CAParty (PGP & CACERT)

Faramir faramir.cl en gmail.com
Vie Ene 9 18:20:53 CET 2009 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Carlos Alejandro Magno escribió:

> Es una buena idea. ¿y porque no hacemos la fiesta en línea o por e-mail?

  Aunque aun no leo el documento completo, recuerdo haber leído algún
manual anteriormente, y la idea de hacerlo en forma presencial, es poder
comprobar, con algún tipo de documento de identificación, que la persona
es realmente quien dice ser...

  Por ejemplo, cuando yo hice la clave con la que firmo en este grupo,
mi idea era usar una dirección email que no contuviera mi nombre real, y
por lo tanto, la clave OpenPGP tampoco debía proporcionar esos datos
(eso porque era mi e-mail para suscribirme a grupos o foros de los
cuales no tenia información previa respecto a qué tipo de fauna podría
encontrar... entre spammers y otras variantes más peligrosas, prefería
no revelar demasiada información). Por lo tanto, el UID dice "Faramir",
que es un personaje ficticio, con lo que supuse que seria claro que
estaba usando un seudónimo.

  Y descubrí que nadie estaba dispuesto a firmar mi clave (al menos no
con firmas exportables), para no aparecer como diciendo: "si, lo
conozco, ese tipo se llama Faramir". Aun ahora, que agregué otros UIDs
que si contienen mi nombre, y que han sido firmados por CAcert (con lo
que está razonablemente verificada su validez), muchas personas solo
firman esos UID, y dejan Faramir sin firmar...

  Aunque cada uno decide que significa "verificación informal", o
"verificación minuciosa", tengo la impresión de que una fiesta de
firmas, entre personas que no se conocen entre sí, solo tendría sentido
si realmente podemos estar seguros de quién es la persona cuya clave
estamos firmando... puedo estar equivocado, pero es la impresión que tengo.

  Ahora, siempre está la opción de darle valor 0 a la verificación: "no
responderé si lo he verificado o no"

  Por último, si las claves están firmadas por CAcert... entonces ya
tenemos bastante más seguridad (en efecto, es tan confiable como un
certificado de CAcert, si no me equivoco), de que la persona es quien
dice ser... y podríamos firmar su clave sin haberle visto jamás la cara
(ojo: sugiero solamente firmar los UID que lleven una firma de CAcert, o
tengan un nombre similar al firmado por CAcert). Por ejemplo, si veo una
clave con los IDs de usuario:

1.-Juan Pablo Gonzales Perez (firmado por CAcert)
2.-Juan P. Gonzales P. (sin firma de CAcert)
3.-J. Gonzales (sin firma de CAcert)
4.-Ricardo B. Tapia Diaz (sin firma de CAcert)

  yo firmaría 1, 2 y posiblemente 3, dado que son abreviaciones de (1).
Y no firmaría el UID (4), porque no quiero que luego borre los UIDs 1,2
y 3 y se haga pasar por otra persona, usando mi firma como aval de su
identidad... (claro que no es muy probable que alguien acepte mi firma
como validación suficiente, pero eso es harina de otro costal).

  Por cierto, hablando de PGP y CAcert... ¿conocen GSWoT.org?

  Saludos
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iQEcBAEBCAAGBQJJZ4d1AAoJEMV4f6PvczxAilEIAIi6NE08OZCoMBSWKuFy7SRB
1HJOdex/qDZy23eFRH/mTjxpUuoeQ2Rb1d+Gol/6zF6QSnSpyqMWYovRJdMii71N
McBVpVYGmnbPywIflWN1+HKYcUAi3Jz7O6lyte2jR+cCVBR8srOAUABANMNtCm/v
RW0JxSf6/m5jjEQJ6XlfyeIUxtvi25DkW4upRMhtw5N73V82GPUZ1qhv6TvUoBPT
cjWdhaZ1xi0kU6PBC6YT42KPZiJQGfQlIQ5WrGShI/HKo1t6ZNfZ8FBwoySYRxeS
j0EWfyIL8ypMTRP37jLPZBmhERHRuR0kUZoVtl1/m7V3sExhEELIbyMeWxlH/nk=
=Q1cd
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Gnupg-es