[Olpc-uruguay] Felices Fiestas !! (OpenPGP)

Jue Ene 5 02:37:45 EST 2012

Antes que nada, paso un video de una charla disertada por la eminencia
Mauricio "coco" Campiglia, en el FLISoL 2008, titulada: (in)Seguridad en
el Correo, que explica amigablemente el tema gpg:

http://vimeo.com/34597171

2012年 01月 04日 水曜日 17:59:47　UYSTに、Eduardo Ricobaldiは書きました:
> Guau, ahora entiendo alguno de los detalles que me faltaban. ¿Porqué
> son tan crípticos?
> Pero vamos suave que esta lista es para gente normal (no anormales,
> como nosotros)
> 
> Entonces hay como 35 servidores similares a los "Certificadores", pero
> no burocráticos.. ¿Como se llaman a ese tipo de repositorio de claves?

No, los certificadores somos cada uno de nosotros, gente como vos, yo y
cualquier otro, que cada tanto firmamos las claves públicas de otras
personas. Reitero, firmar con nuestra clave la clave de la otra
persona, significa actuar a modo de escribano indicando que hemos
verificado que la clave sea de quien dice ser.

Ejemplo: los humanos A, B, C, D crean cada uno su par público privado.
A firma la clave de B, y B firma la clave de C y D, D firma la clave
de B, etc... De esta forma se va formando un grafo, y somos nosotros
que mediante interfaces gráficas (o de consola) determinamos los
parámetros de confianza. Este grafo indica básicamente quién certificó
la identidad de la otra persona, y según los parámetros que elijamos,
nos permite llegar a tener transitividad en la confianza.

Los repositorios de claves, lo único que hacen, es servir a modo de
"hosting" de las claves públicas, y de las firmas de las claves. De
esta forma cuando A firma la clave de B, A sube al servidor (por
ejemplo pgp.mit.edu) la clave de B con la firma hecha por A. Es
entonces que cuando cualquier otra persona baja la clave de B a su
propia máquina, recibe también las firmas hecha a la misma.

> 
> Intento aclarar la cosa. (nunca lo logro)
> 
> Esquema 1) Hay organizaciones llamadas "Certificadoras de firmas
> digital" que guardan tu clave para que no la pierdas, y emiten una
> clave pública que es la que se "publica y todos pueden obtener para
> verificar tus mails (u otros documentos).

Esquema 1. Jerárquico: Se designan ciertas entidades especiales como
certificadoras (CAs), cuya función es firmar las claves públicas, o sea,
garantizar que esa clave es de la persona que dice ser. En este
esquema, los humanos normales (no certificadores) no firmamos claves.

> Esquema 2) Como hay gente que no confía en el Esquema 1, prefieren
> generar su propio certificado y utilizan un servidor (o varios) para
> publicar su clave pública.

Exacto, pero además, no solamente hacemos esto, sino que verificamos
entre nosotros nuestras entidades. Todos nosotros somos en cierta forma
"certificadores" de aquellos a los que le firmamos sus claves.

> El segundo es para gente que confía entre sí y ya se conoce, el
> segundo es cuando se quiere confiar en alguien que no conocés y
> necesitás confiar, o sea necesitás un "garante" o "intermediario de
> confianza". Como nombraban anteriormente los bancos son garantes
> históricos para transacciones internacionales. Y así como el correo
> nacional, cobra por almacenar esa firma, además de pedirte
> credenciales (cédula de identidad o pasaporte) para emitir las firmas.
> Por otro lado el esquema 1 tienen un costo, y el segundo me imagino es
> gratis y logra muchas adhesiones.

En el "segundo" esquema, al momento de firmar también se solicitan
credenciales (cédula de identidad o pasaporte), mucha gente inclusive
pide dos identificaciones.

> 
> Ya cayó uno de los certificadores de Google en Noruega (DigiNotar) y
> lo compararía con Chernobil, porque aunque uno piense que es muy
> lejos, en una máquina que no recibe actualizaciones puede comerse un
> Gmail trucho en cualquier parte del mundo. También hay otro en
> Oceanía que lo borraron del mapa por emitir certificados débiles.
> ¿Se actualizan los certificados en las ceibalitas? O mejor no
> pregunto.
> 
> Al principio estuve por comprar una firma del Correo, porque era
> barata y la compararía a esas suscripciones anuales de la IEEE que
> luego te da lástima borrarte. Por suerte recapacité, anulé las
> sucripciones "Y" no saqué ninguna firma, jajaja. Perdón el
> divague... :P
> 
> En Thunderbid tengo Enigmail, y siempre me daba aviso de firma
> desconocida. Ahora que se que hay otros "certificadores", hice unos
> cuantos clicks mas y logré que me dijera que te conoce. Aunque un
> análisis heurístico de la redacción puede determinar que es tu mail
> sin firma digital. Apuesto que los míos también ;)

:P

> Eduardo Ricobaldi
> Consejo Ubuntu Uruguay
> http://www.ubuntu.org.uy
> 

En resumen: PKI es jerárquico, y de cada CA depende la seguridad de
todo el subárbol. En cambio la red de confianza en OpenPGP es un grafo
generalmente bastante cíclico y con una densidad de enlaces
considerablemente mayor a PKI, donde a modo de p2p, cada nodo (cada uno
de nosotros) es una autoridad certificadora.

En la práctica: Para usar OpenPGP, simplemente nos creamos con gpg una
clave pública privada, la subimos a un servidor de claves, y mientras
la usamos empezamos a firmarnos entre nosotros nuestras propias claves.

Hay dos formas prácticas de firmarse las claves: La más simple es
reunirse con la otra persona, mostrarse mutuamente las
identificaciones (cédula, pasaporte, libreta de conducir, etc), y para
no tener que andar pasándonos la clave pública, simplemente nos pasamos
el finger print, que en mi caso es: 65F3 7850 9FB0 FB47 285F  285B 98FA
0B7E 07A3 8AC6. Después en su casa cada uno se baja la pública del otro
desde internet, verifica que las finger print coincidan, la firma, y
"exporta" la clave (con la nueva firma) a internet.

La otra forma para firmarse las claves es participar de una key signing
party, en donde todo se hace prácticamente igual al caso anterior,
salvo que las comprobaciones persona a persona se hacen de manera
ordenada, y que también se toman medidas para simplificar el pasaje de
los finger print. Pero que en definitiva no es más que una optimización
del proceso anterior.

Btw, hace años que no se hacen key signing parties en Uruguay... Habría
que ponerse las pilas :P

-- 
Francisco Castro
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: no disponible
URL: <http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20120105/678c6f76/attachment.pgp>