Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Fiesta de firma de claves GPG/PGP en el VI Congreso Hispalinux

Privacidad
Por iarenaza
departamento solo-los-forajidos-tendran-privacidad , Sección Comunidad
Puesto a las Wed Sep 10th, 2003 at 07:59:31 AM CET
Envio esta pequena nota para dar a conocer que como parte de las actividades del proximo Congreso Hispalinux, se va a celebrar un foro consistente en una fiesta de firma de claves GPG/PGP.

Los detalles de como participar en ella asi como los plazos se pueden consltar en la pagina que he redactado al respecto.

[Nota del editor, por iarenaza] Corregido el enlace incorrecto de la noticia.

 


Como sabeis, uno de los principales puntos debiles de los sistemas de criptografia de claves publica como GPG/PGP es la dificultad de garantizar la autenticidad de la clave publica de un tercero si esta no se obtiene de primera mano.

Lo mas habitual es obtener dicha clave publica bien de una pagina web donde su supuesto propietario la ha colocado, bien de un servidor publico de claves publicas PGP/GPG (como pgp.escomposlinux.org o pgp.eteo.mondragon.edu por citar los dos que yo utilizo habitualmente).

Sin embargo, el hecho de que estas claves digan pertenecer a un determinado usuario (a traves de la direccion de correo electronico que suele aparecer asociada a la clave) nadie nos garantiza que en realidad sean de quienes dicen ser. Se necesita por tanto una garantia adicional que confirme su validez y procedencia.

Y ahi es donde surge el concepto de firmado o certificacion de claves y la red de confianza (mas detalles en ingles aqui. Si nosotros por algun medio externo podemos verificar la identidad real del propietario de la clave, podemos a partir de ese momento estar seguros de que esa clave efectivamente pertenece a esa persona. Podemos por tanto asumir un paso de confianza adicional y estampar nuestra firma digital sobre dicha clave (certificarla). Ello sirve para indicar que nosotros hemos sido capaces de verificar la procedencia de dicha clave y de alguna forma certificamos su validez.

Por supuesto, el hecho de que nosotros certifiquemos la validez de una clave no hace que automaticamente dicha certificacion sea universalmente valida. Al fin y al cabo, nosotros no somos un Estado ni una Autoridad de Certificacion reconocida. Por tanto, esta certificacion solo sera util para quienes a su vez sepan que nuestra clave publica es valida y nos pertenece (y por tanto puedan verificar nuestra firma sobre esa tercera clave) y consideren que nuestro criterio para certificar terceras claves es de fiar.

Este ultimo es el paso clave para establecer la red o telarana de confianza. Si alguien se fia de mi clave (y de mi criterio para firmar otras claves, una vez me he asegurado de su autenticidad y procedencia), ese alguien a su vez se puede sentir seguro para firmar esa tercera clave. El directamente puede no haber autenticado la clave y su procedencia, pero se fia de mi clave y de mi, y a su vez extiende la "validez" de esa tercera clave estampando su firma en ella.

El proceso se repite tantas veces como se quiera y al final se obtiene un esquema de confianza distribuida en las claves de terceros, sin necesidad de confiar necesariamente en una Autoridad Certificadora central (y en sus posibles abusos y tejemanejes), confiando solo en aquellas certificaciones que yo considero fiables (por venir firmadas por claves de personas que yo considero fiables).

Para facilitar la creacion de este tipo de estructuras de redes de confianzas es para lo que se celebran estas fiestas de firmado de claves GPG/PGP. El hecho de estar fisicamente en contacto hace mucho mas facil la verificacion de la claves y la procedencia de la misma (su poseedor esta presente en la reunion) y por tanto mucho mas probable la certificacion de dicha clave por el resto de participantes que asi lo deseen.

Una vez realizada la fiesta, suele ser conveniente enviar las claves publicas firmadas (certificadas) a los servidores publicos PGP (por ejemplo, a los mencionados anteriormente, aunque hay unos cuantos mas disponibles; el listado se puede consultar aqui).

Saludos. Inaki.

< I Encuentro de Usuarios de Linux del Noroeste Peninsular (6 comments) | Enemy Territory - (No, no es Redmond) (19 comments) >
Enlaces Relacionados
· escomposlinux.org
· Congreso Hispalinux
· la pagina que he redactado al respecto
· pgp.escomposlinux.org
· pgp.eteo.mondragon.edu
· aqui
· aqui[2]
· More on Privacidad
· Also by iarenaza

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Fiesta de firma de claves GPG/PGP en el VI Congreso Hispalinux | 12 comentarios (10 temáticos, 2 editoriales, 0 ocultos)
Por qué lo llaman fiesta... si es un rollo (3.50 / 2) (#10)
por musg0 a las Fri Sep 12th, 2003 at 02:29:05 PM CET
(Información Usuario) http://helvete.escomposlinux.org

Me explico. Estar durante 1 hora sentado, comprobando que ese que ha salido al estrado con el carnet en la boca y al cual no se le ve en la pantalla porque el proyector es una webcam trapicheada del portátil de alguno de los presentes no es divertido.

