Copia Correo Saliente !!

Jens Hardings jhp en csol.org
Sab Nov 27 14:14:31 CLST 2004 

Alvaro Herrera wrote:

>On Fri, Nov 26, 2004 at 07:15:07PM -0300, Blu wrote:
>  
>
>>On Fri, Nov 26, 2004 at 05:55:45PM -0300, Felipe Cristian Barriga Richards (Lista) wrote:
>>[...]
>>    
>>
>>>Cada uno que saque sus conclusiones, pero la gracia del PGP es que no
>>>dependes de un organismo centralizado para firmar las llaves y se basa
>>>en la confianza de la gente.
>>>      
>>>
>>Nunca he podido entender la lógica de meter a un tercero, que quien sabe
>>que intereses tiene, en un protocolo de comunicación privada. Al menos
>>para mí, que confieso que no confío ni en mi sombra, siempre me ha sonado
>>a chiste.
>>    
>>
>
>Yo tampoco ... si realmente quieres confiar en alguien, me parece mucho
>mas sensato juntarte con esa persona, intercambiar llaves PGP y
>firmarlas.
>  
>

Pero el costo total que tiene eso es proporcional al cuadrado de los 
"conocidos" con los que puedes interactuar (siguiendo la misma idea de 
la ley de metcalfe). En cambio, usando una autoridad certificadora, el 
costo es lineal. Claro que por el momento, el costo proporcional al 
cuadrado aún es más bajo que el costo lineal, si eso cambiará a futuro 
depende de cuánta gente se sube al carro PKI (y eso suena al problema 
del huevo y la gallina)...

Por otro lado, en PGP se supone que no tienes que conocer a exactamente 
todos en los que confías. Pero en ese caso, terminas confiando en 
alguien del cual no sabes mucho más que su nombre y que alguna vez lo 
tuviste al frente tuyo, o que alguien a quien tuviste al frente lo tuvo 
a él y dice que su nombre corresponde a lo que sale en el certificado. 
No le veo la diferencia con meter a una autoridad certificadora (que al 
menos en varios casos tiene controles estrictos sobre sus procedimientos 
y operación).

>Por ej. el SII podria implementar un sistema asi: uno genera una llave
>PGP y la lleva al SII; ellos te la firman (y te dan la llave de ellos).
>Luego pueden hacer intercambios de informacion usando ese par de llaves.
>  
>

No es el negocio del SII, por eso se lo encargan a un tercero: una 
autoridad certificadora especializada justamente en firmar la llave 
pública de alguien a quien verificaron su identidad. En el fondo, la PKI 
es justamente lo que planteas en el párrafo de arriba, pero en vez de 
PGP usas otro tipo de certificado. Y claro, el costo corre por el lado 
del usuario, pero si lo financiamos por el lado de impuestos sería 
equivalente...

Creo que un esquema como PGP tiene varias ventajas, porque permite un 
esquema menos rígido que la PKI, pero tampoco es mágico: para tener los 
mismos beneficios que la PKI tienes sus mismos defectos. Pero la gracia 
está en que el esquema es flexible y te permite elegir cómo usarlo.

-- 
Jens.

Más información sobre la lista de distribución Linux