Hola, El 6 de setembre de 2011 17:50, Robert Marsellés Fontanet < [email protected]> ha escrit:
> Hola a tots, > > Potser "pixo" fora de test. Segons els "logs" del meu "squeeze" > l'actualització del paquet "ca-certificates" és del 31-Ago-2011. No sé > si això és molt o poc ràpid (a aquesta llista la noticia ha arribat > aquesta setmana). > > > Els sistemes anàrquics de confiança com el GPG són molt més > > interessants, però com que no s'hi pot fer negoci... > > > > Pel que fa a aquest tema. Personalment hi trobo algun "problemilla". > M'explico. > > Per tot el que he llegit, el senyor@ amb que vols intercanviar > informació de forma segura t'hauria de facilitar la seva clau pública de > la forma que sigui. El responsable de confiar o no amb aquesta clau > recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes > de principiant: > > - ¿Es pot confiar en els servidors de claus que hi ha a Internet? > - ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir > les claus de les persones que t'interessa està sent enganyada o no? Pots > ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol > altre lloc (recordem el "phishing" als bancs, doncs, igual ¿no?). > > Us fico un exemple per si no m'explico bé. Estic subscrit a la llista > "security@debian". Tots el missatges m'arriben amb signatura de > l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre > aquest tema, paquet "nss"). Jo a aquest senyor no el conec de rés. > Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol > servidor de claus. Tot i així, que tingui aquesta clau no em garantitza > que sigui ell qui m'envia el missatge ¿Cert? > Crec que per solucionar aquest problema, des de Debian (i des de moltes altres institucions) es promou que la gent es signi claus mútuament a les trobades. És a dir: Quan jo em trobo a una altra persona, després de comprovar la seva identitat (DNI, passaport o similars), signo la seva clau -i li demano que signi la meva-. D'aquesta manera jo dono fe de que aquella persona és qui diu ser, i ho publico al servidor de claus. Així es forma una xarxa de gent que dóna fe de gent. Suposant que la xarxa estigui prou interconnectada, els fraus són molt difícils de fer i, si es fan, es detecten fàcilment. Ara, potser algú que en sàpiga més dóna una resposta millor... > > La meva opinió és que aquestes claus ens les haurien de donar ells com > fan quan t'instal·les el sistema operatiu nou de trinca. Em sembla que > el paquet és diu "debian-keyring" o algo similar. > > Sento la extensió del comentari. > > robert > > > Salut! Sergio
