On Sat, Jun 05, 2010 at 09:36:43AM +0000, Camaleón wrote: > El Sat, 05 Jun 2010 05:39:01 +0200, Angel Abad escribió: > > > Buenas! He observado que en esta lista muy poca gente usa gpg para > > firmar sus mensajes (yo sólo cuando estoy en casa). Me ocurre lo mismo. No puedo hacer lo mismo en el trabajo por ciertas limitaciones. > Firmar != cifrar > Y por cierto, el cifrado sí lo veo útil, el problema es que para una > lista no tiene sentido. Completamente de acuerdo en esto. La utilización de correo cifrado se aplica -por definición- en cículos más restringidos. > Y cuando sí lo quieres usar en tu correspondencia personal, el remitente > no suele tener un cliente de correo y una configuración preparada y lista > para gestionar ese mensaje cifrado, lo cual se convierte en un dolor de > cabeza, más que en una ayuda. A este respecto, es necesario asegurarse que al otro lado se dispone de la infraestructura lógica necesaria, y los conocimientos para usarla, claro. > > Me gustaría saber por que la gente no usa gpg, y si es por > > desconocimiento o por que les parece difícil, si alguien me echan una > > mano yo me ofrezco a explicar por irc como funciona y como se usa gpg. ¿Qué tal en el wiki de Debian? Deberíamos usarlo más... > Te digo por qué no uso la firma: > > 1/ ¿Cómo sé que tú eres quién dice ser? Tus correos están firmados pero > yo no te conozco. Tu clave pública dice que el correo lo has escrito tú, > pero las firmas se basan en un "anillo de confianza" y por tanto, la > mayoría de mensajes que recibo (a través de Mutt, que este sí permite > verificar las firmas) me dice que sí, que el mensaje está firmado pero > que "no se ha podido verificar la firma" o "Imposible comprobar la firma: > Clave pública no encontrada". > La firma tiene sentido cuando: > > a) Viene de una entidad pública y reconocida (como por ejemplo, Debian). > > b) Se ha producido un encuentro entre las dos personas y se han > intercambiado las claves (por ejemplo, suele ser habitual el intercambio > de claves en las "parties" o en eventos de ese tipo). Las claves públicas deben estar disponibles en servidores de cláves, que son servicios públicos. Si utilizas gpg y no publicas tu clave, es absurdo. Luego, cada quien decide el grado de confianza que le asigna a las claves (ninguno-absoluto). Pero con una configuración mínima, es posible autoimportar claves públicas al leer correos firmados (nótese la diferencia entre importar una clave pública y asignarle confianza). Las claves públicas admiten insertar (inluso) una foto tuya. Obviamente todo eso es insuficiente si no se conoce personalmente a la otra persona, o no te ha comunicado por un canal seguro al menos la huella de su clave pública para verificarla. En lo que respecta a los anillos de confianza, puede hacerse uso de eventos sociales del tipo que sea para generarlos. <OT> BTW ¿No va tocando ya hacer algo? Me gustaría mucho conocer a la gente de Madrid y alrededores. Y generar sinergia. ¿Alguien ha visto esto?¹ </OT> Una opinión personal: aunque el uso de nicknames es muy habitual en las listas (y en general), es más útil si tu nombre es público, y de esa manera, vinculable a tu firma. A mí, personalmente, me parece muy valorable que se me vincule a Debian, en el grado que sea. Creo que genera compromiso y responsabilidad en relación al proyecto. ¹ http://lists.debian.org/stats/debian-user-spanish.png -- Huella de clave primaria: 0FDA C36F F110 54F4 D42B D0EB 617D 396C 448B 31EB
Attachment:
pgp47NkSKNtm5.pgp
Description: PGP signature