Yo cambiaría la "fiesta" de claves a algo más informal. Todos en corrillo ordenados según los grupos de usuarios a los que pertenecen, más que nada para no estar tan sólos y ¡que empiece la fiesta!

Se da un tiempo de 5 o 10 minutos por grupo y uno por uno se van comentando quienes son, a qué grupo pertenecen, qué hacen en el soft libre, por qué están ahí y no sé, algo para empezar a conocer a la gente. Algo menos frío que apuntar en una hoja que ese que no conoces y dice ser él es realmente él o es un extraterrestre que le está suplantando.

Tras acabar las "entrevistas" entre grupos ya tendremos todas las firmas apuntadas y por lo menos conocemos algo mejor a la gente que forma parte de la comunidad del anil.... digo del soft libre.

Por supuesto, para ser una fiesta tiene que haber cervezas y panchitos. Por eso, propongo que cada grupo traiga de su zona un pack de cerveza o bebida no muy alcohólica (sidra, vino o cualquier cosa de menos de 17 grados) típica de su zona y que se haga una cata popular.



Y si además... (5.00 / 1) (#11)
por jcantero (jcantero@agujero-negro.escomposlinux.org) a las Fri Sep 12th, 2003 at 04:26:38 PM CET
(Información Usuario) http://www.escomposlinux.org/jcantero/

... hacemos el juego de las sillas, como en el anuncio de la tele, entonces sí que nos divertimos!! }:-)

--
"Papá, ¡Internet es más que una red pornográfica global!" -- Lisa Simpson
[ Padre ]


 
¿Ein? (3.50 / 2) (#12)
por Faro a las Fri Sep 12th, 2003 at 06:11:05 PM CET
(Información Usuario)

¿y eso de menos de 17 grados? Si vamos a llamarlo fiesta hagámoslo en serio, propongo que las bebidas sean de más de 17 grados. Eso si, no pienso confiar en ninguna de las claves firmadas ese día xDD.

[ Padre ]


 
Mogollón de dudas (2.50 / 2) (#3)
por suy (suy21.existe-en.lycos.es) a las Sun Sep 7th, 2003 at 04:50:54 PM CET
(Información Usuario) http://lacurva.net/

Hay un montón de cosas que no entiendo de GPG, o del cifrado/firmado en sí. Lamentablemente, es un tema muy duro, y a pesar de que he leído buenos y completos manuales, siempre hay cosas que no acabo de entender.
  • ¿Qué pasa con las firmas que caducan? Yo creé mi identidad GPG gracias a René, de Bulma, que me ayudó en todos los pasos a través de jabber. Me recomendó que crease la para que caducara en un año, por ser novatillo. ¿Voy a tener que regenerar claves, y perderé a toda la gente que me ha firmado? (son pocos, pero me jodería perder lo poco que tengo).
  • ¿Siguiendo el texto sobre firma de claves, me queda la duda de saber como se asegura que el repositorio de claves es fiable. Ya sé que iarenaza es fiable ;-), pero... ¿Cómo se puede uno fiar de que el fingerprint de la fotocopia está bien? Por lo que he entendido, la utilidad de la fotocopia, es para que en la reunión no tengas que escribir a mano las huellas de cada uno, sino que tan solo compruebes que la persona que se ha identificado, tiene esa huella. El que tú compruebes en tu máquina, que la clave de tal persona, tiene cual fingerprint, es lo que realmente sirve como comprobación.
  • ¿Porqué el paso de enviar la clave firmada al destinatario? ¿No es algo que pierde sentido usando los repositorios de claves? Con el --update-trustdb y el --refresh-keys, ¿no se hace lo mismo?
  • Mi querido KMail soporta tan sólo GPG/Mime a través de unas librerías externas :-(, (las del proyecto aegypten) las cuales no están en woody. Me imagino que se debe poder descifrar o comprobar la firma de un mensaje, usando comandos de GnuPG, pero ¿es muy complicado?


Perdonadme por ser tan inculto O;-). Si creéis que no es conveniente preguntar esto aquí, ya me espavilaré en otro lado.

Saludos.


Esto será mi vida, porque es lo único importante en ella.
Y, si fracaso, moriré, porque para mí no existe nada más.

Raistlin Majere


tratando de resolver (none / 0) (#8)
por Envite a las Tue Sep 9th, 2003 at 11:49:37 AM CET
(Información Usuario)

Y es que me has tocado la vena de profesor de gpg...

