X IRIS-MAIL, Nov 1999- Universidad de Oviedo


[ Tabla de contenidos ]

Exposicion de Jesus Sanz de las Heras. RedIRIS.

Otro de los temas que fueron expuestos en la pasada reunin de Oviedo y que intentaremos prolongar su debate durante la presente semana (13-17 de Diciembre) es la iniciativa para intentar promover y proveer de correo-e seguro en la Comunidad RedIRIS usando PGP.

El tema del PGP fue iniciado en el ao 1995 dentro de las Jornadas Tcnicas celebradas en Tenerife y cuyo resultado fu principalmente el servidor de claves pblicas PGP en RedIRIS, adems de una serie de documentacin que con el tiempo ha ido quedando obsoleta y la lista MAIL-PGP@listserv.rediris.es que pretende adiestrar a los usuarios acerca del manejo del PGP.

La idea de esta nueva iniciativa es fundamentalmente intentar fomentar el uso del PGP en la Comunidad RedIRIS, empezando por los responsables de correo-e de las instituciones de RedIRIS y de los administradores de listas del servidor de RedIRIS. Inicialmente en Oviedo se llevaron a cabo dos pequeas actividades dentro de esta iniciativa.

  1. Charla sobre "Uso de PGP desde la ptica del usuario " que ofreci Arturo Quirantes profesor de la Univ. de Granada, el objetivo de esta presentacin era ver la perspectiva de un usuario normal acerca del uso del correo-e seguro usando PGP.

  2. Fue la primera reunin de firmado de claves PGP que tuvo lugar en Oviedo. Os nimo a que aportis comentarios, ideas etc acerca de esta iniciativa presentado en Oviedo.

Las trasparencias acerca de este tema presentadas en Oviedo fueron:

Iniciativa para promover correo-e seguro (PGP)
[ Objetivos generales ]

  • Fomentar el uso de PGP en la Comunidad RedIRIS.
  • Proveer a los usuarios de mecanismos sencillos para usar PGP desde sus programas de correo-e.
  • Fomentar el uso del servidor de claves de pblicas de RedIRIS
[ Objetivos especficos ]

  • Fomentar el uso de PGP entre los responsables de servicios de la Comunidad RedIRIS.
  • Crear una red de confianza en las operaciones de coordinacin de RedIRIS.
  • Coordinar la divulgacin del uso de PGP.

Uso de PGP desde la ptica del usuario. Arturo Quirantes (UGR)

Saludos a todos los "listeros". Los que no hayis asistido a la reunin de Oviedo, sabed que el 15-Oct-99, dentro del grupo de trabajo Iris-Mail, se llev a cabo un debate sobre el uso de PGP desde la ptica del usuario. Bueno, a decir verdad, no lleg a haber debate por falta de tiempo, as que comenzaremos ahora, en este foro virtual.

Quien esto escribe se desplaz hasta Oviedo, animado por Jess Sanz de las Heras, para intentar "vender la moto" sobre PGP, un popular programa de cifrado de datos, a la comunidad redirisada. La idea era proporcionar el punto de vista de un usuario final, y en eso espero haber hecho un papel cuando menos aceptable. Permitidme resumir algunos de los puntos ms relevantes que mencion.

A mi entender, la relacin usuario-producto de PGP (y los programas de cifrado de datos en general) es similar a la de un telfono mvil: nos podemos pasar sin l, pero una vez que lo usamos y vemos sus ventajas no queremos prescindir de sus servicios. Las versiones ltimas son muy cmodas de usar, incluso para usuarios que no sepan nada de criptografa. Si acaso, echo de menos una traduccin al castellano (lo que no es difcil, ya que el cdigo fuente est disponible; ver p. ej. los esfuerzos de www.pgpi.org; alguien se anima?).

Al margen de los debates sobre el derecho a la privacidad y a la intimidad personal, el hecho es que el uso masivo del correo electrnico no conlleva un nivel de seguridad siquiera aceptable, toda vez que se lleva a cabo por redes abiertas e intrnsecamente inseguras. Yo he visto usar el e-mail para enviar artculos a revistas cientficas, pedir informacin de instrumentos caros, difundir avisos oficiales ... todo sin la menor garanta de quin lo enva o por cuntos ojos pasa.

A los miembros de RedIris, especialmente aquellos que tienen que intercambiar informacin confidencial (informes de fallos, contraseas, datos tcnicos, etc), no se les escapa la utilidad de los nuevos medios electrnicos para garantizar la confidencialidad y la autenticidad de los datos por la red. En ese sentido, PGP es una de las mejores herramientas para conseguirlo.

Si nos acostumbramos a usar PGP, conseguiremos varias cosas. En primer lugar, cubrir las necesidades de seguridad de los miembros de RedIris, y evitar que un aviso de virus sea falsificado o que el hacker de la esquina aprenda a saltarse protecciones de sistemas. En segundo lugar, estaremos "creando escuela". Hay muchos usuarios de PGP latentes por ah (slo en el servidor de RedIris, a fecha de hoy, hay ms de 8.000 claves con dominio .es, y casi 300.000 con dominio .com). Y el hecho de que "los que saben del asunto" se decidan a usar PGP ser un factor determinante en su ulterior difusin.

Por qu PGP? Bueno, no es la panacea universal. Tampoco lo es la aspirina, pero es muy til en muchos aspectos, barata y fcil de usar. Hay otros programas y sistemas: SSL, SET, CERES ... pero cada uno de ellos tiene sus propias ventajas e inconvenientes. PGP es conocido, fiable, lleva mucho tiempo en el mercado y creo que hace su papel muy bien.

Un inconveniente de PGP -y tambin un factor clave en su utilidad- es la cuestin de la confianza: cmo s que la clave pepeperez@espaa.es pertenece a su supuesto dueo? Cualquier puede crear claves con cualquier nombre e identificador e-mail. En otros sistemas (como los que usan los navegadores) se precisan de autoridades de certificacin, una especie de "notarios digitales" que den f de quin es cada cual. En PGP, se deja que cada usuario decida en quin confiar. Para dar confianza a una clave, se organizan reuniones de claves en las que stas se intercambian. Posteriormente se firman las claves; si yo firmo una clave, estoy diciendo al mundo que esa clave pertenece realmente a su pretendido dueo. Quien confe en m, aceptar esa clave como vlida. O, como dijo su autor, "es para aquellos que prefieren empaquetar sus propios paracadas."

Una ventaja adicional es que PGP se adapta igual de bien a un sistema con autoridades de certificacin (AC) jerarquizadas que a un esquema descentralizado. De modo que, si PGP se plantea como una opcin en la comunidad de RedIris, me atrevo a sugerir la creacin de una "AC acadmica", complementaria a las ACs comerciales que ya estn comenzando a surgir dentro de Espana (Thawte ya ofrece servicios de certificacin a claves PGP). En caso contrario, las reuniones semestrales de RedIris (grupos de trabajo y jornadas tcnicas) son un buen foro de encuentro para hacer reuniones de intercambio de claves.

Por cierto, pido disculpas a los que me esperaran en la reunin de intercambio de Oviedo, pero la carretera era muuuuy larga y no llegamos a tiempo. Nos vemos en Madrid?

No hubo ningun comentario respecto a este tema.