El 6 de setembre de 2011 17:50, Robert Marsellés Fontanet
<robert.cardenal@gmail.com> ha escrit:
Hola a tots,
Potser "pixo" fora de test. Segons els "logs" del meu "squeeze"
l'actualització del paquet "ca-certificates" és del 31-Ago-2011. No sé
si això és molt o poc ràpid (a aquesta llista la noticia ha arribat
aquesta setmana).
> Els sistemes anàrquics de confiança com el GPG són molt més
> interessants, però com que no s'hi pot fer negoci...
>
Pel que fa a aquest tema. Personalment hi trobo algun "problemilla".
M'explico.
Per tot el que he llegit, el senyor@ amb que vols intercanviar
informació de forma segura t'hauria de facilitar la seva clau pública de
la forma que sigui. El responsable de confiar o no amb aquesta clau
recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes
de principiant:
- ¿Es pot confiar en els servidors de claus que hi ha a Internet?
- ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir
les claus de les persones que t'interessa està sent enganyada o no? Pots
ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol
altre lloc (recordem el "phishing" als bancs, doncs, igual ¿no?).
Us fico un exemple per si no m'explico bé. Estic subscrit a la llista
"security@debian". Tots el missatges m'arriben amb signatura de
l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre
aquest tema, paquet "nss"). Jo a aquest senyor no el conec de rés.
Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol
servidor de claus. Tot i així, que tingui aquesta clau no em garantitza
que sigui ell qui m'envia el missatge ¿Cert?
Crec que per solucionar aquest problema, des de Debian (i des de moltes altres institucions) es promou que la gent es signi claus mútuament a les trobades.
És a dir: Quan jo em trobo a una altra persona, després de comprovar la seva identitat (DNI, passaport o similars), signo la seva clau -i li demano que signi la meva-.
D'aquesta manera jo dono fe de que aquella persona és qui diu ser, i ho publico al servidor de claus.
Així es forma una xarxa de gent que dóna fe de gent. Suposant que la xarxa estigui prou interconnectada, els fraus són molt difícils de fer i, si es fan, es detecten fàcilment.
Ara, potser algú que en sàpiga més dóna una resposta millor...
La meva opinió és que aquestes claus ens les haurien de donar ells com
fan quan t'instal·les el sistema operatiu nou de trinca. Em sembla que
el paquet és diu "debian-keyring" o algo similar.
Sento la extensió del comentari.
robert
Salut!
Sergio