On Tue, 04 Jan 2005 17:15:56 +0100, Borrajudo en Zanderberd <[EMAIL PROTECTED]> wrote: > Hola gente. Resulta que he estado firmando durante meses mis mensajes, y > recibiendo mensajes firmados con pgp, y tengo algunas dudillas sobre el > tema, aver si alguno me podia explicar o darme un enlace en el que > explicasen estos conceptos que no son exactamente "cómo firmar" sino > más... etereos... > > 1) Cuando yo recibo mis correos firmados, me dice que la clave es > válida. Cuando yo me hice la clave la registré en un servidor y tal, > pero la mayoria de los mensajes q me llegan a mi firmados (de hecho, > creo que todos) me dice que la clave no es válida. ¿Por qué?. ¿Mi clave > vista por otras personas tambien es inválida?. ¿Si una clave es > inválida, para que carajos me sirve a mi firmar? (aparte de joder a los > de outlook que verán el mail como dos attachments)
Un error que yo obtengo muchas veces no es que la clave no sea válida, sino que no tienes forma de asegurarte de que el emisor es quien dice ser, o dicho de otra forma que no existe ninguna cadena de confianza entre ese emisor y tu mismo. Pero un poco más arriba te dice que la firma vale. Otra opción posible es que la firma venga inline, es decir dentro de un mensaje y no como adjunto. Al responder o reenviar dicho mensaje, se altera el texto con lo que la firma ya no valida el nuevo mensaje (yo siempre borro las firmas inline cuando respondo por eso mismo). Otra opción es que tu programa de correo espere encontrar las firmas adjuntas y en las que son inline no las reconozca bien o viceversa. Otra opción es que la clave que quieres comprobar no está en tu anillo de claves públicas y por tanto no la puedes comprobar. Otra opción mas es que el que firma el texto no lo haga con ascii protegido (armor ascii) y que al recibirlo tu se cambie el formato y se invalide la firma. por ejemplo tu firma aparece con los retornos de carro en el formato de DOS que puede que invalide la firma (no he podico comprobarla). No se me ocurre más porque tampoco das mucha información. La verdad es que el asunto de la firma electrónica es más una tendencia tecnológica que algo exigible, es decir yo sigo leyendo todos los correos que reciba, tengan o no firmas, validen o no. Y en el caso de una comunicación cuya información sea realmente crucial determinar la fuente daría importancia a la firma (o pediría confirmación) > > 2) Cuando me bajé los tutoriales sobre como firmar y tal, me decian el > proceso a seguir y que misteriosamente, las claves se crearían y serían > usables. Efectivamente, lo hice, y todos los programas de correo (y he > probado muchos) parecen ver las claves asi como por "ciencia infusa" > (más o menos) pero realmente ¿dónde se encuentran almacenadas?. Yo en mi > home tengo un directorio .gnupg que contiene unas cosas llamadas > pubring.gpg y por ahí. ¿Es eso?. ¿Qué es todo eso del "anillo de claves" > y no se qué movidas que me aparecen por ahí?. > Si toda la información se almacena en el directorio .gnupg. Tienes un archivo para claves públicas otro para claves privadas, etc. Respecto al anillo de claves es uno de esos problemas de traducción, Key significa clave y llave. Un Keyring es un Llavero (anillo de llaves). es un fichero donde puedes añadir llaves (claves) o sacarlas a gusto. Cuando necesitas un fichero con ciertas claves, pues las copias y las engarzas todas en un «llavero». ¿Cuando se hace eso? pues por tener juntas las de un trabajo o cuando se va a hacer una fiesta de firmas o en general cuando quieres tener juntas un conjunto de claves. > 3) ¿Por qué para firmar con OpenPGP me tuve que bajar unos paquetes de > gnome?. Se me instaló una aplicación llamada GnomePGP que es como para > encriptar textos y tal, pero a mi eso me vale de bastante poco. > ¿Necesito lo de Gnome?. ¿OpenPGP es propio de gnome?. > Es posible que tenga como recomendado algun paquete de gnome de gestión de claves y en función del sistema que utilices te lo instale (aptitude tiene una opción para instalar automáticamente los paquetes recomendados). atte. javier m mora
