Home > Manuscriptus digitalis > Autoridad de certificación robot

Autoridad de certificación robot

February 22nd, 2010

Lo se, hace más de un mes desde la última entrada, no habia mucho que contar ;)

Antes ya se había hablado sobre como crear y utilizar las claves PGP, ahora les comparto algo que encontré en internet, no será muy novedoso pero ahi va: un robot que firma una llave PGP.

El problema

El problema principal de la criptografía es lograr transmitir un mensaje entre dos nodos sin que este sea modificado en el camino por un atacante o error de transmisión. Seguro que puedes encontrar toneladas virtuales de información en la red. En el caso concreto de las redes PGP, el problema tambien se traslada al dueño de la llave.

Como podras observar, una llave PGP permite enlazar un correo electrónico a una identidad: la llave en sí, no a una persona como suele pensarse. Y… ¿como asegurar que el dueño de ese correo electrónico es el dueño de la llave?

La red de confianza

La forma tradicional de resolver este dilema es usando la red de confianza que plantea el mismo PGP. Pero esto no siempre es posible, digo, no todo el mundo está tan loco como algunos de nosotros ;) .

Robots certificadores

Una eficiente forma, aunque no tan segura por sí misma es usar un servicio que permita asegurar que la llave pertenece al correo que dice pertenecer. El funcionamiento básico es muy sencillo de entender:

  1. Subes tu llave a la base de datos de certificador.
  2. El certificador manda un mensaje cifrado al correo propietario de la llave (incluído en ella misma).
  3. El usuario decifra el mensaje que contiene una dirección temporal dentro del certificador y la visita.
  4. Al ingresar a esta dirección, el certificador puede estar seguro que el usuario tiene acceso al correo marcado en la llave.

Inconvenientes

Si sabes un poco de seguridad y/o estas paranoico, seguro habras notado la forma en que me refiero al usuario del correo electrónico, que puede no ser el propietario legítimo del mismo.

Si bien, con algo de sentido común puedes descubrir que los robots certificadores pueden ser inseguros por sí solos, si podrían ser considerados una línea más de defensa cuando quieres asegurar la identidad de una persona detras de una llave digital… aunque recuerden que el hombre es suceptible a la corrupción :S

Recursos

PGP Global Directory https://keyserver2.pgp.com/vkd/GetWelcomeScreen.event
Red de confianza: http://en.wikipedia.org/wiki/Web_of_trust

Categories: Manuscriptus digitalis Tags: ,
Comments are closed.