[LACNIC/Seguridad] PGP Fingerprint en tarjetas personales

Carlos Martinez-Cagnazzo carlosm3011 en gmail.com
Mar Dic 28 18:19:46 BRST 2010 

Hola Juan Pablo,

Creo que no estoy tan de acuerdo con esa vision, me parece que haces
mucho foco en el uso de PGP como firma electrónica, que si bien es
util e importante, es solo una mitad.

A mi personalmente PGP, usado como herramienta de cifrado, me ha
simplificado muchisimo lo que es la gestion de claves de root y
administrador en una organización grande con muchos administradores.
Creo que los usos practicos van bastante mas alla de solo el uso como
firma.

Por otro lado, he participado de experiencias exitosas de realizar
acuerdos de pares para intercambiar documentos firmados con PGP, nos
ha ido bien y lo hicimos sin apoyo necesariamente legal.

saludos

Carlos



2010/12/28 "Ing. Juan Pablo Mejía Moya" <juanpablo.mejia en edomex.gob.mx>:
>
> A mi muy particular punto de vista, veo el uso de PGP o similares como un
> bonito ejercicio de encripción y certificación de autenticidad entre pares,
> sin embargo, hasta que no exista legislación en cada país que haga válido el
> uso de estos mecanismos de confidencialidad, integridad y autenticidad (y
> obvio, estandarización entre gobiernos), es solo un "juguete" al cual no le
> colocamos la seriedad que debe tener y los medios electrónicos seguirán
> siendo algo de lo cual se encargan 'los de sistemas'.
>
> El 28/12/2010 02:00 p.m., Carozo, Eduardo escribió:
>>
>> Fernando:
>>
>> Yo tengo las tarjetas con mi Fingerprint.
>>
>> He dado ya unas cuantas a mis contactos....la pregunta que siempre me
>> realizaré es si alguien de mis contactos cuando ve un correo mío, se toma el
>> trabajo de "machearlo" con la tarjeta...si es que aún la tiene disponible.
>>
>> Por otra parte tengo las tarjetas de algunos colegas con su fingerprint, y
>> para ser honesto con ustedes nunca me fijé si coincidían....(siempre y
>> cuando el correo viniera firmado cosa que no recuerdo), en fin....creo que
>> la certificación es algo muy bueno para conexiones que DE VERDAD necesitan
>> seguridad, ya sea porque quien recibe la información es un autómata que no
>> puede darse cuenta que es válido y que no, o porque la info a traficar es
>> muy sensible...de verdad sensible...en cuyo caso probablemente el
>> intercambio de claves sea por otros procesos y no tarjetas personales.
>>
>> Cuando el que recibe no es un autómata, no sé como, ni porqué, pero como
>> dice un amigo en estas lides....uno se da cuenta quien le habla, uno lo
>> reconoce por los temas y afinidades, sabe quien es quien, y claro, frente a
>> tomar una decisión probablemente verifique la fuente con una llamada
>> telefónica o con más preguntas, pero no es frecuente que se tengan
>> precauciones adicionales si todo concuerda.
>>
>> En fin, no quiero polemizar, la idea de que las personas intercambien
>> certificados y entiendan profundamente como funcionan estas cosas es muy
>> buena y la apoyo, pero no creo que podamos generalizar su uso, porque no es
>> un tema solo de desconocimiento, es mas bien de motivación y
>> practicidad.....
>>
>> Saludos,
>> Eduardo.
>>
>>
>> -----Mensaje original-----
>> De: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] En
>> nombre de Fernando Gont
>> Enviado el: martes, 28 de diciembre de 2010 17:16
>> Para: Lista para discusión de seguridad en redes y sistemas informaticos
>> de la región
>> Asunto: [LACNIC/Seguridad] PGP Fingerprint en tarjetas personales
>>
>> Estimados,
>>
>> Dada la idea de tener algunas actividades relacionadas con PGP en el
>> proximo evento de LACNIC, me parece oportuno mencionarles que, para aquellos
>> que ya se encuentren utilizandon PGP, una buena practica es incluir el
>> Fingerprint en las tarjetas personales.
>>
>> De ese modo, al intercambiar tarjetas con alguien, tienen la posibilidad
>> de pasarles su Fingerprint de manera confiable.
>>
>> Asi, esto es una recordatorio :-) para que quienes no hayan adoptado esta
>> practica, lo hagan, así en el proximo evento de LACNIC podamos intercambiar
>> no solo "informacion de contacto", sino tambien esta información que nos
>> permite comunicarnos de manera segura.
>>
>> P.S.: Me pareceria interesante que si alguno ha intentado hacer esto, y su
>> empresa/organizacion no se lo ha permitido, nos cuente su experiencia, la
>> justificacion que le dieron, etc.
>>
>> Saludos cordiales, y gracias!
>> --
>> Fernando Gont
>> e-mail: fernando en gont.com.ar || fgont en acm.org PGP Fingerprint: 7809 84F5
>> 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>>
>>
>>
>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>
>> El presente correo y cualquier posible archivo adjunto está dirigido
>> únicamente al destinatario del mensaje y contiene información que puede ser
>> confidencial. Si Ud. no es el destinatario correcto por favor notifique al
>> remitente respondiendo anexando este mensaje y elimine inmediatamente el
>> e-mail y los posibles archivos adjuntos al mismo de su sistema. Está
>> prohibida cualquier utilización, difusión o copia de este e-mail por
>> cualquier persona o entidad que no sean las específicas destinatarias del
>> mensaje. ANTEL no acepta ninguna responsabilidad con respecto a cualquier
>> comunicación que haya sido emitida incumpliendo nuestra Política de
>> Seguridad de la Información
>>
>>
>> This e-mail and any attachment is confidential and is intended solely for
>> the addressee(s). If you are not intended recipient please inform the sender
>> immediately, answering this e-mail and delete it as well as the attached
>> files. Any use, circulation or copy of this e-mail by any person or entity
>> that is not the specific addressee(s) is prohibited. ANTEL is not
>> responsible for any communication emitted without respecting our Information
>> Security Policy.
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>> .
>>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>



-- 
--
=========================
Carlos M. Martinez-Cagnazzo
http://www.labs.lacnic.net
=========================

Más información sobre la lista de distribución Seguridad