[LACNIC/Seguridad] PGP Keysigning Party en Margarita
Nicolás Ruiz
nicolas en ula.ve
Mie Mayo 30 15:18:59 BRT 2007
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Carlos Vera Q wrote:
> Jose que significa "Disiento en la parte de que _todos_ confiamos en la
> institución raíz..." la comunidad internacional basada en parametros y
> estandares decide que estas son instituciones DE CONFIANZA. No es cuestion
> de que uno u otro decida "disentir" sino tiene fundamentos para explicar por
> que.
La comunidad internacional jamas ha decidido que estas son instituciones
de confianza (ni en mayúsculas ni en minúsculas). Algunos negocios
utilizan algunos de sus servicios, pero me temo que estas exagerando.
Te explico mi posición. La estructura de certificados vertical,
confiando en Verisign (por elegir alguna) es frágil (a mi modo de ver).
Si un buen día se pierde la confianza en Verisign (como por ejemplo,
luego de que generase incorrectamente certificados digitales
correspondientes a Microsoft a personas que no SON Microsoft), toda la
estructura de confianza se desmorona como un castillo de naipes.
Por otro lado, si resulta que yo pierdo la confianza en alguien
(llamemoslo Fulano), o en su firma digital, simplemente lo remuevo de mi
percepción del las relaciones de confianza (lo elimino de mi keyring, o
le disminuyo el nivel de confianza). El impacto que esto tiene depende
directamente de la transitividad de mi relación de confianza con Fulano:
yo pierdo confianza en aquellos (Sutano) en los que mi única relación de
confianza era a través de Fulano, es decir
confianza confianza
Nicolas -------------> Fulano ---------------> Sutano
Si, por otro lado, yo puedo establecer una relación de confianza a
través de un tercero (digamos Mengano)
confianza confianza
Nicolas -------------> Fulano ---------------> Sutano
\ /
\ confianza confianza /
----------------> Mengano -------------->/
Puedo eliminar a Fulano de mi "web of trust" con mínimo impacto.
confianza
Nicolas Fulano ---------------> Sutano
\ /
\ confianza confianza /
----------------> Mengano -------------->/
Es por eso que prefiero el modelo de confianza horizontal entre personas
del "web of trust" de PGP a un esquema jerárquico basado en
organizaciones con fines de lucro cuyos intereses pueden no estar
alineados con los mios (o los de mi organización) en algún momento. Yo
retengo más control en el primer caso.
Y por suerte, yo todavia estoy en libertad de decidir en quien confío.
salud
nicolás
>
> Carlos Vera
> ISOC Ecuador
> ----- Original Message -----
> From: "Nicolás Ruiz" <nicolas en ula.ve>
> To: <seguridad en lacnic.net>
> Sent: Wednesday, May 30, 2007 9:39 AM
> Subject: Re: [LACNIC/Seguridad] PGP Keysigning Party en Margarita
>
>
> Carlos Vera Q wrote:
>>> En resumen la cosa funciona asi:
>>>
>>> 1. Hay una institucion RAIZ en la que todos confiamos. Esto es VERISIGN,
>>> ENTRUST, WISEKEY, ANF, ETC.
>
> El mecanismo lo entiendo perfectamente. Disiento en la parte de que
> _todos_ confiamos en la institución raíz.... :o)
>
>>> 2. Esta institucion emite un certificado para otra por ejemplo LACNIC.
>>> Por tanto LACNIC se vuelve de confianza.
>>>
>>> 3. LACNIC en su sitio mantiene publicada la huella digital de su
>>> certificado para que CUALQUIERA pueda consultarla.
>>>
>>> 4. LACNIC firma los certificados de los miembros o usuarios que asi lo
>>> soliciten. En este certificado de cada usuario constara la huela de
>>> LACNIC verificable en su sitio para quienes lo requieran o a traves de
>>> la AC que emitio el certificado original que puede ser VERISIGN,
>>> ENTRUST, WISEKEY, ANF, ETC.
>>>
>>> 5. Si recibo un email firmado (no importa con que tecnologia o estandard
>>> x509, pgp, openCA, etc etc) y tiene el respectivo certificado de firma a
>>> su vez la firma de alguien RAIZ primaria (VERISIGN, ENTRUST, WISEKEY,
>>> ANF, ETC.) o RAIZ secundari (LACNIC) sea que se trate de una persona o
>>> una institucion yo confio.
