[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sobre la lista y las firmas digitales

El Sun, 06 Jun 2010 09:05:03 +0200, Angel Abad escribió:

> On Sat, Jun 05, 2010 at 09:36:43AM +0000, Camaleón wrote:

>> Y cuando sí lo quieres usar en tu correspondencia personal, el
>> remitente no suele tener un cliente de correo y una configuración
>> preparada y lista para gestionar ese mensaje cifrado, lo cual se
>> convierte en un dolor de cabeza, más que en una ayuda.
> 
> No estoy de acuerdo, depende que cliente de correo uses es totalmente
> trasparente, solo tienes que meter tu contraseña...

Me refiero para el que lo recibe, que generalmente no sabe qué hacer con 
un correo cifrado y/o firmado, salvo que sea un poco ducho en informática.
 
>> Allá por el año 2002 empezamos a usar en la empresa los certificados
>> personales de Verisign pero tuvimos que dejar de usarlos porque los
>> destinatarios no sabían cómo leer los correos, no veían nada.
> 
> Si que es verdad que alguien que no tenga pérfil tecnico se puede volver
> loc@ (y que no ponga nada de intereés en saber como funciona), pero como
> he dicho arriba creo que depende mucho del cliente que utilices.

El grueso de mi correspondencia va a usuarios de Outlook o de Hotmail, 
con eso creo que te digo todo >:-)

>> Te digo por qué no uso la firma:
>> 
>> 1/ ¿Cómo sé que tú eres quién dice ser? Tus correos están firmados pero
>> yo no te conozco. Tu clave pública dice que el correo lo has escrito
>> tú, pero las firmas se basan en un "anillo de confianza" y por tanto,
>> la mayoría de mensajes que recibo (a través de Mutt, que este sí
>> permite verificar las firmas) me dice que sí, que el mensaje está
>> firmado pero que "no se ha podido verificar la firma" o "Imposible
>> comprobar la firma: Clave pública no encontrada".
> 
> Nunca vas a saber quien soy yo :-D pero si puedes saber que yo soy yo,
> si siempre he mandado mis mensajes firmados, cuando llegue un mensaje
> firmado sabrás que es mio, da igual que no me conozcas o sepas que cara
> tengo, pero estarás segur@ que ese mensaje lo he enviado "yo".

Entonces, yo no puedo "validarte" ni "confiar" en tu firma, por mucho gpg 
que uses. Sigo sin saber quién eres, digitalmente hablando.

Es decir, sólo tengo la certeza de que:

a/ Los mensajes los genera la misma persona (siempre y cuando tú -y solo 
tú- sepas tu contraseña de cifrado).

b/ Los mensajes que envías no han sido modificados y/o manipulados en 
tránsito.

Pero no sé nada más.
 
> Por lo mismo que comentas del anillo de confianza creo que deberiamos
> potenciar más el uso de las firmas digitales, cuanta más gente lo usemos
> más podremos ampliar ese anillo y mas fiable será.

Pero es que yo no puedo confiar en tu firma (ni decirle al resto de 
usuarios que tú eres tú) si antes no te veo y me confirmas que tu firma y 
tú "coincidís" :-)
 
> Yo también uso Mutt, sino no podría gestionar tanta lista de correo :-D
> Si mutt no puede comprobar esas firmas es porque no las tienes en tu
> pubring.gpg, tendrías que buscar la clave del remitente en los
> servidores de claves. Si no, puedes configurar tu gnupg con un
> "keyserver-options auto-key-retrieve", asi cuando estés conectad@ a
> internet él lo detectará y se descargará la clave pública del servidor
> que tengas configurado. Tu estableces el nivel de confianza en cada
> firma, y a veces te sorprendes de gente que escribe y tiene la clave
> firmada por gente que nunca te imaginarias...

Pues no sé, creo que es que sencillamente los usuarios que usáis gpg en 
los correos no estáis marcados como "trusted", por eso la validación 
falla.
 
>> La firma tiene sentido cuando:
>> 
>> a) Viene de una entidad pública y reconocida (como por ejemplo,
>> Debian).
> 
> Yo creo que es igual de valida viniendo de un particular, le acredita
> para saber que todos sus mensajes posteriores son suyos.

Hombre, no sé qué decirte. Yo confío en Verisign o Thatwe porque son 
entidades que están acreditadas y validadas ante organismos 
internacionales y que mantienen una política estricta de gestión, 
supervisión y control, no sólo internamente sino por terceras partes.

No puedo decir lo mismo de los anillos de confianza manejados por 
usuarios porque no hay medidas de control... sólo la confianza, lo cual 
no me genera mucha confianza :-P.

>> b) Se ha producido un encuentro entre las dos personas y se han
>> intercambiado las claves (por ejemplo, suele ser habitual el
>> intercambio de claves en las "parties" o en eventos de ese tipo).
> 
> No tiene por que, yo muchas veces en las listas de developers de debian
> recibo emails firmados de gente que nunca he visto ni conozco, pero sus
> claves están firmadas por gente con la que si he estado en persona para
> firmar nuestras claves, con lo cual son claves de confianza para mi.

Pero es "contaminar" el anillo de confianza, porque no tienes la 
seguridad de que el desarrollador "x" es quien dice ser. A eso es a lo 
que voy, la cadena de confianza es "débil" y fácilmente alterable.
 
>> 2/ Uso un cliente de news (pan) para enviar los mensajes y creo que no
>> lo admite (ni firmar los mensajes ni verificar la firma).
> 
> Utilizas un cliente de news para leer la lista? Podrías explicar como?
> tengo algún conocido que siempre me dice que sería mejor las news que
> las listas de correo. Si le explico como leer las listas de debian como
> si fueran las news le hago el tio más féliz del mundo :-D

Es muy sencillo, sólo tiene que usar el servidor de news de Gmane 
(news.gmane.org):

http://dir.gmane.org/search.php?match=debian

Y proceder de la manera habitual suscribiéndose a los grupos que esté 
interesado, etc... hay un montón de listas, además de las de Debian.

Saludos,

-- 
Camaleón
Reply to: