Buenas! On Sun, Jun 06, 2010 at 09:34:39AM +0000, Camaleón wrote: > El Sun, 06 Jun 2010 09:05:03 +0200, Angel Abad escribió: > > > On Sat, Jun 05, 2010 at 09:36:43AM +0000, Camaleón wrote: > > >> Y cuando sí lo quieres usar en tu correspondencia personal, el > >> remitente no suele tener un cliente de correo y una configuración > >> preparada y lista para gestionar ese mensaje cifrado, lo cual se > >> convierte en un dolor de cabeza, más que en una ayuda. > > > > No estoy de acuerdo, depende que cliente de correo uses es totalmente > > trasparente, solo tienes que meter tu contraseña... > > Me refiero para el que lo recibe, que generalmente no sabe qué hacer con > un correo cifrado y/o firmado, salvo que sea un poco ducho en informática. Pero si alguien no sabe lo que hacer con un correo cifrado es por que no sabe lo que es gpg, asi que logicamente nisiquiera tendrá una clave para que puedas encriptar el correo para esa persona. Y con los correos firmados no veo mayor problema, aunque el destinatario no sepa que es, lo único que verá sera unas letras raras al final del email... > >> Allá por el año 2002 empezamos a usar en la empresa los certificados > >> personales de Verisign pero tuvimos que dejar de usarlos porque los > >> destinatarios no sabían cómo leer los correos, no veían nada. > > > > Si que es verdad que alguien que no tenga pérfil tecnico se puede volver > > loc@ (y que no ponga nada de intereés en saber como funciona), pero como > > he dicho arriba creo que depende mucho del cliente que utilices. > > El grueso de mi correspondencia va a usuarios de Outlook o de Hotmail, > con eso creo que te digo todo >:-) Ok, contra eso es díficil luchar :-D > >> Te digo por qué no uso la firma: > >> > >> 1/ ¿Cómo sé que tú eres quién dice ser? Tus correos están firmados pero > >> yo no te conozco. Tu clave pública dice que el correo lo has escrito > >> tú, pero las firmas se basan en un "anillo de confianza" y por tanto, > >> la mayoría de mensajes que recibo (a través de Mutt, que este sí > >> permite verificar las firmas) me dice que sí, que el mensaje está > >> firmado pero que "no se ha podido verificar la firma" o "Imposible > >> comprobar la firma: Clave pública no encontrada". > > > > Nunca vas a saber quien soy yo :-D pero si puedes saber que yo soy yo, > > si siempre he mandado mis mensajes firmados, cuando llegue un mensaje > > firmado sabrás que es mio, da igual que no me conozcas o sepas que cara > > tengo, pero estarás segur@ que ese mensaje lo he enviado "yo". > > Entonces, yo no puedo "validarte" ni "confiar" en tu firma, por mucho gpg > que uses. Sigo sin saber quién eres, digitalmente hablando. > > Es decir, sólo tengo la certeza de que: > > a/ Los mensajes los genera la misma persona (siempre y cuando tú -y solo > tú- sepas tu contraseña de cifrado). Eso es, siempre soy la misma persona, lo de que la contraseña solo la sepa yo creo que es algo obvio. > b/ Los mensajes que envías no han sido modificados y/o manipulados en > tránsito. Creo que es bastante importante, no? > Pero no sé nada más. Creo que no vamos a ponernos de acuerdo :-D pero para mi las dos razones que citas arriba son suficientes para usar gpg. > > Por lo mismo que comentas del anillo de confianza creo que deberiamos > > potenciar más el uso de las firmas digitales, cuanta más gente lo usemos > > más podremos ampliar ese anillo y mas fiable será. > > Pero es que yo no puedo confiar en tu firma (ni decirle al resto de > usuarios que tú eres tú) si antes no te veo y me confirmas que tu firma y > tú "coincidís" :-) Por supuesto, las claves sólo se firman cuando has estado con la otra persona, en persona y verificado que es quien dice ser. Si no es así nunca se debe firmar una clave gpg. > > Yo también uso Mutt, sino no podría gestionar tanta lista de correo :-D > > Si mutt no puede comprobar esas firmas es porque no las tienes en tu > > pubring.gpg, tendrías que buscar la clave del