Sobre las claves que caducan, puedes tratar de ampliar su limite, o bien crear una clave nueva y firmarla con esa clave antes de que caduque. Si la amplias, la gente a la que no le llegue la ampliacion te dara por caducado. Si creas una nueva, perderas las firmas, pero tu clave nueva sera completamente valida, y estara "validada" por las firmas sobre tu clave antigua, pero con un paso mas de distancia.

Nadie te dice que sea fiable, pero siempre puedes tratar de comprobar la clave con el propietario. Yo, por mi parte, no uso servidores de claves.

Para que el destinatario, cuando tenga que darle su clave a otras personas, la entregue firmada tambien por ti.

Es muy, muy sencillo. Echale un vistazo en la pagina man a --verify. Y por cirto, si no pones ningun comando sino solo el nombre del archivo a verificar, se asume --verify. Y si pones el comando a secas, sin argumentos, verificara la entrada estandar.

A mandar

er Envite
No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
Voltaire

[ Padre ]


Gracias por las respuestas (2.00 / 1) (#9)
por suy (suy21.existe-en.lycos.es) a las Thu Sep 11th, 2003 at 02:09:49 PM CET
(Información Usuario) http://lacurva.net/

Gracias por las respuestas, Envite. La verdad es que me gusta el tema, pero me fallan tantas cosillas... :-).

Saludos.


Esto será mi vida, porque es lo único importante en ella.
Y, si fracaso, moriré, porque para mí no existe nada más.

Raistlin Majere
[ Padre ]


 
Enlace roto (2.00 / 1) (#1)
por mariscal a las Sun Sep 7th, 2003 at 01:41:41 AM CET
(Información Usuario) http://people.javahispano.org/~mariscal

El enlace http://www.escomposlinux.org/iarenaza/fiesta-pgp/ da un error 404.



 
Error de concepto (none / 0) (#2)
por Envite a las Sun Sep 7th, 2003 at 12:22:57 PM CET
(Información Usuario)

Firmar una clave porque la consideres valida es un ERROR DE BULTO en la creacion de una red de confianza firme y estable. Debes firmar solo las claves que hayas comprobado personalmente, la validez de las demas te la da la telara~a.
Si firmas una clave porque la ha firmado alguien de quien te fias, estas aumentando en un paso la validez de esa clave para quien confia en ella a traves de ti, y eso debilita, en vez de fortalecer, la red de confianza, porque toda esa gente, al ver tu firma, pensara que la has comprobado personalmente cuando no es asi.
No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
Voltaire



Yo no veo error (2.00 / 1) (#4)
por mariscal a las Sun Sep 7th, 2003 at 07:21:00 PM CET
(Información Usuario) http://people.javahispano.org/~mariscal

Se dice textualmente: "Si nosotros por algun medio externo podemos verificar la identidad real del propietario de la clave[...]".

Nadie dice que no haya comprobado personalmente la clave antes de firmarla. Vamos, esto es teoría básica de Criptografía, y está tal cual.

[ Padre ]


No, no me referia a ese parrafo (none / 0) (#7)
por Envite a las Tue Sep 9th, 2003 at 11:35:44 AM CET
(Información Usuario)

Tu citas del cuarto parrafo del cuerpo de la noticia:
Y ahi es donde surge el concepto de firmado o certificacion de claves y la red de confianza (mas detalles en ingles aqui. Si nosotros por algun medio externo podemos verificar la identidad real del propietario de la clave, podemos a partir de ese momento estar seguros de que esa clave efectivamente pertenece a esa persona. Podemos por tanto asumir un paso de confianza adicional y estampar nuestra firma digital sobre dicha clave (certificarla). Ello sirve para indicar que nosotros hemos sido capaces de verificar la procedencia de dicha clave y de alguna forma certificamos su validez.
Pero yo me referia al sexto:
Este ultimo es el paso clave para establecer la red o telarana de confianza. Si alguien se fia de mi clave (y de mi criterio para firmar otras claves, una vez me he asegurado de su autenticidad y procedencia), ese alguien a su vez se puede sentir seguro para firmar esa tercera clave. El directamente puede no haber autenticado la clave y su procedencia, pero se fia de mi clave y de mi, y a su vez extiende la "validez" de esa tercera clave estampando su firma en ella.
En este parrafo sugieres que alguien firme una clave solo porque tu la has firmado y porque confia en ti, pero sin que esa persona compruebe personalmente la identidad del propietario de esa clave. Ahi esta el error de bulto que comentaba.
No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
Voltaire

[ Padre ]


 
Fiesta de firma de claves GPG/PGP en el VI Congreso Hispalinux | 12 comentarios (10 temáticos, 2 editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda