[bcn-pm] Re: Signatures PGP/GPG

Alex Muntada alexm at cpan.org
Fri Nov 28 06:01:36 CST 2003


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

* Francesc Guasch:

> Un client que no ho accepti (outlooks) veurà bé els
> missatges signats ?

En teoria els hauria de veure bé, encara que no pugui verificar
les signatures, perquè la codificació és de tipus text. Però
sempre et queda la possibilitat de signar amb el sistema antic
(com faig jo) i firmar el text del missatge sense construir un
MIME específic (és l'alternativa més portable).

> Si treballo amb diferents PCs, un portàtil, a casa, a
> la feina ... , com ho faig ? he de tenir el mateix
> fitxer privat en tots els llocs ? Vaig sempre amb un
> diskette ? El podria ficar a la Palm ?

Bona pregunta... Pots utilitzar un disquet, un disc USB o
senzillament tenir les claus en 1 únic lloc (jo em connecto als
servidors de la UPC per llegir i enviar el correu amb Mutt), però
també pots copiar les claus privades. Al final, també esdevé una
qüestió de confiança en el lloc on les diposites les claus i la
feblesa de la contrasenya que s'utilitza per xifrar-les.

> Tinc un company que diu que és una seguretat molt dèbil,
> que pot ser que et refiis d'una clau sospitosa, d'algú
> que no coneixes, per que en algun moment algú que sí
> coneixes la ha validat. Diu que es molt millor que el
> sistema tipus verising. Alguna explicació poc tècnica
> que li pugui donar ?

I per què hauries de confiar més en Verisign que en un grup
d'amics que firmen les claus com vam fer nosaltres ahir? El fet
que els certificats costin calers no garanteix que siguin millors
per se. La tecnologia és la mateixa, l'única diferència és el
procés de validació de les dades i el format dels fitxers.

La història demostra que les CA també la caguen tot sovint:

 * [Bugtraq] Verisign certificates problem:
   http://www.securityfocus.com/archive/1/170948

 * [Bugtraq] Verisign PKI: anyone to subordinate CA:
   http://www.securityfocus.com/archive/1/273101

 * [Bugtraq] Falsifying a VeriSign Seal (Japan):
   http://www.securityfocus.com/archive/1/280334

La qüestió és que amb les claus PGP/GPG tens la possibilitat
d'obtenir un major número de firmes. Si hi confies o no ja és una
qüestió personal. Amb les CA passa exactament el mateix, però
només pots confiar en 1 entitat (de fet, no confies ni en una
persona sinó implícitament en tots els que treballen en aquesta
entitat però sense tenir la firma de cada individu).

- --
Alex Muntada <alexm at cpan.org>
http://alexm.org/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE/xzkZLdxCGS3zaBERAkLfAJ9r57LvkmITe4TJrOsai1QOdJqnUwCg4wgv
jfvyHkBBcvIsSQaXY3DKrQE=
=J0Cr
-----END PGP SIGNATURE-----



More information about the Barcelona-pm mailing list