[Olpc-uruguay] Felices Fiestas !! (OpenPGP)

Sylvia Mapalapa_Igu en yahoo.com.ar
Mie Ene 4 21:14:02 EST 2012 

Eduardo:
		A ver, estás confundiendo conceptos.  Una cosa son los 
certificados que son cosas que emiten, sí, entidades y empresas y 
que en términos generales no lo usan los individuos particulares,  y 
otra es el PGP/OpenPGP/ GPG que son las firmas digitales que sí 
las usan los individuos particulares.  
	El tema es así:  para cuestiones comerciales, trámites públicos, 
etc., existen los certificados digitales que sirven para decir que 
determinado sitio es seguro y de confianza.  Estos certificados no 
son de utilidad práctica para los individuos comunes y silvestres, 
por tanto no son ellos (nosotros) los que deben sacar esos 
certificados.  Los certificados nosotros los usamos en la medida en 
que Firefox chequea los sitios, los certificados y los certificadores y 
discrimina entre webs confiables y no confiables.  Punto.  
Nosotros, en tanto usuarios, no tenemos que sacarnos nada ni 
hacer nada.
	Por otro lado, para el relacionamiento humano diario están 
las firmas digitales.  Una firma digital sirve tanto para firmar el 
correo como para cifrarlo/descifrarlo.  A la firma digital la creo yo 
con mi computadora, generando dos llaves:  una pública y una 
privada.  La pública la subo a un servidor PGP (uno cualquiera, 
después se sincronizan entre sí) y la privada la guardo con 
contraseña en mi computadora.  Llegado el momento, yo puedo 
firmar mis correos  (demostrando que soy yo y no un spam o 
cualquier otra persona haciéndose pasar por mí), cifrar algunos 
correos para que sólo puedan leerlos determinados destinatarios y 
descifrar los correos que me envíen.
Lo que genera confianza de esa clave es que vos, como conocés esa 
persona y sabés que es esa y no otra, firmás la clave pública.  A su 
vez esa otra persona, firma la tuya.  Cada una de las personas que 
firma la clave pública está diciendo  "Confió en él.  Es quien dice 
ser".  Si yo importo las claves públicas de esas otras personas, 
puedo enviarle un correo cifrado que sólo podrá leer esa o esas 
persona/s y nadie más.  ¿Por qué?  Porque al tratar de abrir el 
correo el programa pide la contraseña y si la contraseña es 
incorrecta o no tiene la clave pública de la otra persona dentro de 
su anillo de confianza lo único que se puede ver es una jerigonza 
sin sentido.  En cambio, si la contraseña es correcta y la clave 
pública del que te envía el correo está en tu anillo de confianza, el 
correo se muestra tal cual es.  
	No existen las entidades certificadoras en este sistema; todos 
somos "certificadores" toda vez que firmamos la clave pública de 
alguien mostrando a los demás  "Esta persona es quien dice ser".


	Disculpen lo largo del mail.  Espero que se haya entendido, es 
un poco tarde para mí.


Un abrazo, feliz año
Sylvia S.


On Mié 04 Ene 2012 17:59:47 Eduardo Ricobaldi escribió:
> Guau, ahora entiendo alguno de los detalles que me faltaban. 
¿Porqué son
> tan crípticos?
> Pero vamos suave que esta lista es para gente normal (no 
anormales, como
> nosotros)
> 
> Entonces hay como 35 servidores similares a los "Certificadores", 
pero
> no burocráticos.. ¿Como se llaman a ese tipo de repositorio de 
claves?
> 
> Intento aclarar la cosa. (nunca lo logro)
> 
> Esquema 1) Hay organizaciones llamadas "Certificadoras de 
firmas
> digital" que guardan tu clave para que no la pierdas, y emiten 
una clave
> pública que es la que se "publica y todos pueden obtener para 
verificar
> tus mails (u otros documentos).
> 
> Esquema 2) Como hay gente que no confía en el Esquema 1, 
prefieren
> generar su propio certificado y utilizan un servidor (o varios) 
para
> publicar su clave pública.
> 
> El segundo es para gente que confía entre sí y ya se conoce, el 
segundo
> es cuando se quiere confiar en alguien que no conocés y 
necesitás
> confiar, o sea necesitás un "garante" o "intermediario de 
confianza".
> Como nombraban anteriormente los bancos son garantes 
históricos para
> transacciones internacionales. Y así como el correo nacional, 
cobra por
> almacenar esa firma, además de pedirte credenciales (cédula de 
identidad
> o pasaporte) para emitir las firmas.
> Por otro lado el esquema 1 tienen un costo, y el segundo me 
imagino es
> gratis y logra muchas adhesiones.
> 
> Ya cayó uno de los certificadores de Google en Noruega 
(DigiNotar) y lo
> compararía con Chernobil, porque aunque uno piense que es 
muy lejos, en
> una máquina que no recibe actualizaciones puede comerse un 
Gmail trucho
> en cualquier parte del mundo. También hay otro en Oceanía que 
lo
> borraron del mapa por emitir certificados débiles.
> ¿Se actualizan los certificados en las ceibalitas? O mejor no 
pregunto.
> 
> Al principio estuve por comprar una firma del Correo, porque 
era barata
> y la compararía a esas suscripciones anuales de la IEEE que 
luego te da
> lástima borrarte. Por suerte recapacité, anulé las sucripciones "Y" 
no
> saqué ninguna firma, jajaja. Perdón el divague... :P
> 
> En Thunderbid tengo Enigmail, y siempre me daba aviso de 
firma
> desconocida. Ahora que se que hay otros "certificadores", hice 
unos
> cuantos clicks mas y logré que me dijera que te conoce. Aunque 
un
> análisis heurístico de la redacción puede determinar que es tu 
mail sin
> firma digital. Apuesto que los míos también ;)
> 
> 
> Eduardo Ricobaldi
> Consejo Ubuntu Uruguay
> http://www.ubuntu.org.uy
> 
> > 2012年 01月 02日 月曜日 20:38:04 UYSTに、Eduardo 
Ricobaldiは書きました:
> >> Para verificar la firma, se debe publicar la "clave pública" en 
algún
> >> lado que tu destinatario confíe. Un "Certificador".
> > 
> > Hablar de "certificador" como un concepto separado en 
OpenPGP es algo
> > como medio absurdo, ya que OpenPGP se basa en el concepto 
de web of
> > trust; el cual es relativamente fácil de explicar: Como 
humanos, somos
> > bichos que socializamos entre nosotros, establecemos entre 
pares de
> > personas relaciones de confianza, que en este caso aplican 
sobre la
> > autenticidad de cada clave.
> > 
> > La web of trust depende de que nosotros mismos seamos 
nuestros propios
> > certificadores. De esta forma no tenemos que confiar en 
"entidades"
> 
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay en lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20120105/624bfffe/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 490 bytes
Desc: This is a digitally signed message part.
URL: <http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20120105/624bfffe/attachment-0001.pgp>

More information about the Olpc-uruguay mailing list