es seguro publicar llaves rsa publicas ???

Roberto Bonvallet rbonvall+linux en gmail.com
Sab Nov 24 20:32:32 CLST 2007


El 24/11/07, Victor Hugo dos Santos <listas.vhs en gmail.com> escribió:
> y cuando le envíe la URL de mi clave.. me envió un correo con esta url
> http://www.lightbluetouchpaper.org/2007/11/16/google-as-a-password-cracker/
>
> deciendome que era muy peligroso publicar las llaves en internet.

Ese artículo cuenta la historia de un tipo que se llama Anthony y que
su password era Anthony.  Fue culpa de la estupidez del tipo, no de la
publicación de llaves.

El título del artículo es desorientador:  Google no sirve para
craquear passwords, sino para obtener información sobre la víctima que
permita adivinar el password.  Eso se puede lograr googleando,
preguntádole al vecino, pagándole a la persona que le saca la basura o
sobornando a su cabro chico con un caramelo.

> pero bueno.. el tema por lo cual escribo es para preguntarle que tan
> seguro puede ser publicar su clave publica en un sitio de internet ???

La clave pública está hecha para ser publicada.  No hay problema.

> hay posibilidades de falsificación ???

La gracia de tener una llave pública y una privada es que cada una te
sirve para probar que la otra sea legítima.  Mientras tu clave privada
no se vea comprometida y siga siendo realmente privada, no hay
problema.

> desencriptacion ???

Con la clave pública sólo se puede desencriptar mensajes que tú hayas
encriptado con tu clave privada.  Así funciona la autenticación por
SSH:  el nodo al que te conectas te envía un mensaje para que el
cliente lo encripte con la clave privada;  si lo puede desencriptar
con tu clave pública y el mensaje es igual al original, en efecto eres
quien dices ser.

> llegar a
> obtener la clave privada desde la publica, actualmente ???

No.  Toda la criptografía asimétrica está construída sobre el supuesto
que esto es imposible.  El día que sea posible, estamos sonados.
(¿Quién dijo «computación cuántica», ah?)

> he visto en algunas partes que no recomiendan (para los paranoicos)
> subir sus claves gpg a los servidores publicos !!!! alguna razón
> practica para NO hacerlo ???

La falsa sensación de seguridad solamente :)
Si alguien no tiene tu clave pública, no va a poder mandarte mensajes
encriptados, ni verificar que tu firma digital sea auténtica.

Espero haber sido de ayuda.
¡Saludos!
-- 
Roberto Bonvallet



Más información sobre la lista de distribución Linux