[LACNIC/Seguridad] PGP en varias cuentas

Nicolás Ruiz nicolas en ula.ve
Jue Jun 7 14:17:00 BRT 2007


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Luis León Cárdenas Graide wrote:
> On 6/7/07, José Miguel Parrella Romero  wrote:
>>> Arturo Servin escribió:
>>>>    Tengo una duda sobre el mejor uso de PGP o (GnuPG) sobre múltiples
>>>> cuentas de correo. La pregunta es que recomiendan como mejor práctica.
>>>> De alguna forma tengo que usar al menos 2 cuentas de correo y ambas con
>>>> PGP. Mi primera idea es tener las identidades como si yo fuera 2
>>>> personas (al final mis dos cuentas son para cosas distintas en lugares
>>>> distintos), pero creo que no es lo mejor. Por alli lei algo sobre
>>>> sub-firmas o algo similar pero me gustaria saber su opinion.
>>> Las identidades no significan que seas dos personas distintas. Solo son
>>> dos identidades. Eres el poseedor de la llave GPG. Yo manejo mis
>>> distintas direcciones de correo a través de identidades en mi llave GPG.
>>> Obviamente, no coloco TODOS mis correos, porque de esta forma se
>>> dificultaría mucho el proceso de verificación (que debe ser manual e
>>> individual -- pero eso ya es tema de otro thread en esta lista)
> 
> ¿Y cómo se relaciona con el tema del SPAM? Yo feliz pondría varios
> correos bajo una misma llave, pero ¿no aumenta la posibilidad de que
> reciba spam en cuentas donde casi no lo recibo actualmente? ¿Conviene
> separar aguas y tener una llave para cosas "serias" y otra para cosas
> "informales", agrupando e-mails bajo cada una según corresponda?

La verdad yo no habia pensado mucho en ese aspecto, pero supongo que
efectivamente es posible hacer harvesting de direcciones de correo de
servidores de llaves PGP.

La separación solo tiene sentido si no subes todas las llaves a
servidores públicos. De lo contrario da igual si la dirección de correo
se captura de una o de múltiples llaves.

Por otro lado, supongo que algún malware en un computador personal pueda
hacer un "pgp --list-keys" para recuperar una lista de direcciones de
correo del llavero público. Es la única via por la cual veo que una
cuenta puede ser descubierta que de otra forma no sería visible.

Dicho esto, mis identidades (direcciones de correo electrónico) que
utilizan PGP estan todas asociadas a una misma llave. Tengo otras
identidades que no utilizan nunca PGP y por lo tanto no estan asociadas
a mi llave PGP.

- --
A: Because it destroys the flow of conversation.
Q: Why is top posting dumb?
- --
Juan Nicolás Ruiz    | Corporación Parque Tecnológico de Mérida
                     | Centro de Cálculo Cientifico ULA
nicolas en ula.ve       | Avenida 4, Edif. Gral Masini, Ofic. B-32
+58-(0)274-252-4192  | Mérida - Edo. Mérida. Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGaD2MmjsZS9ZBxv8RAvc9AJ4y4HsO2917e1ltvi5TdkvB41SbnQCeNy9y
4D/bE0+DuV6Y/KGWmrQ6QLE=
=8vkI
-----END PGP SIGNATURE-----




Más información sobre la lista de distribución Seguridad