Re: Firmar clave GnuPG
>> Amaya <amaya@debian.org> writes:
> Alguien habló en d-devel de que hay un procedimiento para esto en la
> doc de PGP, que no encuentro.
Alguien soy yo, y fue en d-nm :)
http://pgp.rasip.fer.hr/pgpdoc2/verify.html
Si tu realmente puedes identificar su voz por teléfono, y si puedes
establecer con algún grado de certeza que realmente es la persona que
dice que es (e.g., puedes pedirle a un conocido mutuo que saque una
copia de la identificación de él y te la envíe), realmente no estás muy
lejos de lo que se hace normalmente al intercambiar fingerprints (donde
después de haber visto un pasaporte por cinco segundos aceptas que la
persona que tienes en frente es quien te está diciendo que es -- hasta
en un aeropuerto son más prudentes que ciertas personas que han firmado
mi llave).
Tu lo que buscas es establecer tres cosas:
* Que la posibilidad de que la persona sea quien dice ser sea
razonable
* Que la persona controla la llave que estás firmando
* Que la dirección de correo que aparece en la llave llegue a la
persona con la que tu estableciste comunicación
Para lo primero miras la identificación.
Para lo segundo tienes que recibir algo firmado con la llave en
cuestión (y por lo general "algo" es un mensaje de correo).
Para lo último mandas un mensaje cifrado con la llave pública de la
persona en cuestión a la dirección en cuestión. Si la persona puede
leer el mensaje, controla la llave y la dirección es correcta. Ahora
nada más necesitas establecer que es la persona con la que tu
estableciste comunicación. Para eso es que Manoj utiliza el
intercambio de secretos. El 99% de las personas que han firmado mi
llave se saltan este paso por el motivo que sea.
Saludos,
--
Marcelo | Cuius testiculos habes, habeas cardia et cerebellum.
mmagallo@debian.org | -- (Terry Pratchett, Small Gods)
Reply to: