From kikuelo en gmail.com Thu Jan 8 15:30:45 2009 From: kikuelo en gmail.com (Enrique Ramos Ortiz) Date: Thu, 08 Jan 2009 15:30:45 +0100 Subject: CAParty (PGP & CACERT) Message-ID: <49660E15.5050302@gmail.com> Buenas que tal. Han anunciado una party con PGP y CACERT. Yo hace poco os comenté a través de esta lista que quizás hacia una Keysigning Party con GPG, pero de momento no la he organizado porque no he tenido ocasión de empollarme los manuales, y la verdad es que desconozco bastante el tema, pero voy a ver si me pongo las pilas y me entero de que va :o) From kikuelo en gmail.com Thu Jan 8 15:32:23 2009 From: kikuelo en gmail.com (Enrique Ramos Ortiz) Date: Thu, 08 Jan 2009 15:32:23 +0100 Subject: ETA dice que PGP es vulnerable Message-ID: <49660E77.8090306@gmail.com> ¿Qué opináis? http://www.larazon.es/noticia/eta-encargo-a-un-tecnico-de-gara-un-nuevo-sistema-de-encriptacion From jaime.suma en gmail.com Thu Jan 8 17:05:05 2009 From: jaime.suma en gmail.com (Jaime Suarez) Date: Thu, 8 Jan 2009 17:05:05 +0100 Subject: ETA dice que PGP es vulnerable In-Reply-To: <49660E77.8090306@gmail.com> References: <49660E77.8090306@gmail.com> Message-ID: Pues que bien ETA, bien el periodista, bien ambos no saben que el que se intercepte una clave pública no es ningún peligro, de hecho se coloca en un servidor de claves para que todo el que quiera la pueda recoger y escribirte. On Thu, Jan 8, 2009 at 3:32 PM, Enrique Ramos Ortiz wrote: > ¿Qué opináis? > > > http://www.larazon.es/noticia/eta-encargo-a-un-tecnico-de-gara-un-nuevo-sistema-de-encriptacion > > > > _______________________________________________ > Gnupg-es mailing list > Gnupg-es en gnupg.org > http://lists.gnupg.org/mailman/listinfo/gnupg-es > -- Jaime Suárez Linux user #114.688 Clave pública 0x6E90E61B. Mi página en http://www.mundocripto.com Timothy Leary - "Women who seek to be equal with men lack ambition." ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: From faramir.cl en gmail.com Thu Jan 8 19:27:23 2009 From: faramir.cl en gmail.com (Faramir) Date: Thu, 08 Jan 2009 15:27:23 -0300 Subject: CAParty (PGP & CACERT) In-Reply-To: <49660E15.5050302@gmail.com> References: <49660E15.5050302@gmail.com> Message-ID: <4966458B.4040306@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Enrique Ramos Ortiz escribió: > Buenas que tal. Buenas, por aquí estamos aguantando el verano (con más de 30°C de máxima), ¿qué tal por allá? > Han anunciado una party con PGP y CACERT. Yo hace poco os comenté a > través de esta lista que quizás hacia una Keysigning Party con GPG, pero > de momento no la he organizado porque no he tenido ocasión de empollarme > los manuales, y la verdad es que desconozco bastante el tema, pero voy a > ver si me pongo las pilas y me entero de que va :o) Te deseo suerte, aprovecha que tú estás cerca de donde hacen esos eventos.... acá, habemos 4 "assurers" de CAcert (yo apenas conseguí los puntos en Diciembre, y aún no me "estreno"), de los cuales me parece que solo 2 usamos OpenPGP... También me uní a GSWoT.org, pero dudo que vaya a firmar claves a corto plazo... Saludos -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iQEcBAEBCAAGBQJJZkWKAAoJEMV4f6PvczxA+YEH/0Ds0Vkdvvs/0J0LYYqiBgRt o0BOvUCFciMEab+PQWYyWxA9aahudyu73WCiGWgYizYKnTq81+J30i0joyMBM+ab wBI8Kg19DU8JFG+Q+ZP+Fq0hwhf+Ax7iopRg/D0Qh9iAtxEd4Gi31D7NPzoJI6H1 qoU71UTgXEAHseQJq/a+RxsfVyxJMV+SpjupUmP943kMTqFqZ+dcS1wr9gcVAFxn NQOFHDxsEYAA+toO8iJjLQGK0lST97T2pauFUnhK5r/lkWJfytst93G4anzrgrmm vACqEBZAFSeh73vDCZfisgFHk4780VjREQ94ii1jgpAJd4te9VQ5wsrVBUUAGM8= =AVNA -----END PGP SIGNATURE----- From faramir.cl en gmail.com Thu Jan 8 19:11:14 2009 From: faramir.cl en gmail.com (Faramir) Date: Thu, 08 Jan 2009 15:11:14 -0300 Subject: ETA dice que PGP es vulnerable In-Reply-To: <49660E77.8090306@gmail.com> References: <49660E77.8090306@gmail.com> Message-ID: <496641C2.9000103@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Enrique Ramos Ortiz escribió: > ¿Qué opináis? > > http://www.larazon.es/noticia/eta-encargo-a-un-tecnico-de-gara-un-nuevo-sistema-de-encriptacion Bueno... sospecho que, o bien no lo supieron usar, o bien lograron obtener la información "saltando" la parte cifrada... Recuerdo lo que dijo un profesor de seguridad de la información: "si quiero acceso a cierto servidor... más que intentar romper el cifrado, probablemente seria mejor enviar a una señorita muy atractiva, armada con una botella de Whisky de 18 años, a hablar con el administrador técnico del servidor". Hace algunos meses, en la lista en inglés, se habló del borrado "seguro" de información de medios de almacenamiento... y la conclusión es que la unica manera segura, es usando un producto llamado "thermite", que "se come" al disco duro... Eso, o enviar a Frodo a arrojar el disco duro en un volcán... En fin, de cualquier modo, lo que yo busco es proteger mi información contra "hackers" normales... no contra un equipo de critografia forense del Estado. Y respecto a buscar algo mejor que el estandar OpenPGP... que busquen cuanto quieran... dudo que encuentren algo. Saludos -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iQEcBAEBCAAGBQJJZkHBAAoJEMV4f6PvczxA4iAH/3y7oD3RmSEpEK088C1Pp4Fm EDPAQWb03mDf55NF7+Ffs0zjzbQhX897iE8GRP9zS58VmhOeCOVWKtTQw2t1Llgf bHMoED425qMT7FII0OmjfyKCmhGJzZmpEjta2SK2bBIHFUQndo10kWsFphvDSfaq D7P5k2zjl0jYaX91ZjeWplcbPcfU2NDMyr0t4k4i8SIDIIFj5rMMwjwGRDm91G2z ouDaKDr10MLmCFA1Az02B6dcVlLQxeqIRYYbb/E+P8qCeE7g2+yMmMXmpeEvy1an N3TQ2Cd6hYacvBDBCLYzvddfHVwabTY3qIJkIv4cXlN5KH8OcovrSFGAryRPKsM= =7QoN -----END PGP SIGNATURE----- From queemailmasfacil en gmail.com Fri Jan 9 04:53:23 2009 From: queemailmasfacil en gmail.com (Carlos Alejandro Magno) Date: Thu, 8 Jan 2009 22:53:23 -0500 Subject: CAParty (PGP & CACERT) In-Reply-To: <4966458B.4040306@gmail.com> References: <49660E15.5050302@gmail.com> <4966458B.4040306@gmail.com> Message-ID: 2009/1/8 Faramir : > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Enrique Ramos Ortiz escribió: > >> Buenas que tal. > > Buenas, por aquí estamos aguantando el verano (con más de 30°C de > máxima), ¿qué tal por allá? > > >> Han anunciado una party con PGP y CACERT. Yo hace poco os comenté a >> través de esta lista que quizás hacia una Keysigning Party con GPG, pero >> de momento no la he organizado porque no he tenido ocasión de empollarme >> los manuales, y la verdad es que desconozco bastante el tema, pero voy a >> ver si me pongo las pilas y me entero de que va :o) > > Te deseo suerte, aprovecha que tú estás cerca de donde hacen esos > eventos.... acá, habemos 4 "assurers" de CAcert (yo apenas conseguí los > puntos en Diciembre, y aún no me "estreno"), de los cuales me parece que > solo 2 usamos OpenPGP... También me uní a GSWoT.org, pero dudo que vaya > a firmar claves a corto plazo... > > Saludos > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.9 (MingW32) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iQEcBAEBCAAGBQJJZkWKAAoJEMV4f6PvczxA+YEH/0Ds0Vkdvvs/0J0LYYqiBgRt > o0BOvUCFciMEab+PQWYyWxA9aahudyu73WCiGWgYizYKnTq81+J30i0joyMBM+ab > wBI8Kg19DU8JFG+Q+ZP+Fq0hwhf+Ax7iopRg/D0Qh9iAtxEd4Gi31D7NPzoJI6H1 > qoU71UTgXEAHseQJq/a+RxsfVyxJMV+SpjupUmP943kMTqFqZ+dcS1wr9gcVAFxn > NQOFHDxsEYAA+toO8iJjLQGK0lST97T2pauFUnhK5r/lkWJfytst93G4anzrgrmm > vACqEBZAFSeh73vDCZfisgFHk4780VjREQ94ii1jgpAJd4te9VQ5wsrVBUUAGM8= > =AVNA > -----END PGP SIGNATURE----- > > _______________________________________________ > Gnupg-es mailing list > Gnupg-es en gnupg.org > http://lists.gnupg.org/mailman/listinfo/gnupg-es > Es una buena idea. ¿y porque no hacemos la fiesta en línea o por e-mail? >CÓMO hacer fiestas de firma de claves de GnuPG (GnuPG Keysigning Party HOWTO) > >Una vez Usted se haya familiarizado con los mecanismos de GnuPG, seguramente >no haya pasado por alto uno de sus aspectos más divertidos (y útiles): conocer a > sus corresponsales en Internet y tener su clave firmada por tantos de ellos como >sea posible. > >Pero tener que comprobar decenas o incluso cientos de claves en un encuentro >puede resultar bastante frustrante. Aquí es donde este CÓMO (HOWTO) de >V. Alex Brennen se vuelve útil. Es una guía para entender y organizar una fiesta de >firma de claves PGP. Las fiestas de firmas ayudan a construir y fortalecer la red de >confianza que sirve para hacer el uso de GnuPG más seguro. Este CÓMO (HOWTO) se encuentra disponible: http://www.gnupg.org/howtos/es/gpg-party.html Carlos Alejandro M. Linux Registered User #477738 Ubuntu user #23735 GnuPG-key: A9169BFB https://wiki.ubuntu.com/cl4551f13d Por favor, no me envíe documentos adjuntos en formato Word o PowerPoint. Lea http://www.gnu.org/philosophy/no-word-attachments.es.html From faramir.cl en gmail.com Fri Jan 9 18:20:53 2009 From: faramir.cl en gmail.com (Faramir) Date: Fri, 09 Jan 2009 14:20:53 -0300 Subject: CAParty (PGP & CACERT) In-Reply-To: References: <49660E15.5050302@gmail.com> <4966458B.4040306@gmail.com> Message-ID: <49678775.8090309@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Carlos Alejandro Magno escribió: > Es una buena idea. ¿y porque no hacemos la fiesta en línea o por e-mail? Aunque aun no leo el documento completo, recuerdo haber leído algún manual anteriormente, y la idea de hacerlo en forma presencial, es poder comprobar, con algún tipo de documento de identificación, que la persona es realmente quien dice ser... Por ejemplo, cuando yo hice la clave con la que firmo en este grupo, mi idea era usar una dirección email que no contuviera mi nombre real, y por lo tanto, la clave OpenPGP tampoco debía proporcionar esos datos (eso porque era mi e-mail para suscribirme a grupos o foros de los cuales no tenia información previa respecto a qué tipo de fauna podría encontrar... entre spammers y otras variantes más peligrosas, prefería no revelar demasiada información). Por lo tanto, el UID dice "Faramir", que es un personaje ficticio, con lo que supuse que seria claro que estaba usando un seudónimo. Y descubrí que nadie estaba dispuesto a firmar mi clave (al menos no con firmas exportables), para no aparecer como diciendo: "si, lo conozco, ese tipo se llama Faramir". Aun ahora, que agregué otros UIDs que si contienen mi nombre, y que han sido firmados por CAcert (con lo que está razonablemente verificada su validez), muchas personas solo firman esos UID, y dejan Faramir sin firmar... Aunque cada uno decide que significa "verificación informal", o "verificación minuciosa", tengo