Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Fiesta de firma de claves GPG en el V Congreso Hispalinux

Privacidad
Por iarenaza
departamento yo-cifro-tu-cifras-el-cifra , Sección Internet
Puesto a las Tue Oct 22nd, 2002 at 12:07:14 PM CET
Envío esta pequeña nota para dar a conocer que como parte de las actividades del próximo Congreso Hispalinux, se va a celebrar un foro consistente en una fiesta de firma de claves GPG/PGP.

Los detalles de como participar en ella así como los plazos se pueden consltar en la página que he redactado al respecto.

Actualización [2002-10-22 12:7:14 por iarenaza]: La historia es la misma de hace unos días (comentarios incluidos). Simplemente he hecho que su fecha de publicación sea la de hoy para que sirva de recordatorio ;)

 


Como sabéis, uno de los principales puntos débiles de los sistemas de criptografía de claves pública como GPG/PGP es la dificultad de garantizar la autenticidad de la clave pública de un tercero si ésta no se obtiene de primera mano.

Lo más habitual es obtener dicha clave pública bien de una página web donde su supuesto propietario la ha colocado, bien de un servidor público de claves públicas PGP/GPG (como pgp.escomposlinux.org o pgp.eteo.mondragon.edu por citar los dos que yo utilizo habitualmente).

Sin embargo, el hecho de que estas claves digan pertenecer a un determinado usuario (a través de la dirección de correo electrónico que suele aparecer asociada a la clave) nadie nos garantiza que en realidad sean de quienes dicen ser. Se necesita por tanto una garantía adicional que confirme su validez y procedencia.

Y ahí es donde surge el concepto de firmado o certificación de claves y la red de confianza (más detalles en inglés aquí). Si nosotros por algún medio externo podemos verificar la identidad real del propietario de la clave, podemos a partir de ese momento estar seguros de que esa clave efectivamente pertenece a esa persona. Podemos por tanto asumir un paso de confianza adicional y estampar nuestra firma digital sobre dicha clave (certificarla). Ello sirve para indicar que nosotros hemos sido capaces de verificar la procedencia de dicha clave y de alguna forma certificamos su validez.

Por supuesto, el hecho de que nosotros certifiquemos la validez de una clave no hace que automáticamente dicha certificación sea universalmente válida. Al fin y al cabo, nosotros no somos un Estado ni una Autoridad de Certificación reconocida. Por tanto, esta certificación sólo será útil para quienes a su vez sepan que nuestra clave pública es válida y nos pertenece (y por tanto puedan verificar nuestra firma sobre esa tercera clave) y consideren que nuestro criterio para certificar terceras claves es de fiar.

Este último es el paso clave para establecer la red o telaraña de confianza. Si alguien se fía de mi clave (y de mi criterio para firmar otras claves, una vez me he asegurado de su autenticidad y procedencia), ese alguien a su vez se puede sentir seguro para firmar esa tercera clave. El directamente puede no haber autenticado la clave y su procedencia, pero se fía de mi clave y de mí, y a su vez extiende la "validez" de esa tercera clave estampando su firma en ella.

El proceso se repite tantas veces como se quiera y al final se obtiene un esquema de confianza distribuida en las claves de terceros, sin necesidad de confiar necesariamente en una Autoridad Certificadora central (y en sus posibles abusos y tejemanejes), confiando solo en aquellas certificaciones que yo considero fiables (por venir firmadas por claves de personas que yo considero fiables).

Para facilitar la creación de este tipo de estructuras de redes de confianzas es para lo que se celebran estas fiestas de firmado de claves GPG/PGP. El hecho de estar físicamente en contacto hace mucho más fácil la verificación de la claves y la procedencia de la misma (su poseedor está presente en la reunión) y por tanto mucho más probable la certificación de dicha clave por el resto de participantes que así lo deseen.

Una vez realizada la fiesta, suele ser conveniente enviar las claves públicas firmadas (certificadas) a los servidores públicos PGP (por ejemplo, a los mencionados anteriormente, aunque hay unos cuantos más disponibles; el listado se puede consultar aquí).

Saludos. Iñaki.

< Abierta la preinscripción para el V Congreso Hispalinux (2 comments) | ¡Nueva ezine de 7a69! (3 comments) >
Enlaces Relacionados
· escomposlinux.org
· Congreso Hispalinux
· la página que he redactado al respecto
· pgp.escomposlinux.org
· pgp.eteo.mondragon.edu
· aquí
· aquí[2]
· More on Privacidad
· Also by iarenaza

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Fiesta de firma de claves GPG en el V Congreso Hispalinux | 2 comentarios (2 temáticos, editoriales, 0 ocultos)
¿fiesta? que fantástica, fantástica esta fiestaaaa (none / 0) (#1)
por musg0 a las Mon Oct 7th, 2002 at 01:41:40 PM CET
(Información Usuario) http://helvete.escomposlinux.org

La verdad es que no sé porqué se le llama fiesta si no es un acto demasiado divertido. Podriamos ir disfrazados para hacerlo más ameno pero creo que la identificación sería más dificil todavía.

A ver si a alguien se le ocurre alguna forma más divertida de comprobar los "fingerprint" de la gente

Por ejemplo podríamos mostrar dibujitos de anillos de confianza como el que tenemos en escomposlinux.org



Pompa y cincunstancia (5.00 / 4) (#2)
por DopeRider a las Mon Oct 7th, 2002 at 02:10:39 PM CET
(Información Usuario)

La verdad es que no sé porqué se le llama fiesta si no es un acto demasiado divertido. Podriamos ir disfrazados para hacerlo más ameno pero creo que la identificación sería más dificil todavía.

Hombre, imagina a un par de docenas de personas con hábitos estilo monje entrando en la sala de la reunión con la capucha puesta, cabizbajos y canturreando misteriosos salmos.

Después todos reunidos en un anillo en torno a la pira y recitando la canción de la firma en anillo (cántese con la música de "me colé en tu fiesta" de mecano):

Estamos aquí.
Para firmar.
Todos juntos, estamos muy contentos.
Gran idea la de este evento.


Yo te firmaré.
Mi confianza te daré.
Confianza para todos.
Con el GPG.
Mi clave privadaaaaa...
Mi clave privada estamparé.


[ Padre ]


 
Fiesta de firma de claves GPG en el V Congreso Hispalinux | 2 comentarios (2 temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda