[LACNIC/Seguridad] PGP Fingerprint en tarjetas personales

José Miguel Parrella Romero joseparrella en gmail.com
Lun Ene 3 00:49:23 BRST 2011 

El 02/01/2011 21:38, Fernando Gont escribió:
>> Una vez la confianza es establecida, en la mayoría de los casos resulta
>> necio continuar verificando con terceros la identidad.
> 
> No me queda en claro como estableces confianza por primera vez..

Me expliqué mal, disculpas.

Al menos dentro de la subcultura de Debian, la primera vez verificamos
pasaporte y documento de identidad y tenemos alguien que previamente ha
preparado una lista con los fingerprints y descripción de las llaves de
los participantes de la actividad, la cual se construye con lo que cada
quien envía y se audita acordemente.

Cada quien imprime la lista o la tiene en su laptop, verifica identidad,
verifica el fingerprint y firma la llave.

En algunos casos hay gente que pregunta sobre los hábitos de
mantenimiento de la llave sobre todo a participantes nuevos, otros van
con una luz UV revisando la integridad física del documento, otros hacen
consultas en wikis como CACert o con gente de confianza sobre qué
documentos son válidos para la identificación...

Nadie quiere firmar una llave que luego sea comprometida.

Normalmente este rito se repite en varios eventos porque lo masivo de la
actividad la presta a ataques propios de estas situaciones como por
ejemplo en 2006 cuando una persona utilizó un documento de identidad de
un Estado inexistente; la pregunta es si confiamos en el Estado como
emisor de estos documentos de identidad, y si confiamos en todos o solo
en uno.

Ccon personas con las que uno trabaja más de cerca o que se consigue a
menudo, como por ejemplo otros Debian Developers en la región, ya hay un
trust establecido y yo puedo firmar nuevas llaves sin pasar esta
revisión de nuevo, simplemente verificando el fingerprint.

La mecánica es distinta dentro de organizaciones, aquí podría funcionar
algo similar a una CA, he visto sitios donde crean las llaves a nuevos
empleados y les dan el material en USB stick y las revocation keys en
papel... pensaría que el concepto aquí es que el beneficio del esquema
es para la organización (en contraposición al interés del usuario) y por
lo tanto la organización tiene más control sobre el esquema.

Jose

Más información sobre la lista de distribución Seguridad