-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-12-16 a las 17:34 +0100, Camaleón escribió:
El 16/12/08, Carlos E. R. escribió:
Pero pinchando en el icono de la llave (creo recordar que es ahí) te sale un menusito que entre otras cosas permite importar automáticamente las llaves desde un servidor de llaves - para lo cual el remitente tiene que haberla subido previamente, que es tan facil como en el manejador de llaves (kgpg o seahorse o thunderbird) decirle que la exporte. ¡Pero ojo! Una vez exportada no la puedes borrar jamás (la puedes revocar, no borrar).
Caray, qué de pasos :-)
Entonces ¿necesitaría saber la URL para poder importar las claves donde habéis subido vuestra firma o necesitaría que me las enviárais por correo, directamente? :-?
No hace falta: los servidores de llaves están intercomunicados entre si. Yo lo subo a uno, termina apareciendo en todos. Y tu kde/gnome está preconfigurado para comunicarse con un pool.
Así se forma una cadena de llaves autentificadas.
Me parece que este sistema de "cadena de confianzas" podría ser peligroso: si yo le paso a Nacho mi clave (contaminada o manipulada) él la distribuiría al resto mediante esa propiedad "conductiva" que dices :-?
Tendría que ser a propósito. Es decir, tú dices que das fe de que nacho tiene esa llave, y te creemos. Si la llave que pasas no es de Nacho sino de Juan, la hemos liado, claro. Nacho podría revocar su propia llave, pero no la falsa, que es en realidad de Juan. La cadena de confianza, por cierto, tiene puntuación: yo puedo decir que no me fio nada de tu uso de las firmas, y eso también figurará en la cadena de confianza.
Lo que no entiendo del todo es cómo se transmite a un tercero esa confianza si ese tercero no tiene la clave. A ver:
"A" transmite su clave a "B" "B" transmite su clave a "C" ¿"C" tiene la clave de "A" y de "B"?
:-?
No, lo que transmite es que "A" tiene la llave "a". Es decir, doy fe de que Pepe tiene esta llave porque le conozco personalmente y lo he comprobado. Las claves de todos las tenemos todos. Lo que no tenemos es el grado de confiabilidad de las mismas. Por eso, si B y A se conocen personalmente, se firmam mutuamente sus llaves, con lo cual, si C conoce a B y también se firman sus llaves, y toda esa información se sube, automáticamente la cadena de confianza le permite a C tener confianza en la clave de A.
Hum... ¿no sería más sencillo un sistema como el que usan los certificados ssl, es decir, centralizado en las CA? >:-?
Eso son las llaves PKCS, y no todos los programas las soportan. Ahora bien, no hay nada que impida a una entidad ponerse a certificar (firmar) llaves PGP de la gente que se identifique con ellos. Basta con que tu compruebes y firmes la llave de la entidad para que automáticamente tengas valorada toda la lista de usuarios de la entidad. Se puede hacer dentro de una empresa, por ejemplo.
Por ejemplo, al instalar opensuse, puedes importar ciertas llaves que vienen en el DVD, de algunos servicios de suse. Si aceptas como válidas esas firmas (si han venido en el dvd comprado son válidas), entonces automáticamente se validan las firmas de correo de una buena parte del personal de SuSE.
¿Quiere eso decir que una firma puede validar múltiples direcciones? ¿Y cómo comprobaría si, efectivamente, las firmas que vienen en el DVD son válidas?
Porque has comprado el DVD y te ha venido por correo. Sólo serían falsas si alguien hubiera interceptado el envío y puesto un DVD falso dentro. Tú puedes firmar las claves pgp de uno o de mil usuarios que conozcas. Si yo confío en tu uso de las firmas, te valoro y firmo tu clave, entonces paso a tener en mi cadena de confianza todas las firmas que has hecho. Nota: se pueden firmar documentos, emilios, otras claves... la cadena de confianza funciona frimando las llaves de otros en los que confias. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAklH/TkACgkQtTMYHG2NR9U26ACeOtvW5z/x7am2f+bzB+JOsh+w Q7cAniD2RfJXU78y6+uC4psUonzLgzj8 =zFH5 -----END PGP SIGNATURE-----