Buenas, perdón por el retraso, tengo un poco de lio con los cabios de horas :-( On Sat, Jun 05, 2010 at 09:36:43AM +0000, Camaleón wrote: > El Sat, 05 Jun 2010 05:39:01 +0200, Angel Abad escribió: > > > Buenas! He observado que en esta lista muy poca gente usa gpg para > > firmar sus mensajes (yo sólo cuando estoy en casa). > > Yo no lo uso. Yo siempre que puedo... > > A mi la verdad que me parece una herramienta básica poder certificar > > quien envía un email (si os fijais en debian casi todo se basa en > > nuestras firmas gpg). Y si son mensajes privados que vayan encriptados, > > hay un dicho que dice "si sólo encriptas lo importante, sabrán que es > > importante". > > Firmar != cifrar Por supuesto, sólo era un ejemplo, una forma de decir que para mi sería importante que tod@s nos acostumbrasemos a usarlo. Por las respuestas he visto, para la gente de la lista no es algo importante, así que está bien como estamos. De todas formas como han puropuesto algun@s escribiré algo en wiki de debian para quien quiera echarle un vistazo. > Y por cierto, el cifrado sí lo veo útil, el problema es que para una > lista no tiene sentido. Por supuesto que en una lista como esta (publica y con los archivos publicados) no tendría sentido. Pero hay listas encriptadas, yo utilizo alguna. Hay parches gpg S/MIME para mailman y sympa integra S/MIME. > Y cuando sí lo quieres usar en tu correspondencia personal, el remitente > no suele tener un cliente de correo y una configuración preparada y lista > para gestionar ese mensaje cifrado, lo cual se convierte en un dolor de > cabeza, más que en una ayuda. No estoy de acuerdo, depende que cliente de correo uses es totalmente trasparente, solo tienes que meter tu contraseña... > Allá por el año 2002 empezamos a usar en la empresa los certificados > personales de Verisign pero tuvimos que dejar de usarlos porque los > destinatarios no sabían cómo leer los correos, no veían nada. Si que es verdad que alguien que no tenga pérfil tecnico se puede volver loc@ (y que no ponga nada de intereés en saber como funciona), pero como he dicho arriba creo que depende mucho del cliente que utilices. > > Me gustaría saber por que la gente no usa gpg, y si es por > > desconocimiento o por que les parece difícil, si alguien me echan una > > mano yo me ofrezco a explicar por irc como funciona y como se usa gpg. > > Te digo por qué no uso la firma: > > 1/ ¿Cómo sé que tú eres quién dice ser? Tus correos están firmados pero > yo no te conozco. Tu clave pública dice que el correo lo has escrito tú, > pero las firmas se basan en un "anillo de confianza" y por tanto, la > mayoría de mensajes que recibo (a través de Mutt, que este sí permite > verificar las firmas) me dice que sí, que el mensaje está firmado pero > que "no se ha podido verificar la firma" o "Imposible comprobar la firma: > Clave pública no encontrada". Nunca vas a saber quien soy yo :-D pero si puedes saber que yo soy yo, si siempre he mandado mis mensajes firmados, cuando llegue un mensaje firmado sabrás que es mio, da igual que no me conozcas o sepas que cara tengo, pero estarás segur@ que ese mensaje lo he enviado "yo". Por lo mismo que comentas del anillo de confianza creo que deberiamos potenciar más el uso de las firmas digitales, cuanta más gente lo usemos más podremos ampliar ese anillo y mas fiable será. Yo también uso Mutt, sino no podría gestionar tanta lista de correo :-D Si mutt no puede comprobar esas firmas es porque no las tienes en tu pubring.gpg, tendrías que buscar la clave del remitente en los servidores de claves. Si no, puedes configurar tu gnupg con un "keyserver-options auto-key-retrieve", asi cuando estés conectad@ a internet él lo detectará y se descargará la clave pública del servidor que tengas configurado. Tu estableces el nivel de confianza en cada firma, y a veces te sorprendes de gente que escribe y tiene la clave firmada por gente que nunca te imaginarias... > La firma tiene sentido cuando: > > a) Viene de una entidad pública y reconocida (como por ejemplo, Debian). Yo creo que es igual de valida viniendo de un particular, le acredita para saber que todos sus mensajes posteriores son suyos. > b) Se ha producido un encuentro entre las dos personas y se han > intercambiado las claves (por ejemplo, suele ser habitual el intercambio > de claves en las "parties" o en eventos de ese tipo). No tiene por que, yo muchas veces en las listas de developers de debian recibo emails firmados de gente que nunca he visto ni conozco, pero sus claves están firmadas por gente con la que si he estado en persona para firmar nuestras claves, con lo cual son claves de confianza para mi. > 2/ Uso un cliente de news (pan) para enviar los mensajes y creo que no lo > admite (ni firmar los mensajes ni verificar la firma). Utilizas un cliente de news para leer la lista? Podrías explicar como? tengo algún conocido que siempre me dice que sería mejor las news que las listas de correo. Si le explico como leer las listas de debian como si fueran las news le hago el tio más féliz del mundo :-D > Saludos, AguuuuuR
Attachment:
signature.asc
Description: Digital signature