Mailinglist Archive: opensuse-es (1652 mails)
| < Previous | Next > |
Re: [opensuse-es] Re: GPG en Linux [Era: OT Semi PGP]
- From: "Camaleón" <noelamac@xxxxxxxxx>
- Date: Tue, 16 Dec 2008 21:23:03 +0100
- Message-id: <b23e69e70812161223n5b5d1e9fucdff9cc7c1d7db49@xxxxxxxxxxxxxx>
El 16/12/08, Carlos E. R. escribió:
Con kmail no lo he sabido configurar... pero desde el thunderbird sí.
El correo de Nacho, me dice:
***
Error - signature verification failed; click Pen icon for details
Firma INCORRECTA de "Ignacio de Juan
**
Y los caracteres con acentos se muestran mal, tanto en kmail como en
thunderbird. En gmail se lee bien.
En el tuyo, pone:
***
UNTRUSTED Good signature from Carlos E. R. (cer)
***
Lo de Nacho será porque no lo ha subido a los servidores y no se podrá
validar, pero el "untrusted"¿qué significa? ¿que la firma es válida
pero que yo no confío en ella? :-? Es decir, ¿que aún no he comprobado
que tú eres tú y por eso no es "confiable" para mí...?
Este sistema es demasiado "personal", lo encuentro un tanto extraño.
Es decir, un certificado ssl se genera con los datos de la empresa (o
del usuario), dirección, contacto, web, e-mail... ¿y cómo valida
realmente quién es? Hum... lo que valida es el dominio, claro.
Y en el caso de los certificados personales, valida las direcciones de
correo que previamente se le han proporcionado a la autoridad
certificadora (Verisign, etc...) y en la cual nosotros (los
destinatarios) confiamos porque los certificados de Verisign están
instalados en la mayoría de los sistemas.
Si es así, entendido :-)
¿Cómo se accede (y quién puede acceder) a esa "cadena de confianza"?
¿Debe haber mutuo acuerdo entre dos personas como mínimo para subir
esos datos a los servidores públicos de claves?
Es decir, que el sistema de confianza se basa en las personas... ugh X-P.
O.k. pero se me antoja un sistema poco práctico para empresas que no
se tengan conocimiento previo entre ellas o que se desconfíe por algún
motivo. Creo que en este caso un certificado ssl (un certificado
personal) sería lo más conveniente ya que actuaría de intermediario
"neutral".
Un ejemplo malvado:
Empresa A y Empresa B no se conocen.
Empresa A es estadounidense y Empresa B es Libia >:-)
Empresa A y Empresa B desconfían mutuamente una de la otra pero
necesitan certificar sus comunicaciones.
Empresa A y Empresa B necesitan un intermediario neutral: una CA
O:-)
Claro, yo eso no lo puedo saber. Igual el de correos que me entrega el
paquete es realmente un espía infiltrado del MI5 ¬_¬
Vale, vale... oído cocina.
Pero un poquillo "compliao" sí es (o eso me parece, vaya...) <|:-)
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
No hace falta: los servidores de llaves están intercomunicados entre si.
Yo lo subo a uno, termina apareciendo en todos. Y tu kde/gnome está
preconfigurado para comunicarse con un pool.
Con kmail no lo he sabido configurar... pero desde el thunderbird sí.
El correo de Nacho, me dice:
***
Error - signature verification failed; click Pen icon for details
Firma INCORRECTA de "Ignacio de Juan
**
Y los caracteres con acentos se muestran mal, tanto en kmail como en
thunderbird. En gmail se lee bien.
En el tuyo, pone:
***
UNTRUSTED Good signature from Carlos E. R. (cer)
***
Lo de Nacho será porque no lo ha subido a los servidores y no se podrá
validar, pero el "untrusted"¿qué significa? ¿que la firma es válida
pero que yo no confío en ella? :-? Es decir, ¿que aún no he comprobado
que tú eres tú y por eso no es "confiable" para mí...?
Este sistema es demasiado "personal", lo encuentro un tanto extraño.
Es decir, un certificado ssl se genera con los datos de la empresa (o
del usuario), dirección, contacto, web, e-mail... ¿y cómo valida
realmente quién es? Hum... lo que valida es el dominio, claro.
Y en el caso de los certificados personales, valida las direcciones de
correo que previamente se le han proporcionado a la autoridad
certificadora (Verisign, etc...) y en la cual nosotros (los
destinatarios) confiamos porque los certificados de Verisign están
instalados en la mayoría de los sistemas.
Si es así, entendido :-)
Tendría que ser a propósito. Es decir, tú dices que das fe de que nacho
tiene esa llave, y te creemos. Si la llave que pasas no es de Nacho sino
de Juan, la hemos liado, claro. Nacho podría revocar su propia llave, pero
no la falsa, que es en realidad de Juan.
La cadena de confianza, por cierto, tiene puntuación: yo puedo decir que
no me fio nada de tu uso de las firmas, y eso también figurará en la
cadena de confianza.
¿Cómo se accede (y quién puede acceder) a esa "cadena de confianza"?
¿Debe haber mutuo acuerdo entre dos personas como mínimo para subir
esos datos a los servidores públicos de claves?
No, lo que transmite es que "A" tiene la llave "a". Es decir, doy fe de
que Pepe tiene esta llave porque le conozco personalmente y lo he
comprobado.
Las claves de todos las tenemos todos. Lo que no tenemos es el grado de
confiabilidad de las mismas. Por eso, si B y A se conocen personalmente,
se firmam mutuamente sus llaves, con lo cual, si C conoce a B y también se
firman sus llaves, y toda esa información se sube, automáticamente la
cadena de confianza le permite a C tener confianza en la clave de A.
Es decir, que el sistema de confianza se basa en las personas... ugh X-P.
Eso son las llaves PKCS, y no todos los programas las soportan. Ahora
bien, no hay nada que impida a una entidad ponerse a certificar (firmar)
llaves PGP de la gente que se identifique con ellos. Basta con que tu
compruebes y firmes la llave de la entidad para que automáticamente tengas
valorada toda la lista de usuarios de la entidad.
Se puede hacer dentro de una empresa, por ejemplo.
O.k. pero se me antoja un sistema poco práctico para empresas que no
se tengan conocimiento previo entre ellas o que se desconfíe por algún
motivo. Creo que en este caso un certificado ssl (un certificado
personal) sería lo más conveniente ya que actuaría de intermediario
"neutral".
Un ejemplo malvado:
Empresa A y Empresa B no se conocen.
Empresa A es estadounidense y Empresa B es Libia >:-)
Empresa A y Empresa B desconfían mutuamente una de la otra pero
necesitan certificar sus comunicaciones.
Empresa A y Empresa B necesitan un intermediario neutral: una CA
O:-)
Porque has comprado el DVD y te ha venido por correo. Sólo serían falsas
si alguien hubiera interceptado el envío y puesto un DVD falso dentro.
Claro, yo eso no lo puedo saber. Igual el de correos que me entrega el
paquete es realmente un espía infiltrado del MI5 ¬_¬
Tú puedes firmar las claves pgp de uno o de mil usuarios que conozcas. Si
yo confío en tu uso de las firmas, te valoro y firmo tu clave, entonces
paso a tener en mi cadena de confianza todas las firmas que has hecho.
Nota: se pueden firmar documentos, emilios, otras claves... la cadena de
confianza funciona frimando las llaves de otros en los que confias.
Vale, vale... oído cocina.
Pero un poquillo "compliao" sí es (o eso me parece, vaya...) <|:-)
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |