Copia Correo Saliente !!
Jens Hardings
jhp en csol.org
Sab Nov 27 14:14:31 CLST 2004
Alvaro Herrera wrote:
>On Fri, Nov 26, 2004 at 07:15:07PM -0300, Blu wrote:
>
>
>>On Fri, Nov 26, 2004 at 05:55:45PM -0300, Felipe Cristian Barriga Richards (Lista) wrote:
>>[...]
>>
>>
>>>Cada uno que saque sus conclusiones, pero la gracia del PGP es que no
>>>dependes de un organismo centralizado para firmar las llaves y se basa
>>>en la confianza de la gente.
>>>
>>>
>>Nunca he podido entender la lógica de meter a un tercero, que quien sabe
>>que intereses tiene, en un protocolo de comunicación privada. Al menos
>>para mí, que confieso que no confío ni en mi sombra, siempre me ha sonado
>>a chiste.
>>
>>
>
>Yo tampoco ... si realmente quieres confiar en alguien, me parece mucho
>mas sensato juntarte con esa persona, intercambiar llaves PGP y
>firmarlas.
>
>
Pero el costo total que tiene eso es proporcional al cuadrado de los
"conocidos" con los que puedes interactuar (siguiendo la misma idea de
la ley de metcalfe). En cambio, usando una autoridad certificadora, el
costo es lineal. Claro que por el momento, el costo proporcional al
cuadrado aún es más bajo que el costo lineal, si eso cambiará a futuro
depende de cuánta gente se sube al carro PKI (y eso suena al problema
del huevo y la gallina)...
Por otro lado, en PGP se supone que no tienes que conocer a exactamente
todos en los que confías. Pero en ese caso, terminas confiando en
alguien del cual no sabes mucho más que su nombre y que alguna vez lo
tuviste al frente tuyo, o que alguien a quien tuviste al frente lo tuvo
a él y dice que su nombre corresponde a lo que sale en el certificado.
No le veo la diferencia con meter a una autoridad certificadora (que al
menos en varios casos tiene controles estrictos sobre sus procedimientos
y operación).
>Por ej. el SII podria implementar un sistema asi: uno genera una llave
>PGP y la lleva al SII; ellos te la firman (y te dan la llave de ellos).
>Luego pueden hacer intercambios de informacion usando ese par de llaves.
>
>
No es el negocio del SII, por eso se lo encargan a un tercero: una
autoridad certificadora especializada justamente en firmar la llave
pública de alguien a quien verificaron su identidad. En el fondo, la PKI
es justamente lo que planteas en el párrafo de arriba, pero en vez de
PGP usas otro tipo de certificado. Y claro, el costo corre por el lado
del usuario, pero si lo financiamos por el lado de impuestos sería
equivalente...
Creo que un esquema como PGP tiene varias ventajas, porque permite un
esquema menos rígido que la PKI, pero tampoco es mágico: para tener los
mismos beneficios que la PKI tienes sus mismos defectos. Pero la gracia
está en que el esquema es flexible y te permite elegir cómo usarlo.
--
Jens.
Más información sobre la lista de distribución Linux