elige la expiración: 1, 2, 5 años o nunca. Una expiración corta es mejor práctica; la clave se puede rotar o revocar.

Pulsa Generar. Obtienes una clave pública, una clave privada, el fingerprint (identificador corto) y el key ID.

Cuándo usarla

Seis situaciones comunes en las que una clave PGP resuelve el problema:

Cifrar correo en ProtonMail/Tutanota/Thunderbird. Intercambia claves públicas con un amigo; a partir de ahí ambos podéis cifrar el uno para el otro.
Firmar commits de Git en GitHub. Añade la clave pública a tu cuenta y los commits reciben un badge verde "Verified".
Verificar la firma de un paquete de Linux. La firma PGP prueba que el paquete viene del autor original (apt-get, pacman).
Identidad en Keybase, servidor de claves de ProtonMail, GitHub. Tu clave pública es tu identidad criptográfica.
Hacer backup de una contraseña o clave de API. Cifra el archivo con tu propia clave pública; incluso puedes empujarlo a un repo público sin riesgo.
Filtraciones anónimas. Periodistas y organizaciones (Wikileaks, ProPublica) publican su clave pública para que las fuentes puedan enviar documentos con seguridad.

Para cifrar texto sin claves (solo con contraseña), usa cifrado AES. Para firmar JWT mira el firmador/verificador JWT.

Preguntas y respuestas

Ed25519 es el default moderno. Claves más pequeñas (256 bits frente a RSA-4096), generación más rápida (milisegundos frente a segundos), igual de fuerte. Elige RSA solo si tienes que soportar algún sistema heredado que no entienda Ed25519 (raro en 2025). GitHub, GPG 2.1+ y ProtonMail aceptan todos Ed25519.

¿Qué es una clave PGP y por qué la necesitas?

Todo se ejecuta en tu navegador. La clave privada no sale nunca de tu dispositivo. Esa es la regla central de PGP: solo tú conoces la clave privada.

Cómo usar

Introduce tu nombre y correo: esos campos quedan embebidos en la clave pública como "User ID".

Opcionalmente introduce un comentario (p. ej. "GitHub", "trabajo", "personal") si mantienes varias claves para distintos propósitos.

Passphrase para la clave privada: muy recomendado. Sin ella, cualquiera con acceso al archivo puede firmar commits en tu nombre.

Elige la expiración: 1, 2, 5 años o nunca. Una expiración corta es mejor práctica; la clave se puede rotar o revocar.

Pulsa Generar. Obtienes una clave pública, una clave privada, el fingerprint (identificador corto) y el key ID.

Cuándo usarla

Seis situaciones comunes en las que una clave PGP resuelve el problema:

Cifrar correo en ProtonMail/Tutanota/Thunderbird. Intercambia claves públicas con un amigo; a partir de ahí ambos podéis cifrar el uno para el otro.
Firmar commits de Git en GitHub. Añade la clave pública a tu cuenta y los commits reciben un badge verde "Verified".
Verificar la firma de un paquete de Linux. La firma PGP prueba que el paquete viene del autor original (apt-get, pacman).
Identidad en Keybase, servidor de claves de ProtonMail, GitHub. Tu clave pública es tu identidad criptográfica.
Hacer backup de una contraseña o clave de API. Cifra el archivo con tu propia clave pública; incluso puedes empujarlo a un repo público sin riesgo.
Filtraciones anónimas. Periodistas y organizaciones (Wikileaks, ProPublica) publican su clave pública para que las fuentes puedan enviar documentos con seguridad.

Para cifrar texto sin claves (solo con contraseña), usa cifrado AES. Para firmar JWT mira el firmador/verificador JWT.

Preguntas y respuestas

Generador de par de claves PGP

¿Qué es una clave PGP y por qué la necesitas?

Cómo usar

Cuándo usarla

Preguntas y respuestas

Herramientas relacionadas

Generador de par de claves JWT

Generador de CSR

AES Cifrar / Descifrar

Generador de par de claves DKIM

Firmador / verificador JWT

Generador de par de claves PGP

¿Qué es una clave PGP y por qué la necesitas?

Cómo usar

Cuándo usarla

Preguntas y respuestas

Herramientas relacionadas

Generador de par de claves JWT

Generador de CSR

AES Cifrar / Descifrar

Generador de par de claves DKIM

Firmador / verificador JWT