es seguro publicar llaves rsa publicas ???

Rodrigo Fuentealba darkprox en gmail.com
Sab Nov 24 21:19:00 CLST 2007


El 24/11/07, Victor Hugo dos Santos <listas.vhs en gmail.com> escribió:
> Maestros,
>
> ayer estuve interactuando con un conocido y le hable que pusiera una
> de mis claves RSA (la publica lógico) en su servidor para poder
> acceder por ssh al mismo..

Generalmente se hace eso, no veo cuál es el drama. De hecho, la clave
pública RSA es PÚBLICA por eso mismo; existe únicamente un par
público/privado de aquellas claves.

> y cuando le envíe la URL de mi clave.. me envió un correo con esta url
> http://www.lightbluetouchpaper.org/2007/11/16/google-as-a-password-cracker/

El tipo que te dijo eso, no tiene idea de criptología (la criptografía
= cómo encriptar; criptología = cómo manipular la encriptación).
Puedes ir y reirte en su cara de él por creerse hacker sin tener
conocimiento de causa.

> deciendome que era muy peligroso publicar las llaves en internet.

Lo es cuando son llaves débiles (MD5, SHA, etc), pero la llave pública
ES para aquello.

> le explique que habia una gran diferencia entre sistemas de
> encriptacion de una sola via (md5, sha, etc) y sistema de encriptacion
> basado en claves publicas y privadas.
>
> pero bueno.. el tema por lo cual escribo es para preguntarle que tan
> seguro puede ser publicar su clave publica en un sitio de internet ???

Deberías ponerla en un sitio de Internet sin un link <a href=""> en
ninguna parte, de tal manera que sólo la gente a la que le indiques
dónde está sepa que está ahí; eso para que no se te indexe a través de
Google. En eso tiene razón. Sin embargo, son tus MD5, SHA1, SHA256 y
encriptación no decriptable las que no debes poner ahí (ni usarlas
para tus sistemas).

> hay posibilidades de falsificación ???

No.

> desencriptacion ???

No.

> llegar a obtener la clave privada desde la publica, actualmente ???

No. Y nunca será posible.

> he visto en algunas partes que no recomiendan (para los paranoicos)
> subir sus claves gpg a los servidores publicos !!!! alguna razón
> practica para NO hacerlo ???

Claves privadas gpg claro que no; públicas, todo lo que quieras.

> obs.: la mayoría de los que conozco con gpg, tienen su clave en
> keyservers.pgp.net !!!
>
> volviendo al tema, la verdad es que "creo" que no hay problema en
> publicar las claves publicas (hehehe), pero nunca esta de mas
> preguntar y arreglar algo que tal vez este malo !!! :-(
>
> comentarios ???

Piensa en la clave pública y privada como una integral y una derivada.

Tomas la información, le aplicas integral y obtienes tal cantidad de
información (tu clave privada) + un coeficiente desconocido (tu clave
pública). Para saber si eres tú o está siendo usada "tu" propia clave,
se toma la clave pública y se reemplaza y se realiza una derivada; si
la derivada devuelve los datos precisos, entonces era una combinación
correcta.

Eso sería una explicación bien vaga de cómo funciona, no tengo tiempo
ahora de explicar bien todos los tipos de criptogramas existentes.
Google te dará más reseñas en todo caso, está plagado.

Saludos,

-- 
Rodrigo Fuentealba Cartes



Más información sobre la lista de distribución Linux