[LACNIC/Seguridad] Una opinion sobre el estado actual de las entidades certificadoras comerciales

Fernando Gont fernando en gont.com.ar
Jue Nov 25 20:56:37 BRST 2010


Hola, Carlos,

> A mi me encanta la idea de usar DNSSEC para esto. Pero creo que el
> problema de la verificacion de identidad sigue presente.

Coincido.


> Es decir, si yo pido un certificado/clave/whatever a nombre de Carlos
> Martinez con numero de documento 12345, ¿quien hace ese check? ¿como
> puedo estar seguro de que ese check se realizo de manera responsable?
> Para mi la unica forma de empezar a tratar este problema es con un
> sistema de score basado en reputación y multiples verificaciones.

El problema aca (y siempre) es que cuando uno apunta a algo correcto, la
cuestion se vuelve engorrosa, y entonces se abandona. --  y ni hablar
cuando a lo técnico se le agrega el factor economico.

Siendo pragmatico, creo que a veces se pueden hacer algunas pequeñas
cosas con los "humildes" sistemas que uno dispone. Por ej., yo desde
hace tiempo que inclui en las tarjetas personales el PGP Fingerprint
(aclaro que la idea no fue mia, sino robada a Charlie Kaufman). Este
detalle aporta bastante a la seguridad de PGP en si (en lo que respecta
a la distribucion segura de claves)... y por eso en la medida que puedo,
incluso con quienes ya me "conozco", intento encajarle una tarjeta para
que tenga mi Fingerprint.

Este tipo de cosas, como las key-signing parties, creo que aportan bastante.

Y ni hablar de la concientizacion en si. Son innumerables los casos en
los que tal vez llegan a usar PGP, pero se pierde de vista el tema del
"intercambio de llaves". (asi como tambien cometer errores tontos como
que le envies algo cifrado a alguien, y te responda "ok", quoteando todo
tu mail original (en plaintext) debajo :-)) ).

En fin...

My 2-cent rant :-)

Saludos,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución Seguridad