[Olpc-uruguay] Felices Fiestas !! (OpenPGP)

Mie Ene 4 14:59:47 EST 2012

Guau, ahora entiendo alguno de los detalles que me faltaban. ¿Porqué son
tan crípticos?
Pero vamos suave que esta lista es para gente normal (no anormales, como
nosotros)

Entonces hay como 35 servidores similares a los "Certificadores", pero
no burocráticos.. ¿Como se llaman a ese tipo de repositorio de claves?

Intento aclarar la cosa. (nunca lo logro)

Esquema 1) Hay organizaciones llamadas "Certificadoras de firmas
digital" que guardan tu clave para que no la pierdas, y emiten una clave
pública que es la que se "publica y todos pueden obtener para verificar
tus mails (u otros documentos).

Esquema 2) Como hay gente que no confía en el Esquema 1, prefieren
generar su propio certificado y utilizan un servidor (o varios) para
publicar su clave pública.

El segundo es para gente que confía entre sí y ya se conoce, el segundo
es cuando se quiere confiar en alguien que no conocés y necesitás
confiar, o sea necesitás un "garante" o "intermediario de confianza".
Como nombraban anteriormente los bancos son garantes históricos para
transacciones internacionales. Y así como el correo nacional, cobra por
almacenar esa firma, además de pedirte credenciales (cédula de identidad
o pasaporte) para emitir las firmas.
Por otro lado el esquema 1 tienen un costo, y el segundo me imagino es
gratis y logra muchas adhesiones.

Ya cayó uno de los certificadores de Google en Noruega (DigiNotar) y lo
compararía con Chernobil, porque aunque uno piense que es muy lejos, en
una máquina que no recibe actualizaciones puede comerse un Gmail trucho
en cualquier parte del mundo. También hay otro en Oceanía que lo
borraron del mapa por emitir certificados débiles.
¿Se actualizan los certificados en las ceibalitas? O mejor no pregunto.

Al principio estuve por comprar una firma del Correo, porque era barata
y la compararía a esas suscripciones anuales de la IEEE que luego te da
lástima borrarte. Por suerte recapacité, anulé las sucripciones "Y" no
saqué ninguna firma, jajaja. Perdón el divague... :P

En Thunderbid tengo Enigmail, y siempre me daba aviso de firma
desconocida. Ahora que se que hay otros "certificadores", hice unos
cuantos clicks mas y logré que me dijera que te conoce. Aunque un
análisis heurístico de la redacción puede determinar que es tu mail sin
firma digital. Apuesto que los míos también ;)

Eduardo Ricobaldi
Consejo Ubuntu Uruguay
http://www.ubuntu.org.uy

-- 
Enviado desde Ubuntu Linux - 10.04 Lucid Lynx 

El 03/01/12 23:29, Francisco Castro escribió:
> 2012年 01月 02日 月曜日 20:38:04　UYSTに、Eduardo Ricobaldiは書きました:
>> Para verificar la firma, se debe publicar la "clave pública" en algún 
>> lado que tu destinatario confíe. Un "Certificador".
> Hablar de "certificador" como un concepto separado en OpenPGP es algo
> como medio absurdo, ya que OpenPGP se basa en el concepto de web of
> trust; el cual es relativamente fácil de explicar: Como humanos, somos
> bichos que socializamos entre nosotros, establecemos entre pares de
> personas relaciones de confianza, que en este caso aplican sobre la
> autenticidad de cada clave.
>
> La web of trust depende de que nosotros mismos seamos nuestros propios
> certificadores. De esta forma no tenemos que confiar en "entidades"
>