¿Para Qué Sirven las Claves de Encriptación?
Cuando usas el operador Encriptar en anonym.plus, cada entidad PII detectada se encripta individualmente usando AES-256-GCM, produciendo un token cifrado que reemplaza el valor original en el documento. La clave de encriptación es lo que hace este proceso reversible.
Las claves habilitan el flujo de trabajo encriptar-compartir-editar-desencriptar: anonimizas un documento con encriptación, lo compartes con colaboradores que pueden editar el texto circundante libremente, recibes el documento modificado de vuelta, y luego desencriptas todos los tokens encriptados intactos para restaurar el PII original. Sin la clave correcta, los tokens encriptados son ilegibles para cualquiera.
Las claves de encriptación se almacenan en una bóveda local en tu máquina. Nunca abandonan el backend Rust — el frontend referencia claves por ID solo, y los valores de clave nunca se exponen a la capa JavaScript o se transmiten a ningún servidor.
Generación y Almacenamiento de Claves
Las claves de encriptación se generan y gestionan en Configuración > Claves de Encriptación. anonym.plus soporta tres longitudes de clave:
- 128-bit — Adecuado para la mayoría de casos de uso. Encriptación y desencriptación más rápida.
- 192-bit — Fortaleza intermedia. Raramente se necesita en la práctica.
- 256-bit (recomendado, predeterminado) — Seguridad máxima. Estándar para uso gubernamental y empresarial. La diferencia de rendimiento respecto a 128-bit es negligible en hardware moderno.
El almacenamiento de clave sigue una arquitectura de conocimiento cero. Los valores de clave nunca abandonan la bóveda local. El frontend referencia claves por ID solo — nunca ve o maneja material de clave cruda. La bóveda misma se encripta con AES-256-GCM, con la clave de encriptación de bóveda derivada de tu contraseña mediante Argon2id (memoria 64 MB, 3 iteraciones, salida 32 bytes). Esto significa que incluso si alguien obtiene acceso al archivo de bóveda en el disco, no puede extraer valores de clave sin tu contraseña.
El Flujo de Trabajo Encriptar-Compartir-Editar-Desencriptar
Este es el flujo de trabajo de colaboración central que las claves de encriptación habilitan:
- Anonimiza con encriptar. Procesa tu documento usando el operador Encriptar con tu clave elegida. Todas las entidades PII detectadas se reemplazan con tokens cifrados AES-256-GCM.
- Comparte el documento anonimizado. Envía el documento por correo electrónico, almacenamiento en la nube, o cualquier otro canal. Los destinatarios ven solo tokens encriptados en lugar de PII — el documento es seguro para transmitir.
- Los colaboradores editan libremente. Los destinatarios pueden agregar texto, reescribir párrafos, insertar comentarios, y modificar el documento alrededor de los fragmentos encriptados. Los tokens encriptados se ven como cadenas opacas y deben dejarse intactos.
- Recibe el documento modificado. Cuando los colaboradores devuelven el documento editado, los tokens encriptados permanecen incrustados en el texto junto al contenido nuevo.
- Desanonimiza. Suelta el documento devuelto en Desanonimizar > Colocación de Archivo. La aplicación automáticamente detecta todos los fragmentos encriptados en el documento.
- Desencripta. Haz clic en Desanonimizar. Todos los fragmentos encriptados intactos se descencriptan usando la clave original, restaurando los valores PII originales en sus posiciones correctas.
Notas importantes: Los fragmentos encriptados deben permanecer intactos para que la desencriptación funcione. El texto circundante puede editarse libremente. Si un colaborador modifica parcialmente un bloque de cifrado (cambia incluso un carácter), ese bloque específico no puede desencriptarse. Los fragmentos faltantes o corrupto son omitidos — la aplicación realiza recuperación parcial, desencriptando todos los tokens intactos y dejando los dañados tal cual.
Especificación de Encriptación
La siguiente tabla detalla la especificación criptográfica completa usada por anonym.plus:
| Parámetro | Valor |
|---|---|
| Algoritmo | AES-256-GCM |
| Nonce | Aleatorio por entidad |
| Longitudes de clave | 128, 192, 256 bit |
| Autenticación | GCM proporciona AEAD (Encriptación Autenticada con Datos Asociados) |
| Almacenamiento de clave | Bóveda local de conocimiento cero |
| Derivación de clave (bóveda) | Argon2id, memoria 64 MB, 3 iteraciones |
| Recuperación | Frase mnemotécnica BIP39 de 24 palabras (256 bits de entropía) |
Cada entidad PII se encripta individualmente con un nonce aleatorio único. Esto significa que valores PII idénticos producen tokens de cifrado diferentes, previniendo ataques de análisis de frecuencia. La etiqueta de autenticación GCM asegura que cualquier manipulación del cifrado se detecta durante la desencriptación.
Rotación de Claves
La rotación de claves genera nuevo material de clave para una entrada de clave existente. Cuando rota una clave:
- Se genera nuevo material de clave criptográfica y reemplaza el valor antiguo.
- El valor de clave antiguo se reemplaza permanentemente — no puede recuperarse después de rotación.
- Los documentos encriptados con el material de clave antiguo requieren la clave antigua para desencriptación. Después de rotación, estos documentos ya no pueden desencriptarse con la clave rotada.
Mejores prácticas para rotación de claves:
- Rota claves periódicamente como parte de tu política de seguridad — trimestral o después de cambios de personal.
- Antes de rotar, asegúrate de que todos los documentos encriptados con la clave actual han sido desencriptados o ya no se necesitan.
- Mantén registros de qué clave encriptó qué documentos. Esto es especialmente importante en flujos de trabajo de lote donde muchos documentos pueden compartir la misma clave.
- Considera crear una clave nueva en lugar de rotar si necesitas mantener acceso a documentos previamente encriptados.
Protección de Bóveda
La bóveda de clave de encriptación usa múltiples capas de protección para asegurar tu material de clave:
- Encriptación de bóveda AES-256-GCM. El archivo de bóveda en el disco se encripta. Incluso con acceso al sistema de archivos, los valores de clave no pueden leerse sin la contraseña de bóveda.
- Derivación de clave Argon2id. La clave de encriptación de bóveda se deriva de tu contraseña usando Argon2id con costo de memoria 64 MB e 3 iteraciones. Esto hace que los ataques de fuerza bruta sean computacionalmente caros.
- Frase de recuperación BIP39 de 24 palabras. Cuando creas la bóveda, se genera una frase mnemotécnica de 24 palabras (256 bits de entropía). Esta frase puede restaurar acceso a la bóveda si olvidas tu contraseña. Almacénala de forma segura sin conexión.
- PIN opcional de 4-8 dígitos. Para conveniencia, puedes establecer un PIN para desbloqueo rápido de bóveda. Después de 3 intentos de PIN fallidos, la bóveda requiere la frase de recuperación completa.
- Bloqueo automático. La bóveda se bloquea automáticamente después de 15 minutos de inactividad. Todo material de clave se pone a cero en memoria al bloquear — no queda dato de clave residual en RAM.
- Puesta a cero de memoria. Cuando la bóveda se bloquea o la aplicación se cierra, todo material de clave se sobrescribe de forma segura en memoria antes de desasignación, previniendo ataques de volcado de memoria.
¿Listo para intentarlo? Ve encriptación en acción →