[LACNIC/Seguridad] Una opinion sobre el estado actual de las entidades certificadoras comerciales
Fernando Gont
fernando en gont.com.ar
Dom Nov 28 04:24:12 BRST 2010
Hola, Jose,
>> Siendo pragmatico, creo que a veces se pueden hacer algunas pequeñas
>> cosas con los "humildes" sistemas que uno dispone. Por ej., yo desde
>> hace tiempo que inclui en las tarjetas personales el PGP Fingerprint
>> (aclaro que la idea no fue mia, sino robada a Charlie Kaufman). Este
>> detalle aporta bastante a la seguridad de PGP en si (en lo que respecta
>> a la distribucion segura de claves)... y por eso en la medida que puedo,
>> incluso con quienes ya me "conozco", intento encajarle una tarjeta para
>> que tenga mi Fingerprint.
>
> :'D
Si, si... ni hablar de que mas de uno me ha mirado con cara de "Uh, que
le pasa a este idiota que me esta dando una tarjeta despues de
conocernos hace mil años?" :-)) ... por lo cual me he acostumbrado a
aclarar que la "tarjeteada" es por lo del fingerprint. :-))
>> Y ni hablar de la concientizacion en si. Son innumerables los casos en
>> los que tal vez llegan a usar PGP, pero se pierde de vista el tema del
>> "intercambio de llaves". (asi como tambien cometer errores tontos como
>> que le envies algo cifrado a alguien, y te responda "ok", quoteando todo
>> tu mail original (en plaintext) debajo :-)) ).
>
> Estoy de acuerdo, pero en realidad el MUA debería ayudar con este
> trabajo, es un tema de experiencia del usuario y de que la herramienta
> lo apoye, y eso debe ir en paralelo con una educación responsable.
Coincido.
Hay algunas otras cuestiones relacionadas. Por ej., asegurarse de firmar
los adjuntos al enviarlos, y de chequearlos al recibirlos.
Y ni hablar de machacar con que la seguridad del sistema depende de
haber obtenido la llave publica del remitente o destinatario de manera
segura.
-- En la mayoria de los casos, no se tiene en cuenta este tema de
"bootstrapping". En gral. las llaves publicas se terminan enviando de
manera insegura. Si bien usualmente "no pasa nada", hay que ser
conscientes de que en realidad con estas cosas, al menos en teoria, la
seguridad del sistema se va al diablo.
Y, nuevamente, cuando uno quiere aplicar estas cosas "a las masas", todo
se vuelve muy complicado. Y permitaseme :-) ejemplificar con un ejemplo
tonto, gracioso, y reciente:
Estaba en el evento de LACNOG, y cuestion que mi hermana me agrego como
contacto a su cuenta de mensajeria instantanea (utilizando un nombre de
usuario que solo a ella se le podia ocurrir :-) ). Como habia hecho
contacto con algunas personas durante el evento, paranoia mediante
queria comprobar que ella era quien decia ser. La conversacion fue tan
desesperante como graciosa, ya que yo me negaba a hablarle hasta que no
contestara preguntas que me confirmaran su identidad, y ella no solo se
negaba a responder a mis preguntas estupidas :-), sino que (psicologa de
profesion) se mofaba de mi actitud paranoica (tecnicamente, para ella,
"TOC"). :-)
En retrospectiva :-), uno podria decir que cada uno tenia un poco de
razon, y que realmente tal vez lo mas adecuado hubiera sido que yo
tuviera un usuario para este mundillo, y otro para "la gente normal"
(FOOTNOTE1). Es decir, hay cosas que tal vez pueden ser aceptables y
entendibles en este mundillo, pero que tal vez no se puedan pretender de
la gente que no se dedica a esto (o simplemente no terminen siendo
"sanas" :-) ).
[FOOTNOTE1]
"But I don't want to go among mad people," Alice remarked.
"Oh, you can't help that," said the Cat: "we're all mad here. I'm mad.
You're mad."
"How do you know I'm mad?" said Alice.
"You must be," said the Cat, "or you wouldn't have come here."
-- "Alice in Wonderland" (Lewis Carrol)
Saludos cordiales,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad