[LACNIC/Seguridad] Una opinion sobre el estado actual de las entidades certificadoras comerciales

Arturo Servin aservin en lacnic.net
Jue Nov 25 22:52:10 BRST 2010


Fernando,

On 25 Nov 2010, at 20:56, Fernando Gont wrote:

> Hola, Carlos,
> 
>> A mi me encanta la idea de usar DNSSEC para esto. Pero creo que el
>> problema de la verificacion de identidad sigue presente.
> 
> Coincido.
> 
> 
>> Es decir, si yo pido un certificado/clave/whatever a nombre de Carlos
>> Martinez con numero de documento 12345, ¿quien hace ese check? ¿como
>> puedo estar seguro de que ese check se realizo de manera responsable?
>> Para mi la unica forma de empezar a tratar este problema es con un
>> sistema de score basado en reputación y multiples verificaciones.
> 
> El problema aca (y siempre) es que cuando uno apunta a algo correcto, la
> cuestion se vuelve engorrosa, y entonces se abandona. --  y ni hablar
> cuando a lo técnico se le agrega el factor economico.

	El facto económico es el que lo empina todo, el problema original de CAs del que surgió este thread estaba basado en el conflicto de interés entre verificación rigurosa y economía.

> 
> Siendo pragmatico, creo que a veces se pueden hacer algunas pequeñas
> cosas con los "humildes" sistemas que uno dispone. Por ej., yo desde
> hace tiempo que inclui en las tarjetas personales el PGP Fingerprint
> (aclaro que la idea no fue mia, sino robada a Charlie Kaufman). Este
> detalle aporta bastante a la seguridad de PGP en si (en lo que respecta
> a la distribucion segura de claves)... y por eso en la medida que puedo,
> incluso con quienes ya me "conozco", intento encajarle una tarjeta para
> que tenga mi Fingerprint.

	La cosa aquí que somos geeks y nos encanta la onda de la seguridad. Pero somos el 0.001% del Internet. El otro 99.999% son amas de casa, estudiantes, contadores, abogados que en su vida han visto un fingerprint y que PGP significa Perros Gatos y Patos. Creo que para nuestro mundito el problema de seguridad es muy claro y somo capaces de defendernos como tu dices con nuestras herramientas (Open Source!!).

	El problema es cuando queremos llegar a la masa inexperta de seguridad. Trata de enseñarle GnuPG con Thunderbird al usuario corporativo o casero que usa Outlook Express. Creo que ahí es donde esta el reto y problema, en masificar y simplificar la seguridad. 

	Pero coincido contigo, podemos hacer mucho con nuestras herramientas humildes para empezar.

> 
> Este tipo de cosas, como las key-signing parties, creo que aportan bastante.
> 
> Y ni hablar de la concientizacion en si. Son innumerables los casos en
> los que tal vez llegan a usar PGP, pero se pierde de vista el tema del
> "intercambio de llaves". (asi como tambien cometer errores tontos como
> que le envies algo cifrado a alguien, y te responda "ok", quoteando todo
> tu mail original (en plaintext) debajo :-)) ).
> 
> En fin...
> 
> My 2-cent rant :-)

Saludos,
.as

> 
> Saludos,
> -- 
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en acm.org
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 
> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad




Más información sobre la lista de distribución Seguridad