Firma de llaves

Estaba googleando en un servidor de llaves y me di cuenta que hace algunos años era muy popular el deporte del intercambio de llaves pero recientemente se ha ido perdiendo.

Con el ánimo de reavivar ese deporte, ahí les dejo la llave que estoy usando ahorita 4096R/E674310B por si a alguien le interesa estampar su firma. El fingerprint ya saben cómo obtenerlo y si no saben cómo localizarme para verificarlo sería estúpido el puro hecho de pensar en firmar una llave que no ha sido verificada y que no sabemos si en realidad pertenece a quien dice pertenecer.

En reciprocidad a este ofrecimiento espero comentarios a esta nota con sus llaves actuales y a quienes yo conozca (y cuya llave quiera yo firmar) buscaré para verificar el fingerprint preferentemente en persona y con una cerveza en la mano.


0 votes, average: 0.00 out of 50 votes, average: 0.00 out of 50 votes, average: 0.00 out of 50 votes, average: 0.00 out of 50 votes, average: 0.00 out of 5 (0 votes, average: 0.00 out of 5)
You need to be a registered member to rate this post.
Loading...Loading...
Cofradía, Convocatorias, Seguridad, Seguridad Informática | RSS 2.0 |     362 views

RSS feed

4 Comments »

Comment by gwolf
2014-03-07 09:37:45

Sí pero no pero sí, mi querido Sandino.

Claro, todos debemos intercambiar nuestras firmas, que aseguran que controlamos la llave que decimos controlar. Nótese que esa firma no significa que confío en tí, ni nada por el estilo — Sólo que confío en que una persona que se hace conocer por tu nombre controla la llave en cuestión.

Pero para firmar tu llave, la información que pones es absolutamente insuficiente. Nadie debería firmar esa llave basada en esta información. La firma de llaves debe ir acompañada de la verificación de identidad.

Y para más INRI, la firma de llaves debe hacerse no sobre el final del fingerprint, sino que sobre el fingerprint completo (esto es, no te voy a pedir que firmes mi llave 4096R/C1DB921F, sino que firmes mi llave AB41 C1C6 8AFD 668C A045 EBF8 673A 03E4 C1DB 921F). Y claro, cuando firme tu llave, no la voy a subir directamente al servidor, sino que me voy a asegurar que realmente seas tú quien la controla con las direcciones de correo especificadas, enviándotela de vuelta por correo usando una herramienta como caff.

En fin — El firmado de llaves es una habilidad social de lo más bonita e interesante, y hay herramientas que te ayudan a hacerlo bien. ¿Quieren un tallercito? ¡Con todo gusto! ;-)

– Gunnar Wolf, keyring-maint de Debian ;-)

 
Comment by El Pop
2014-03-07 23:32:15

Mi llave (de El Pop) está en el servidor público de PGP del MIT. Es más fácil buscar en este, que en los servidores de Debian :P

 
Comment by beermaster
2014-03-10 17:33:38

Conjuntando las dos ideas, se podría hacer un taller de firma de llaves con cerveza en mano (b) ;)

 
Comment by KBrown
2014-03-19 13:58:25

Discrepo parcialmente con el punto de vista de gwolf sobre el fingerprint. Si no sabes obtener el fingerprint de la llave que acabas de bajar de “algún lado” es mejor que no te atrevas a firmar nada. Si no tienes un medio confiable (como reunirte en persona a beber un café o una chela) para verificar la identidad de la persona cuya llave quieres firmar es mejor que tampoco te atrevas a firmar nada. Mínimo una llamada telefónica si es que confías lo suficiente en tu cerebro para reconocer la voz de tu interlocutor y poder distinguir la voz de un extraño.

Lo que estoy pidiendo es que si no me conoces o no sabes cómo localizarme de alguna manera confiable para verificar el fingerprint es mejor que ni se te ocurra firmar mi llave. Pero si sí me conoces pues copias el fingerprint en un postit, yo hago lo mismo y con una cerveza en la mano lo verificamos. Estoy proponiendo una actividad de inercambio de confianza de una manera humanizante.

Ponerse a firmar a lo pendejo nada más por hacerlo lo único que logra es diluír la confianza, la fortaleza de la red de confianza se debilita cada que una persona firma una llave sin antes haber hecho todas las verificaciones de identidad pertinentes.

Por otro lado concuerdo con gwolf en la necesidad de un taller de redes de confianza que nos lleve desde la creación de nuestra primera llave destacando la importancia de los tamaños de llave adecuados, fuentes de entropía y fechas de expiración para posteriormente pasar por todas las buenas prácticas en la verificación de la identidad incluyendo la verificación de identificaciones oficiales y el envío de galletas (cifradas) a cada una de las identidades relacionadas con la llave que se pretende firmar.

Y sigo manteniendo la humanizante propuesta de reunirnos en persona y (con una cerveza en la mano) hacer las verificaciones de identidad pertinentes para posteriormente (con toda calma) hacer el consecuente firmado de las llaves que hubieren sido verificadas.

 
Name (required)
E-mail (required - never shown publicly)
URI
Your Comment (smaller size | larger size)
You may use <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> in your comment.

Trackback responses to this post