Mailinglist Archive: opensuse-es (1652 mails)
| < Previous | Next > |
Re: [opensuse-es] Re: GPG en Linux
- From: "Carlos E. R." <robin.listas@xxxxxxxxxxxxxx>
- Date: Wed, 17 Dec 2008 01:19:03 +0100 (CET)
- Message-id: <alpine.LSU.2.00.0812170024340.20616@xxxxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El 2008-12-16 a las 21:23 +0100, Camaleón escribió:
El kmail debería tirar de kgpg del kde. Si estás en gnome no se si funciona.
Eso significa mensaje alterado.
Entonces ese es el problema, ha habido una traducción de los acentos, y basta que cambie un solo bit para que la firma se invalide.
Correcto.
Correcto.
El software sabe que la firma es buena, pero no sabe si yo soy yo.
Ya te lo dije, que suponía un cierto trabajo. A cambio de ser gratis y no controlado por ningún gobierno ni empresa, sino que es llevado por los usuarios del mismo, tienes ciertos inconvenientes.
Así es como funcionan los certificados PKCS (en el Thunderbird tienes los dos tipos). Una autoridad certificadora te da un certificado, que lo puedes usar para firmar correos. Si el envías un correo firmado a cualquiera, el programa interroga al servidor de verisign o la fnmt o quien sea, te baja la parte publica de la llave, y certifica.
Y, por ejemplo, en le caso de la fnmt, te miran el DNI antes de hacerte entrega del certificado: son ellos los que certifican ante todo el mundo que la firma corresponde a tí.
A cambio tienes que pagarles.
Siendo paranoicos, como el par de llaves se genera en sus servidores (creo), ellos podrían quedarse con tu llave secreta. Precisamente la fnmt me ha avisado que mi certificado tengo que renovarlo, me fijaré.
Los PGP en cambio se generan en tu propio ordenador, tú lo controlas y no pagas a nadie. Y lo puedes usar para firmar un emilio, un documento word, o un paquete rpm.
La cadena de confianza es propia de tu ordenador, o mejor dicho, de tu usuario: lo que exportas a los servidores, es por un lado tu propia llave publica (no la privada), y por otro las firmas que has hecho de otras llaves de otra gente. A partir de ahí, los demás generarán su propia cadena de confianza con las llaves que hayan importado.
Pues claro. Como en todo :-p
No digas certificados ssl, dí PKCS. Se parecen, pero son distintos. Y sí, en efecto, tienen sus ventajas, y esa es de las más importantes.
http://en.wikipedia.org/wiki/PKCS
La que se usa en correo electrónico es la #7.
Sin embargo, el PGP es el sistema que usa SuSE con nosotros, y y también tiene sus ventajas (que tiene más soporte es una muy gorda).
Claro.
Pero, también pueden entregar sus respectivas llaves al encargado de negocios de la embajada francesa, el cual las firma; y las empresas firman la del mismo encargado de negocios (en su país).
Por otro lado, el encargado de negocios (dos, uno en Usa y otro en Libia) tiene su llave firmada por su embajador, que es su jefe.
Y los respectivos embajadores tienen su llave firmada por el ministro de exteriores francés, y viceversa.
Ya tienes una cadena de confianza realizada. Las empresas sólo tienen que importar la llave del director de la otra empresa, y listo. Bueno, no estoy seguro de si además tienen que importar las de los intermediarios.
Otro ejemplo. Suponte que eres del servicio de inteligencia español, y no tienes un duro - para variar. Antes de salir de misión, intercambias llaves PGP con tu jefe, y no la subes a ningún servidor. Sólo tu jefe podrá leer tus correos, y ningún servidor tendrá copia de ninguna llave usada en el intercambio, ni publica ni privada. Y la llave puede ser tan fuerte que hasta los de la CÍA sudarían tinta para descifrar tus correos con fotos de los misiles.
Podría.
Aunque te darías cuenta cuando al bajar actualizaciones de los repositorios el rpm protestaría de que la firma no coincide, que los paquetes están alterados.
Si, es complicaillo. Esto de la criptografía tiene sus cosas. Por cierto, que sé de empresas que rutinariamente firman todos sus correos, pero con PKCS.
- -- Saludos
Carlos E.R.
Esta es la coletilla que inserto en mis correos firmados con PKCS7:
Este correo puede estar firmado digitalmente (si su programa cliente de
correo lo soporta se lo mostrará con un iconito), con certificado PKCS7
emitido por la FNMT, que garantiza la autenticidad y la no manipulación
del correo electrónico en tránsito.
Asimismo, es posible garantizar el secreto de las comunicaciones por
email cuando el destinatario también posee un certificado similar; para
ello basta con enviarme un correo firmado digitalmente por el mismo
procedimiento.
Que como puedes observar es para incordiar a las empresas que ponen una coletilla, que dice justo lo contrario >:-)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAklIRXkACgkQtTMYHG2NR9WfkgCfdXmHVGKJKeI/IhI3XBtr0OaS
MJ0An0Jh6N8EQQV4EIZmFayXGBQ2yg5U
=JWzG
-----END PGP SIGNATURE-----
Hash: SHA1
El 2008-12-16 a las 21:23 +0100, Camaleón escribió:
El 16/12/08, Carlos E. R. escribió:
No hace falta: los servidores de llaves están intercomunicados entre si.
Yo lo subo a uno, termina apareciendo en todos. Y tu kde/gnome está
preconfigurado para comunicarse con un pool.
Con kmail no lo he sabido configurar... pero desde el thunderbird sí.
El kmail debería tirar de kgpg del kde. Si estás en gnome no se si funciona.
El correo de Nacho, me dice:
***
Error - signature verification failed; click Pen icon for details
Firma INCORRECTA de "Ignacio de Juan
**
Eso significa mensaje alterado.
Y los caracteres con acentos se muestran mal, tanto en kmail como en
thunderbird. En gmail se lee bien.
Entonces ese es el problema, ha habido una traducción de los acentos, y basta que cambie un solo bit para que la firma se invalide.
En el tuyo, pone:
***
UNTRUSTED Good signature from Carlos E. R. (cer)
***
Correcto.
Lo de Nacho será porque no lo ha subido a los servidores y no se podrá
validar, pero el "untrusted"¿qué significa? ¿que la firma es válida
pero que yo no confío en ella? :-? Es decir, ¿que aún no he comprobado
que tú eres tú y por eso no es "confiable" para mí...?
Correcto.
El software sabe que la firma es buena, pero no sabe si yo soy yo.
Este sistema es demasiado "personal", lo encuentro un tanto extraño.
Ya te lo dije, que suponía un cierto trabajo. A cambio de ser gratis y no controlado por ningún gobierno ni empresa, sino que es llevado por los usuarios del mismo, tienes ciertos inconvenientes.
Es decir, un certificado ssl se genera con los datos de la empresa (o
del usuario), dirección, contacto, web, e-mail... ¿y cómo valida
realmente quién es? Hum... lo que valida es el dominio, claro.
Y en el caso de los certificados personales, valida las direcciones de
correo que previamente se le han proporcionado a la autoridad
certificadora (Verisign, etc...) y en la cual nosotros (los
destinatarios) confiamos porque los certificados de Verisign están
instalados en la mayoría de los sistemas.
Si es así, entendido :-)
Así es como funcionan los certificados PKCS (en el Thunderbird tienes los dos tipos). Una autoridad certificadora te da un certificado, que lo puedes usar para firmar correos. Si el envías un correo firmado a cualquiera, el programa interroga al servidor de verisign o la fnmt o quien sea, te baja la parte publica de la llave, y certifica.
Y, por ejemplo, en le caso de la fnmt, te miran el DNI antes de hacerte entrega del certificado: son ellos los que certifican ante todo el mundo que la firma corresponde a tí.
A cambio tienes que pagarles.
Siendo paranoicos, como el par de llaves se genera en sus servidores (creo), ellos podrían quedarse con tu llave secreta. Precisamente la fnmt me ha avisado que mi certificado tengo que renovarlo, me fijaré.
Los PGP en cambio se generan en tu propio ordenador, tú lo controlas y no pagas a nadie. Y lo puedes usar para firmar un emilio, un documento word, o un paquete rpm.
¿Cómo se accede (y quién puede acceder) a esa "cadena de confianza"?
¿Debe haber mutuo acuerdo entre dos personas como mínimo para subir
esos datos a los servidores públicos de claves?
La cadena de confianza es propia de tu ordenador, o mejor dicho, de tu usuario: lo que exportas a los servidores, es por un lado tu propia llave publica (no la privada), y por otro las firmas que has hecho de otras llaves de otra gente. A partir de ahí, los demás generarán su propia cadena de confianza con las llaves que hayan importado.
No, lo que transmite es que "A" tiene la llave "a". Es decir, doy fe de
que Pepe tiene esta llave porque le conozco personalmente y lo he
comprobado.
Las claves de todos las tenemos todos. Lo que no tenemos es el grado de
confiabilidad de las mismas. Por eso, si B y A se conocen personalmente,
se firmam mutuamente sus llaves, con lo cual, si C conoce a B y también se
firman sus llaves, y toda esa información se sube, automáticamente la
cadena de confianza le permite a C tener confianza en la clave de A.
Es decir, que el sistema de confianza se basa en las personas... ugh X-P.
Pues claro. Como en todo :-p
Eso son las llaves PKCS, y no todos los programas las soportan. Ahora
bien, no hay nada que impida a una entidad ponerse a certificar (firmar)
llaves PGP de la gente que se identifique con ellos. Basta con que tu
compruebes y firmes la llave de la entidad para que automáticamente tengas
valorada toda la lista de usuarios de la entidad.
Se puede hacer dentro de una empresa, por ejemplo.
O.k. pero se me antoja un sistema poco práctico para empresas que no
se tengan conocimiento previo entre ellas o que se desconfíe por algún
motivo. Creo que en este caso un certificado ssl (un certificado
personal) sería lo más conveniente ya que actuaría de intermediario
"neutral".
No digas certificados ssl, dí PKCS. Se parecen, pero son distintos. Y sí, en efecto, tienen sus ventajas, y esa es de las más importantes.
http://en.wikipedia.org/wiki/PKCS
La que se usa en correo electrónico es la #7.
Sin embargo, el PGP es el sistema que usa SuSE con nosotros, y y también tiene sus ventajas (que tiene más soporte es una muy gorda).
Un ejemplo malvado:
Empresa A y Empresa B no se conocen.
Empresa A es estadounidense y Empresa B es Libia >:-)
Empresa A y Empresa B desconfían mutuamente una de la otra pero
necesitan certificar sus comunicaciones.
Empresa A y Empresa B necesitan un intermediario neutral: una CA
O:-)
Claro.
Pero, también pueden entregar sus respectivas llaves al encargado de negocios de la embajada francesa, el cual las firma; y las empresas firman la del mismo encargado de negocios (en su país).
Por otro lado, el encargado de negocios (dos, uno en Usa y otro en Libia) tiene su llave firmada por su embajador, que es su jefe.
Y los respectivos embajadores tienen su llave firmada por el ministro de exteriores francés, y viceversa.
Ya tienes una cadena de confianza realizada. Las empresas sólo tienen que importar la llave del director de la otra empresa, y listo. Bueno, no estoy seguro de si además tienen que importar las de los intermediarios.
Otro ejemplo. Suponte que eres del servicio de inteligencia español, y no tienes un duro - para variar. Antes de salir de misión, intercambias llaves PGP con tu jefe, y no la subes a ningún servidor. Sólo tu jefe podrá leer tus correos, y ningún servidor tendrá copia de ninguna llave usada en el intercambio, ni publica ni privada. Y la llave puede ser tan fuerte que hasta los de la CÍA sudarían tinta para descifrar tus correos con fotos de los misiles.
Porque has comprado el DVD y te ha venido por correo. Sólo serían falsas
si alguien hubiera interceptado el envío y puesto un DVD falso dentro.
Claro, yo eso no lo puedo saber. Igual el de correos que me entrega el
paquete es realmente un espía infiltrado del MI5 ¬_¬
Podría.
Aunque te darías cuenta cuando al bajar actualizaciones de los repositorios el rpm protestaría de que la firma no coincide, que los paquetes están alterados.
Tú puedes firmar las claves pgp de uno o de mil usuarios que conozcas. Si
yo confío en tu uso de las firmas, te valoro y firmo tu clave, entonces
paso a tener en mi cadena de confianza todas las firmas que has hecho.
Nota: se pueden firmar documentos, emilios, otras claves... la cadena de
confianza funciona frimando las llaves de otros en los que confias.
Vale, vale... oído cocina.
Pero un poquillo "compliao" sí es (o eso me parece, vaya...) <|:-)
Si, es complicaillo. Esto de la criptografía tiene sus cosas. Por cierto, que sé de empresas que rutinariamente firman todos sus correos, pero con PKCS.
- -- Saludos
Carlos E.R.
Esta es la coletilla que inserto en mis correos firmados con PKCS7:
Este correo puede estar firmado digitalmente (si su programa cliente de
correo lo soporta se lo mostrará con un iconito), con certificado PKCS7
emitido por la FNMT, que garantiza la autenticidad y la no manipulación
del correo electrónico en tránsito.
Asimismo, es posible garantizar el secreto de las comunicaciones por
email cuando el destinatario también posee un certificado similar; para
ello basta con enviarme un correo firmado digitalmente por el mismo
procedimiento.
Que como puedes observar es para incordiar a las empresas que ponen una coletilla, que dice justo lo contrario >:-)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAklIRXkACgkQtTMYHG2NR9WfkgCfdXmHVGKJKeI/IhI3XBtr0OaS
MJ0An0Jh6N8EQQV4EIZmFayXGBQ2yg5U
=JWzG
-----END PGP SIGNATURE-----
| < Previous | Next > |