[Solar-general] Firmas digitales

Pablo DeNápoli pdnapoli en linux.org.ar
Mie Ene 14 09:53:34 CET 2004 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Mar 13 Ene 2004 14:43, El Profe escribió:
> Perdón por mi ignorancia (como decía Borges).
>
> Pero cuál es la razón para que usemos firmas digitales?

Me alegro que haya vuelto a debatirse este tema de las firmas digitales en la 
lista. Yo propuse usar las claves públicas por varias razones:

1) El correo electrónico es absolutamente inseguro con los protocolos de hoy 
en día, por ej: no es posible validar el origen de un mail (para 
demostrármelo un amigo me mandó un mail de bush en whitehouse.gov). 
(ya sé, se puede ver el header, pero eso da una seguridad relativa, y poca 
gente se toma el trabajo de leerlo)

La única forma de evitar que algún día (que pudiera ser hoy mismo) alguien 
mande un mail trucho en nombre nuestro es empezar a usar hoy firma digital. 

Quizas no lo sé para todos los mails comunes, eso quizás es exagerado. Pero sí 
yo propondría hacerlo para aquellos mails que sean importantes, por ej. 
anuncios en nombre de SoLar. 

2) El uso de mails encriptados abre la posibilidad de disponer de canales 
seguros para comunicaciones confidenciales. Eso es muy importante por ejemplo 
si tenemos que tratar algún tema legal o que involucre cuestiones de dinero
Como mínimo, esas cuestiones no deberían tratarse en una lista de correo 
pública.

De vuelta los protocolos de e-mail son super inseguros, el texto de los mails 
viaja plano por la red. Solo con la criptografía de llave pública se puede 
asegurar que solo el destinario leerá el mensaje. Yo creo que en un futuro la 
encriptación debería formar parte del protocolo de e-mail y que todos los 
mails viajen de hecho encriptados, solo así el correo electrónico sería 
seguro (pero no creo que la gente que fija los estándares de internet me dé 
bola, ja ja.)

3)También podría ser importante el uso de GPG en organizaciones políticas de 
base, para protegerse del espionaje ideológico (y quizás muchas cosas que se 
hablan aquí son políticas). Se imaginan que pasaría si ahora hubiera una 
dictadura... ? en los 70, se fichaba a la gente cuya ideologia era 
considerada peligrosa por las agendas de otros, ahora podrían hacerlo más 
facilmente simplemente escaneando el correo electrónico.

Vlad por ejemplo propuso capacitar a la gente del MTD en el uso de GPG. Ahora 
digo, no les podemos decir: usen GPG que es bárbaro. Y no usarlo nosotros, 
hay que predicar con el ejemplo.

Lean el artículo

¿Porqué necesitas PGP?
Por Phil Zimmermann, creador de PGP 
http://www.pgpi.org/doc/whypgp/es/

Como diría Fede "que yo sea paranoico no quiere decir que no me persigan".
¿Que soy muy paranoico? Los invito a visitar la página de la NSA

http://www.nsa.gov/about_nsa/index.html

En fin parece que Georg Orwell se quedó corto =)

> Lo pregunto con la mejor onda. Solo que no le encuentro el real sentido. No

> es lo mismo que le agreguemos la firma desde nuestro cliente de correo?

No, en absoluto. Un mensaje firmado digitalmente es (practicamente) imposible 
de falsificar, porque lo que se adjunta es un hash del mensaje encriptado con 
un algoritmo de clave pública (por ej. RSA). . 

Adjuntar la "firma" desde nuestro cliente de correo electrónico no agrega 
ninguna seguridad, cualquiera la puede truchar.

Si les interesa saber más sobre como funciona, pueden leer

How PGP woks
http://www.pgpi.org/doc/pgpintro/

Sobre el tema de como usar PGP para el correo electrónico, hay un excelente 
artículo de Daniel Coletti

Privacidad en correos electrónicos con GPG
http://www.xtech.com.ar/articulos/gpg/html/

Yo uso kpg y kmail y son fáciles de usar.

Como nivel cero de seguridad propongo que tengamos una lista cerrada para las
discusiones que no debieran trascender hacia afuera. Eso sería lo minimo.

Un saludo,
Pablo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQFABTvkWnrw2wWnkKIRAhADAJ0XVO6intWWU+/NGSkqDymSCxPvqACdFViS
dsEjtIhq1xmsPDcvHWejiko=
=vsZS
-----END PGP SIGNATURE-----