>>>
>>> Las pgp party funcionan en un esquema de todos contra todos no en este
>>> tipo de esquemas
>>>
>>> Carlos Vera
>>> ISOC Ec
>>> ----- Original Message ----- From: "Nicolás Ruiz" <nicolas en ula.ve>
>>> To: <seguridad en lacnic.net>
>>> Cc: "Carlos Vera Q" <cveraq en gmail.com>
>>> Sent: Tuesday, May 29, 2007 5:42 PM
>>> Subject: Re: [LACNIC/Seguridad] PGP Keysigning Party en Margarita
>>>
>>>
>>> Andres Tarallo wrote:
>>>>> Lo que tu planteas es valido dentro de cada pais. Pienso por ejemplo una
>>>>> institucion que firme las claves de sus funcionarios, con una clave que
>>>>> se considere confiable. Quedariamos con algo similar a lo que se hace
>>>>> con los certificados X.509.
>>> Y como estableces un web of trust?
>>> Con lo que tu explicas confias en que una institución dada tiene una
>>> relación de confianza con una persona dada (es decir, es probable que
>>> sea un representante válido de una empresa), pero a mi no me sirve
>>> cuando quiero establecer relaciones de confianza con personas, y no
>>> solamente entre organizaciones.
>>>
>>>>> Andres
>>>>>
>>>>> El día 29/05/07, *Carlos Vera Q* <cveraq en gmail.com
>>>>> <mailto:cveraq en gmail.com>> escribió:
>>>>>
>>>>> El sistema funciona pero es manual y podria estar mucho mas cercano
>>>>> de la
>>>>> realidad tecnologica.
>>>>>
>>>>> Una opcion mejorada es que LACNIC sea quien firme los certificados
>>>>> de los
>>>>> miembros como entidad de confianza.
>>>>>
>>>>> Nosotros como AC podemos apoyar en este proceso para elaborar el
>>>>> manual de
>>>>> practicas y procedimientos para este fin en caso de que esto se
>>>>> considere
>>>>> una opcion viable.
>>>>>
>>>>> No solamente es cuestion de certificar los certificados.. se trata
>>>>> de
>>>>> agilitar la comunicacion y elaborar una raiz de confianza.
>>>>>
>>>>> Saludos
>>>>>
>>>>> Carlos Vera
>>>>> ISOC Ecuador
>>>>> AC Acreditado en Europa y America
>>>>>
>>>>>
>>>>> ------------------------------------------------------------------------
>>>>>
>>>>> _______________________________________________
>>>>> Seguridad mailing list
>>>>> Seguridad en lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>> --
>>> A: Because it destroys the flow of conversation.
>>> Q: Why is top posting dumb?
>>> --
>>> Juan Nicolás Ruiz | Corporación Parque Tecnológico de Mérida
>>> | Centro de Cálculo Cientifico ULA
>>> nicolas en ula.ve | Avenida 4, Edif. Gral Masini, Ofic. B-32
>>> +58-(0)274-252-4192 | Mérida - Edo. Mérida. Venezuela
>>> PGP Key fingerprint = CDA7 9892 50F7 22F8 E379 08DA 9A3B 194B D641 C6FF
>
> --
> A: Because it destroys the flow of conversation.
> Q: Why is top posting dumb?
> --
> Juan Nicolás Ruiz | Corporación Parque Tecnológico de Mérida
> | Centro de Cálculo Cientifico ULA
> nicolas en ula.ve | Avenida 4, Edif. Gral Masini, Ofic. B-32
> +58-(0)274-252-4192 | Mérida - Edo. Mérida. Venezuela
> PGP Key fingerprint = CDA7 9892 50F7 22F8 E379 08DA 9A3B 194B D641 C6FF
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad
- --
A: Because it destroys the flow of conversation.
Q: Why is top posting dumb?
- --
Juan Nicolás Ruiz | Corporación Parque Tecnológico de Mérida
| Centro de Cálculo Cientifico ULA
nicolas en ula.ve | Avenida 4, Edif. Gral Masini, Ofic. B-32
+58-(0)274-252-4192 | Mérida - Edo. Mérida. Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379 08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFGXcATmjsZS9ZBxv8RAsynAJ0fNEUMDOlWu8paVATzjEOWgEiuUQCfU/xj
ufIr5B/GHkNK41ubSai8354=
=zL3D
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Seguridad