[LACNIC/Seguridad] PGP Fingerprint en tarjetas personales

Fernando Gont fernando en gont.com.ar
Mar Dic 28 18:55:15 BRST 2010 

Hola, Eduardo,

On 28/12/2010 05:00 p.m., Carozo, Eduardo wrote:
> He dado ya unas cuantas a mis contactos....la pregunta que siempre me
> realizaré es si alguien de mis contactos cuando ve un correo mío, se
> toma el trabajo de "machearlo" con la tarjeta...si es que aún la
> tiene disponible.

*Deberia*, al menos. El punto es que si directamente no tuvieras el
fingerprint en tu tarjeta, seria imposible hacerlo.

De hecho, vos podes enviar un mail firmado, y quien lo lee puede no
comprobar la firma. Pero la gracia de firmarlo es que quien *si* quiere
tener esa precaucion, pueda hacerlo.



> Por otra parte tengo las tarjetas de algunos colegas con su
> fingerprint, y para ser honesto con ustedes nunca me fijé si
> coincidían....(siempre y cuando el correo viniera firmado cosa que no
> recuerdo), en fin....creo que la certificación es algo muy bueno para
> conexiones que DE VERDAD necesitan seguridad, ya sea porque quien
> recibe la información es un autómata que no puede darse cuenta que es
> válido y que no, o porque la info a traficar es muy sensible...de
> verdad sensible...en cuyo caso probablemente el intercambio de claves
> sea por otros procesos y no tarjetas personales.

Hay muchas situaciones en las que tener el fingerprint es util. Menciono
algunas, de mi experiencia personal:

* Algunos organismos de seguridad tienen como norma utilizar PGP para el
envio de informacion sensible.

* Usualmente, si uno contacta a un CSIRT para reportar una
vulnerabilidad, usa (o al menos *deberia* usar) PGP

* En ocasiones es necesario enviar informacion sobre cuentas bancarias
(por ej., para que una conf te haga el reenbolso de un pasaje, o
similares). En esos casos, si no te pasaron el fingerprint de manera
confiable, estas "a la buena de Dios" (y en gral., la organizacion esta
lo suficientemente lejos de modo que se hace engorroso el pase del
fingerprint por otro medio).

El fingerprint soluciona (ok, "mitiga parcialmente") el problema de
"bootstrapping" con PGP. A mi me a pasado mas de una vez tener que usar
PGP con alguien, pero no tengo su fingerprint. Y, obviamente, si digo
"pasame el fingerprint por mail", termina siendo un problema
"huevo-gallina".

Por ej., fijense cuantos organismos ponen su llave publica en su sitio
web, pero resulta que el sitio web no tiene certificados...
Estrictamente hablando, eso no tiene demasiado sentido...

Saludos,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución Seguridad