[Olpc-uruguay] Felices Fiestas !! (OpenPGP)
Sylvia Sánchez
Mapalapa_Igu en yahoo.com.ar
Sab Ene 7 07:15:50 EST 2012
Yo estuve en esa charla y es muy buena. El Coco fue el que me convenció
definitivamente de usar GPG. :-)
El 05/01/12 05:37, Francisco Castro escribió:
> Antes que nada, paso un video de una charla disertada por la eminencia
> Mauricio "coco" Campiglia, en el FLISoL 2008, titulada: (in)Seguridad en
> el Correo, que explica amigablemente el tema gpg:
>
> http://vimeo.com/34597171
>
> 2012? 01? 04? ??? 17:59:47 UYST??Eduardo Ricobaldi??????:
>> Guau, ahora entiendo alguno de los detalles que me faltaban. ¿Porqué
>> son tan crípticos?
>> Pero vamos suave que esta lista es para gente normal (no anormales,
>> como nosotros)
>>
>> Entonces hay como 35 servidores similares a los "Certificadores", pero
>> no burocráticos.. ¿Como se llaman a ese tipo de repositorio de claves?
> No, los certificadores somos cada uno de nosotros, gente como vos, yo y
> cualquier otro, que cada tanto firmamos las claves públicas de otras
> personas. Reitero, firmar con nuestra clave la clave de la otra
> persona, significa actuar a modo de escribano indicando que hemos
> verificado que la clave sea de quien dice ser.
>
> Ejemplo: los humanos A, B, C, D crean cada uno su par público privado.
> A firma la clave de B, y B firma la clave de C y D, D firma la clave
> de B, etc... De esta forma se va formando un grafo, y somos nosotros
> que mediante interfaces gráficas (o de consola) determinamos los
> parámetros de confianza. Este grafo indica básicamente quién certificó
> la identidad de la otra persona, y según los parámetros que elijamos,
> nos permite llegar a tener transitividad en la confianza.
>
> Los repositorios de claves, lo único que hacen, es servir a modo de
> "hosting" de las claves públicas, y de las firmas de las claves. De
> esta forma cuando A firma la clave de B, A sube al servidor (por
> ejemplo pgp.mit.edu) la clave de B con la firma hecha por A. Es
> entonces que cuando cualquier otra persona baja la clave de B a su
> propia máquina, recibe también las firmas hecha a la misma.
>
>> Intento aclarar la cosa. (nunca lo logro)
>>
>> Esquema 1) Hay organizaciones llamadas "Certificadoras de firmas
>> digital" que guardan tu clave para que no la pierdas, y emiten una
>> clave pública que es la que se "publica y todos pueden obtener para
>> verificar tus mails (u otros documentos).
> Esquema 1. Jerárquico: Se designan ciertas entidades especiales como
> certificadoras (CAs), cuya función es firmar las claves públicas, o sea,
> garantizar que esa clave es de la persona que dice ser. En este
> esquema, los humanos normales (no certificadores) no firmamos claves.
>
>> Esquema 2) Como hay gente que no confía en el Esquema 1, prefieren
>> generar su propio certificado y utilizan un servidor (o varios) para
>> publicar su clave pública.
> Exacto, pero además, no solamente hacemos esto, sino que verificamos
> entre nosotros nuestras entidades. Todos nosotros somos en cierta forma
> "certificadores" de aquellos a los que le firmamos sus claves.
>
>> El segundo es para gente que confía entre sí y ya se conoce, el
>> segundo es cuando se quiere confiar en alguien que no conocés y
>> necesitás confiar, o sea necesitás un "garante" o "intermediario de
>> confianza". Como nombraban anteriormente los bancos son garantes
>> históricos para transacciones internacionales. Y así como el correo
>> nacional, cobra por almacenar esa firma, además de pedirte
>> credenciales (cédula de identidad o pasaporte) para emitir las firmas.
>> Por otro lado el esquema 1 tienen un costo, y el segundo me imagino es
>> gratis y logra muchas adhesiones.
> En el "segundo" esquema, al momento de firmar también se solicitan
> credenciales (cédula de identidad o pasaporte), mucha gente inclusive
> pide dos identificaciones.
>
>> Ya cayó uno de los certificadores de Google en Noruega (DigiNotar) y
>> lo compararía con Chernobil, porque aunque uno piense que es muy
>> lejos, en una máquina que no recibe actualizaciones puede comerse un
>> Gmail trucho en cualquier parte del mundo. También hay otro en
>> Oceanía que lo borraron del mapa por emitir certificados débiles.
>> ¿Se actualizan los certificados en las ceibalitas? O mejor no
>> pregunto.
>>
>> Al principio estuve por comprar una firma del Correo, porque era
>> barata y la compararía a esas suscripciones anuales de la IEEE que
>> luego te da lástima borrarte. Por suerte recapacité, anulé las
>> sucripciones "Y" no saqué ninguna firma, jajaja. Perdón el
>> divague... :P
>>
>> En Thunderbid tengo Enigmail, y siempre me daba aviso de firma
>> desconocida. Ahora que se que hay otros "certificadores", hice unos
>> cuantos clicks mas y logré que me dijera que te conoce. Aunque un
>> análisis heurístico de la redacción puede determinar que es tu mail
>> sin firma digital. Apuesto que los míos también ;)
> :P
>
>> Eduardo Ricobaldi
>> Consejo Ubuntu Uruguay
>> http://www.ubuntu.org.uy
>>
> En resumen: PKI es jerárquico, y de cada CA depende la seguridad de
> todo el subárbol. En cambio la red de confianza en OpenPGP es un grafo
> generalmente bastante cíclico y con una densidad de enlaces
> considerablemente mayor a PKI, donde a modo de p2p, cada nodo (cada uno
> de nosotros) es una autoridad certificadora.
>
> En la práctica: Para usar OpenPGP, simplemente nos creamos con gpg una
> clave pública privada, la subimos a un servidor de claves, y mientras
> la usamos empezamos a firmarnos entre nosotros nuestras propias claves.
>
> Hay dos formas prácticas de firmarse las claves: La más simple es
> reunirse con la otra persona, mostrarse mutuamente las
> identificaciones (cédula, pasaporte, libreta de conducir, etc), y para
> no tener que andar pasándonos la clave pública, simplemente nos pasamos
> el finger print, que en mi caso es: 65F3 7850 9FB0 FB47 285F 285B 98FA
> 0B7E 07A3 8AC6. Después en su casa cada uno se baja la pública del otro
> desde internet, verifica que las finger print coincidan, la firma, y
> "exporta" la clave (con la nueva firma) a internet.
>
> La otra forma para firmarse las claves es participar de una key signing
> party, en donde todo se hace prácticamente igual al caso anterior,
> salvo que las comprobaciones persona a persona se hacen de manera
> ordenada, y que también se toman medidas para simplificar el pasaje de
> los finger print. Pero que en definitiva no es más que una optimización
> del proceso anterior.
>
> Btw, hace años que no se hacen key signing parties en Uruguay... Habría
> que ponerse las pilas :P
>
>
>
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay en lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20120107/9fc31e43/attachment.html>
More information about the Olpc-uruguay
mailing list