remitente en los > > servidores de claves. Si no, puedes configurar tu gnupg con un > > "keyserver-options auto-key-retrieve", asi cuando estés conectad@ a > > internet él lo detectará y se descargará la clave pública del servidor > > que tengas configurado. Tu estableces el nivel de confianza en cada > > firma, y a veces te sorprendes de gente que escribe y tiene la clave > > firmada por gente que nunca te imaginarias... > > Pues no sé, creo que es que sencillamente los usuarios que usáis gpg en > los correos no estáis marcados como "trusted", por eso la validación > falla. Depende del fallo que te dé, si te dice que no encuentra la clave es porque no la tienes en tu anillo (el anillo no quiere decir que todas las claves sean de confianza). Si te dice que no es una clave de confianza, es lógico, gpg te está diciendo que la firma es correcta, que el contenido no ha sido alterado, pero que tu gpg no puede confiar en esa clave por que no forma parte de tu anillo de confianza y nadie de tu confianza a firmado esa clave. > >> La firma tiene sentido cuando: > >> > >> a) Viene de una entidad pública y reconocida (como por ejemplo, > >> Debian). > > > > Yo creo que es igual de valida viniendo de un particular, le acredita > > para saber que todos sus mensajes posteriores son suyos. > > Hombre, no sé qué decirte. Yo confío en Verisign o Thatwe porque son > entidades que están acreditadas y validadas ante organismos > internacionales y que mantienen una política estricta de gestión, > supervisión y control, no sólo internamente sino por terceras partes. Ya, estoy de acuerdo contigo en esto, pero yo esto lo veo más para servidores https, etc... Creo que entre usuarios no es necesario depender de esas terceras partes. > No puedo decir lo mismo de los anillos de confianza manejados por > usuarios porque no hay medidas de control... sólo la confianza, lo cual > no me genera mucha confianza :-P. Que oración más rara :-D como tu dices es un anillo de confianza... Como te he dicho arriba creo que no conseguiremos ponernos de acuerdo con esto :-D > >> b) Se ha producido un encuentro entre las dos personas y se han > >> intercambiado las claves (por ejemplo, suele ser habitual el > >> intercambio de claves en las "parties" o en eventos de ese tipo). > > > > No tiene por que, yo muchas veces en las listas de developers de debian > > recibo emails firmados de gente que nunca he visto ni conozco, pero sus > > claves están firmadas por gente con la que si he estado en persona para > > firmar nuestras claves, con lo cual son claves de confianza para mi. > > Pero es "contaminar" el anillo de confianza, porque no tienes la > seguridad de que el desarrollador "x" es quien dice ser. A eso es a lo > que voy, la cadena de confianza es "débil" y fácilmente alterable. Lo que tengo es la seguridad de que alguien con quien yo he estado en persona y he verficado que es quien dice ser, también ha estado con esa persona y ha verificado que es quien dice ser y el "dueñ@" de esa dirección de email. A mi con eso me vale. > >> 2/ Uso un cliente de news (pan) para enviar los mensajes y creo que no > >> lo admite (ni firmar los mensajes ni verificar la firma). > > > > Utilizas un cliente de news para leer la lista? Podrías explicar como? > > tengo algún conocido que siempre me dice que sería mejor las news que > > las listas de correo. Si le explico como leer las listas de debian como > > si fueran las news le hago el tio más féliz del mundo :-D > > Es muy sencillo, sólo tiene que usar el servidor de news de Gmane > (news.gmane.org): > > http://dir.gmane.org/search.php?match=debian > > Y proceder de la manera habitual suscribiéndose a los grupos que esté > interesado, etc... hay un montón de listas, además de las de Debian. Muchas gracias, no tenia ni idea de que gmane proporcionaba ese servicio, alguno se va a poner muy contento. AguuuuR > Saludos, >
Attachment:
signature.asc
Description: Digital signature