<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<font face="Utopia"><br>
<br>
Yo estuve en esa charla y es muy buena. El Coco fue el que me
convenció definitivamente de usar GPG. <span
class="moz-smiley-s1"><span> :-) </span></span><br>
<br>
<br>
</font><br>
El 05/01/12 05:37, Francisco Castro escribió:
<blockquote cite="mid:20120105053745.36aa93a2@konata.mvdl"
type="cite">
<pre wrap="">Antes que nada, paso un video de una charla disertada por la eminencia
Mauricio "coco" Campiglia, en el FLISoL 2008, titulada: (in)Seguridad en
el Correo, que explica amigablemente el tema gpg:
<a class="moz-txt-link-freetext" href="http://vimeo.com/34597171">http://vimeo.com/34597171</a>
2012年 01月 04日 水曜日 17:59:47 UYSTに、Eduardo Ricobaldiは書きました:
</pre>
<blockquote type="cite">
<pre wrap="">Guau, ahora entiendo alguno de los detalles que me faltaban. ¿Porqué
son tan crípticos?
Pero vamos suave que esta lista es para gente normal (no anormales,
como nosotros)
Entonces hay como 35 servidores similares a los "Certificadores", pero
no burocráticos.. ¿Como se llaman a ese tipo de repositorio de claves?
</pre>
</blockquote>
<pre wrap="">
No, los certificadores somos cada uno de nosotros, gente como vos, yo y
cualquier otro, que cada tanto firmamos las claves públicas de otras
personas. Reitero, firmar con nuestra clave la clave de la otra
persona, significa actuar a modo de escribano indicando que hemos
verificado que la clave sea de quien dice ser.
Ejemplo: los humanos A, B, C, D crean cada uno su par público privado.
A firma la clave de B, y B firma la clave de C y D, D firma la clave
de B, etc... De esta forma se va formando un grafo, y somos nosotros
que mediante interfaces gráficas (o de consola) determinamos los
parámetros de confianza. Este grafo indica básicamente quién certificó
la identidad de la otra persona, y según los parámetros que elijamos,
nos permite llegar a tener transitividad en la confianza.
Los repositorios de claves, lo único que hacen, es servir a modo de
"hosting" de las claves públicas, y de las firmas de las claves. De
esta forma cuando A firma la clave de B, A sube al servidor (por
ejemplo pgp.mit.edu) la clave de B con la firma hecha por A. Es
entonces que cuando cualquier otra persona baja la clave de B a su
propia máquina, recibe también las firmas hecha a la misma.
</pre>
<blockquote type="cite">
<pre wrap="">
Intento aclarar la cosa. (nunca lo logro)
Esquema 1) Hay organizaciones llamadas "Certificadoras de firmas
digital" que guardan tu clave para que no la pierdas, y emiten una
clave pública que es la que se "publica y todos pueden obtener para
verificar tus mails (u otros documentos).
</pre>
</blockquote>
<pre wrap="">
Esquema 1. Jerárquico: Se designan ciertas entidades especiales como
certificadoras (CAs), cuya función es firmar las claves públicas, o sea,
garantizar que esa clave es de la persona que dice ser. En este
esquema, los humanos normales (no certificadores) no firmamos claves.
</pre>
<blockquote type="cite">
<pre wrap="">Esquema 2) Como hay gente que no confía en el Esquema 1, prefieren
generar su propio certificado y utilizan un servidor (o varios) para
publicar su clave pública.
</pre>
</blockquote>
<pre wrap="">
Exacto, pero además, no solamente hacemos esto, sino que verificamos
entre nosotros nuestras entidades. Todos nosotros somos en cierta forma
"certificadores" de aquellos a los que le firmamos sus claves.
</pre>
<blockquote type="cite">
<pre wrap="">El segundo es para gente que confía entre sí y ya se conoce, el
segundo es cuando se quiere confiar en alguien que no conocés y
necesitás confiar, o sea necesitás un "garante" o "intermediario de
confianza". Como nombraban anteriormente los bancos son garantes
históricos para transacciones internacionales. Y así como el correo
nacional, cobra por almacenar esa firma, además de pedirte
credenciales (cédula de identidad o pasaporte) para emitir las firmas.
Por otro lado el esquema 1 tienen un costo, y el segundo me imagino es
gratis y logra muchas adhesiones.
</pre>
</blockquote>
<pre wrap="">
En el "segundo" esquema, al momento de firmar también se solicitan
credenciales (cédula de identidad o pasaporte), mucha gente inclusive
pide dos identificaciones.
</pre>
<blockquote type="cite">
<pre wrap="">
Ya cayó uno de los certificadores de Google en Noruega (DigiNotar) y
lo compararía con Chernobil, porque aunque uno piense que es muy
lejos, en una máquina que no recibe actualizaciones puede comerse un
Gmail trucho en cualquier parte del mundo. También hay otro en
Oceanía que lo borraron del mapa por emitir certificados débiles.
¿Se actualizan los certificados en las ceibalitas? O mejor no
pregunto.
Al principio estuve por comprar una firma del Correo, porque era
barata y la compararía a esas suscripciones anuales de la IEEE que
luego te da lástima borrarte. Por suerte recapacité, anulé las
sucripciones "Y" no saqué ninguna firma, jajaja. Perdón el
divague... :P
En Thunderbid tengo Enigmail, y siempre me daba aviso de firma
desconocida. Ahora que se que hay otros "certificadores", hice unos
cuantos clicks mas y logré que me dijera que te conoce. Aunque un
análisis heurístico de la redacción puede determinar que es tu mail
sin firma digital. Apuesto que los míos también ;)
</pre>
</blockquote>
<pre wrap="">
:P
</pre>
<blockquote type="cite">
<pre wrap="">Eduardo Ricobaldi
Consejo Ubuntu Uruguay
<a class="moz-txt-link-freetext" href="http://www.ubuntu.org.uy">http://www.ubuntu.org.uy</a>
</pre>
</blockquote>
<pre wrap="">
En resumen: PKI es jerárquico, y de cada CA depende la seguridad de
todo el subárbol. En cambio la red de confianza en OpenPGP es un grafo
generalmente bastante cíclico y con una densidad de enlaces
considerablemente mayor a PKI, donde a modo de p2p, cada nodo (cada uno
de nosotros) es una autoridad certificadora.
En la práctica: Para usar OpenPGP, simplemente nos creamos con gpg una
clave pública privada, la subimos a un servidor de claves, y mientras
la usamos empezamos a firmarnos entre nosotros nuestras propias claves.
Hay dos formas prácticas de firmarse las claves: La más simple es
reunirse con la otra persona, mostrarse mutuamente las
identificaciones (cédula, pasaporte, libreta de conducir, etc), y para
no tener que andar pasándonos la clave pública, simplemente nos pasamos
el finger print, que en mi caso es: 65F3 7850 9FB0 FB47 285F 285B 98FA
0B7E 07A3 8AC6. Después en su casa cada uno se baja la pública del otro
desde internet, verifica que las finger print coincidan, la firma, y
"exporta" la clave (con la nueva firma) a internet.
La otra forma para firmarse las claves es participar de una key signing
party, en donde todo se hace prácticamente igual al caso anterior,
salvo que las comprobaciones persona a persona se hacen de manera
ordenada, y que también se toman medidas para simplificar el pasaje de
los finger print. Pero que en definitiva no es más que una optimización
del proceso anterior.
Btw, hace años que no se hacen key signing parties en Uruguay... Habría
que ponerse las pilas :P
</pre>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
Olpc-uruguay mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Olpc-uruguay@lists.laptop.org">Olpc-uruguay@lists.laptop.org</a>
<a class="moz-txt-link-freetext" href="http://lists.laptop.org/listinfo/olpc-uruguay">http://lists.laptop.org/listinfo/olpc-uruguay</a>
</pre>
</blockquote>
</body>
</html>