En la actualidad múltiples servicios (ej. WhatsApp, Signal, ProtonMail, GuardedBox…) aseguran proporcionar capacidades de cifrado extremo a extremo (E2EE, End-to-End Encryption), con el objetivo de ofrecer un elevado nivel de protección en el intercambio de información entre sus usuarios, tanto desde el punto de vista de su seguridad, como de su privacidad, e infundir confianza en sus usuarios. Sin embargo, para que el cifrado E2E sea realmente efectivo y se lleve a cabo entre los extremos (o usuarios) legítimos, sin posibilidad de interceptación por parte del servicio (con «zero-trust» o «zero-knowledge») o de potenciales atacantes, es fundamental disponer de la capacidad de gestionar la identidad del otro extremo (de manera correcta y exhaustiva), vinculando en todo momento a este con sus claves criptográficas. Analicemos las capacidades de verificación de identidad de diferentes servicios con E2EE, junto a las diferentes aproximaciones existentes actualmente a este problema, y profundicemos técnicamente en qué capacidades deberían ofrecer estos servicios y en cómo los usuarios deberían realizar la verificación de la identidad de sus contactos, incluyendo los posibles cambios en la identidad criptográfica a lo largo del tiempo, mediante demostraciones prácticas y una implementación de referencia.