la impresión de que una fiesta de firmas, entre personas que no se conocen entre sí, solo tendría sentido si realmente podemos estar seguros de quién es la persona cuya clave estamos firmando... puedo estar equivocado, pero es la impresión que tengo. Ahora, siempre está la opción de darle valor 0 a la verificación: "no responderé si lo he verificado o no" Por último, si las claves están firmadas por CAcert... entonces ya tenemos bastante más seguridad (en efecto, es tan confiable como un certificado de CAcert, si no me equivoco), de que la persona es quien dice ser... y podríamos firmar su clave sin haberle visto jamás la cara (ojo: sugiero solamente firmar los UID que lleven una firma de CAcert, o tengan un nombre similar al firmado por CAcert). Por ejemplo, si veo una clave con los IDs de usuario: 1.-Juan Pablo Gonzales Perez (firmado por CAcert) 2.-Juan P. Gonzales P. (sin firma de CAcert) 3.-J. Gonzales (sin firma de CAcert) 4.-Ricardo B. Tapia Diaz (sin firma de CAcert) yo firmaría 1, 2 y posiblemente 3, dado que son abreviaciones de (1). Y no firmaría el UID (4), porque no quiero que luego borre los UIDs 1,2 y 3 y se haga pasar por otra persona, usando mi firma como aval de su identidad... (claro que no es muy probable que alguien acepte mi firma como validación suficiente, pero eso es harina de otro costal). Por cierto, hablando de PGP y CAcert... ¿conocen GSWoT.org? Saludos -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iQEcBAEBCAAGBQJJZ4d1AAoJEMV4f6PvczxAilEIAIi6NE08OZCoMBSWKuFy7SRB 1HJOdex/qDZy23eFRH/mTjxpUuoeQ2Rb1d+Gol/6zF6QSnSpyqMWYovRJdMii71N McBVpVYGmnbPywIflWN1+HKYcUAi3Jz7O6lyte2jR+cCVBR8srOAUABANMNtCm/v RW0JxSf6/m5jjEQJ6XlfyeIUxtvi25DkW4upRMhtw5N73V82GPUZ1qhv6TvUoBPT cjWdhaZ1xi0kU6PBC6YT42KPZiJQGfQlIQ5WrGShI/HKo1t6ZNfZ8FBwoySYRxeS j0EWfyIL8ypMTRP37jLPZBmhERHRuR0kUZoVtl1/m7V3sExhEELIbyMeWxlH/nk= =Q1cd -----END PGP SIGNATURE----- From kikuelo en gmail.com Mon Jan 12 09:59:23 2009 From: kikuelo en gmail.com (Enrique Ramos Ortiz) Date: Mon, 12 Jan 2009 09:59:23 +0100 Subject: CAParty (PGP & CACERT) In-Reply-To: References: <49660E15.5050302@gmail.com> <4966458B.4040306@gmail.com> Message-ID: <496B066B.4080209@gmail.com> >>> Buenas que tal. >>> >> Buenas, por aquí estamos aguantando el verano (con más de 30°C de >> máxima), ¿qué tal por allá? >> Pues en España estamos de Invierno con una hola de frío que tiene diversas zonas nevadas donde no suele ser muy habitual. En Almería, donde yo estoy, tenemos algo de lluvias y unas temperaturas para esta semana de entre 6 y 15ºC, y tampoco es muy habitual teniendo en cuenta que tenemos aquí el "desierto de tabernas" :p >> >> >>> Han anunciado una party con PGP y CACERT. Yo hace poco os comenté a >>> través de esta lista que quizás hacia una Keysigning Party con GPG, pero >>> de momento no la he organizado porque no he tenido ocasión de empollarme >>> los manuales, y la verdad es que desconozco bastante el tema, pero voy a >>> ver si me pongo las pilas y me entero de que va :o) >>> >> Te deseo suerte, aprovecha que tú estás cerca de donde hacen esos >> eventos.... acá, habemos 4 "assurers" de CAcert (yo apenas conseguí los >> puntos en Diciembre, y aún no me "estreno"), de los cuales me parece que >> solo 2 usamos OpenPGP... También me uní a GSWoT.org, pero dudo que vaya >> a firmar claves a corto plazo... >> Realmente Madrid de Almería no están tan cerca (a unos 560km). Además no puedo a asistir ya que se trata de días laborables por lo que se me hace imposible. Sobre lo de GSWoT.org, desconozco lo que es. ¿Una sencilla explicación para los que nos cuesta el Inglés? :o) > Es una buena idea. ¿y porque no hacemos la fiesta en línea o por e-mail? > > > Este CÓMO (HOWTO) se encuentra disponible: > http://www.gnupg.org/howtos/es/gpg-party.html > Yo estaba detrás de hacer una Keysigning Party utilizando dicho documento en Almería, más que nada con el objetivo de conocer los fundamentos y la utilización de GPG, pero de momento nada. Referente a lo de hacerlo online, ni idea, pero si se puede podéis contad conmigo.... From faramir.cl en gmail.com Thu Jan 15 23:25:17 2009 From: faramir.cl en gmail.com (Faramir) Date: Thu, 15 Jan 2009 19:25:17 -0300 Subject: CAParty (PGP & CACERT) In-Reply-To: <496B066B.4080209@gmail.com> References: <49660E15.5050302@gmail.com> <4966458B.4040306@gmail.com> <496B066B.4080209@gmail.com> Message-ID: <496FB7CD.9070805@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Enrique Ramos Ortiz escribió: > Sobre lo de GSWoT.org, desconozco lo que es. ¿Una sencilla explicación > para los que nos cuesta el Inglés? :o) Básicamente, así como CAcert utiliza un modelo relacionada a Red de Confianza (Web of Trust), lo que es bastante atípico en las CAs, GSWoT toma prestado algo del concepto de las CA's... creo que la explicación está resultando más complicada que la pregunta XD GSWoT.org es un grupo formado por personas que son Assurers de CAcert, o Notaries de Thawte (creo que también hay notarios públicos de paises donde es facil comprobar quién es realmente un Notario), que utilizan OpenPGP, y ayudan a expandir la "Web of Trust". Por ejemplo, si tú tienes un certificado emitido por una CA confiable, pero esa CA no otorga firmas OpenPGP (por ejemplo, Thawte ya no lo hace), puedes presentar el certificado, y los "Introducers" (presentadores, introductores) de GSWoT podrían firmar tu clave, con lo que le dan más "validez". Por supuesto, solo es de ayuda si las demás personas aceptan a GSWoT como confiable... pero algo ayuda. GSWoT posee una clave OpenPGP "raíz", que se utiliza para emitir "firmas de confianza" (el comando tsign de GPG) a los GSI (lo Introducers), los cuales a su vez, firman la llave raíz, tambien con firmas de confianza, pero a nivel 2, de modo de que todo miembro de GSWoT, es automáticamente "de confianza" para los demás, aunque no hayan intercambiado firmas entre ellos. Para usar GSWoT, solo es necesario descargar y firmar la clave "raiz" de GSWoT, y tambien instalar las claves de los GSI (está disponible un anillo de claves, a modo de que sea facil instalar). No es mala idea actualizar esas claves de cuando en cuando, en caso de que, por ejemplo, GSWoT revoque la firma de uno de los GSI... > Referente a lo de hacerlo online, ni idea, pero si se puede podéis > contad conmigo.... Si los participantes tiene certificados x.509 de alguna autoridad que sea considerada como confiable por los demás, teóricamente seria posible... Saludos -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iQEcBAEBCAAGBQJJb7fNAAoJEMV4f6PvczxACzIH/jGLOWHlxeuypZLHsDPd0agp xh5TLjTmX936afJhWQo2UvmsFZkJVK601Al5NmpiD5LmLrid+WwL8SzqMKCq0HsA WIC4oGiz2uE8WR24bjQkzdjY5fh3fe83cbLVNPu+xGVDQ62wrUYWzPt2hUKnNHoU gXuRkWW8PvimrEjGAGcdr6w23J/WjREY2Lmy3Sma7Lh3mVSEVz0eN3wPNJciCE/0 o7a8GK62WGwNGw8CZGzefelkA/iWWasbba6BM0ZAkGUKTQjlywiLCi+3Ia+GNZPk JrWj3jps/KFezOQpojxPfiR4OnjGlrX7JBZGq3jREB/jRAccmc/VQT/q3/2/OV8= =4sS7 -----END PGP SIGNATURE-----