[Olpc-uruguay] Felices Fiestas !! (OpenPGP)

Francisco Castro fcr en adinet.com.uy
Mar Ene 3 20:29:44 EST 2012


2012年 01月 02日 月曜日 20:38:04 UYSTに、Eduardo Ricobaldiは書きました:
> Para verificar la firma, se debe publicar la "clave pública" en algún 
> lado que tu destinatario confíe. Un "Certificador".

Hablar de "certificador" como un concepto separado en OpenPGP es algo
como medio absurdo, ya que OpenPGP se basa en el concepto de web of
trust; el cual es relativamente fácil de explicar: Como humanos, somos
bichos que socializamos entre nosotros, establecemos entre pares de
personas relaciones de confianza, que en este caso aplican sobre la
autenticidad de cada clave.

La web of trust depende de que nosotros mismos seamos nuestros propios
certificadores. De esta forma no tenemos que confiar en "entidades"
como "el correo", de las cuales no conocemos sus procedimientos de
seguridad, ni de cuán honestos son sus funcionarios; ni tenemos por qué
hacerlo. Además: ¿Qué pasaría si nos llegamos a dar cuenta que la
seguridad de nuestra entidad certificadora fue vulnerada desde hace
unos años?, obviamente esto haría caer la seguridad de todo el árbol.
En cambio en OpenPGP, como todos los individuos somos nuestras propias
entidades certificadoras, solamente la confianza hacia nuestra propia
clave (y nuestras firmas) se perdería.

Por ejemplo, mi clave no solo está firmada por un "Certificador", sino
por approx 35 certificadores. Para obtener la clave pública depende del
programa que usemos, por ejemplo en el claws-mail alcanza hacer click en
el ícono que tiene una llave en la derecha del correo. Aunque también
se puede hacer por consola. gpg --recv-key 07A38AC6

Cuando la clave se descarga, se descargan también las firmas hechas por
los otros 35 certificadores. Estas firmas indican ­«Yo confío en que la
clave "...07A38AC6" es de Francisco Castro».

En realidad los programas decentes de correos, (MUA por sus siglas en
inglés), como KMail (entre tantos) soportan de forma predeterminada
OpenPGP desde hace añares.

> Si lo mandas en un mail, no cumple su función.

En resumen, lo que manda por mail no es la clave pública, sino la firma
sobre el correo en cuestión. De esta forma cualquier persona puede (a
partir de la referencia en el correo) bajar la pública, y bajar las
firmas hechas por "certificadores" en los que confiamos.

> Como mucho podemos saber que siempre es la misma persona y para la
> mayoría de los casos eso alcanza.
> 

Como mucho sabemos que: el correo fue escrito y mandado por quien dice
ser, el contenido del correo no fue alterado (ni en el camino ni por los
receptores ni por nadie, ni accidentalmente ni adrede)

> He estado detrás de eso hace años, pero la verdad que de las cosas 
> "tecno" esa es prácticamente incomprensible para la gente común,
> incluso para los técnicos.
> 

El problema es que los sistemas de PKI jerárquicos son demasiado
burocráticos, y no dan suficiente seguridad; ya que (por ejemplo, el
correo) en ningún caso me demostró personalmente que sus prácticas de
seguridad eran lo suficientemente confiables como para delegar tal
tarea en ellos.

En cambio en la web of trust puedo configurar en mi propia máquina qué
cantidad de certificadores necesito para lograr confiar transitiva en
una clave, y tener confianza directa a las que yo mismo firme.

> Recientemente se aprobó la infraestructura de firma digital en
> Uruguay. Guau!
> http://www.agesic.gub.uy/innovaportal/v/1840/1/agesic/te_lo_firmo:_se_inauguro_la_pki_uruguay.html

Pensar que la ley 18600 se aprobó en setiembre del 2009. Increíble que
la hayan reglamentado recién.

PD: Disculpas por el largo del mensaje, o por si alguna cosa no se
llega a comprender.

-- 
Francisco Castro
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: no disponible
URL: <http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20120103/bab30b8d/attachment.pgp>


More information about the Olpc-uruguay mailing list