[LUG.ro] sobre Firma Digital

GustZ lugro@lugro.org.ar
Fri, 3 Oct 2003 16:22:25 -0300 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Jue 02 Oct 2003 00:19, Andrés D'Elia escribió:
[...]
> La ley de firma digital está vigente, tiene decreto reglamentario
> pero todavía no sirve en Argentina porque al momento no existe
> ningún "certificador licenciado",es decir el que es efectivamente
> autorizado a generar y firmar certificados digitales, que es el
> elemento básico en una estructura jerárquica de firma digital
> (PKI). En esa lucha andan el colegio de escribanos de Capital
> Federal, aunque como biene se comenta en otro mail, tampoco tienen
> muy en claro el tema de criptografía y firma digital.
[...]
> Pregunta: Alguien sabe donde puedo sacar información sobre manejo
> de certificados digitales, que no sea al estilo PGP, en Linux?
[...]
- ---
	Hola,

Disculpas pero me parece más conveniente comenzar un nuevo hilo...

En relación a tu pregunta te copio algo que se dijo hace un tiempo en 
la Lista 'Proposición' de LUGAR... (e inclusive generó un debate 
interesante sobre PGP...), tal vez te pueda interesar...

- --8<--
Subject: [Proposicion] Firma digital (S/MIME)
Date: Wed, 23 Jul 2003 13:59:01 -0700
From: Fernando Cassia
To: proposicion@grulic.org.ar

Che gentes, estoy en una cruzada personal tratando de convencer a 
todo el mundo de que saquen su certificado X.509 gratis en 
http://www.thawte.com (el certificado gratis solo certifica que el 
certificado corresponde a una casilla de email determinada, no 
incluye el nombre de la persona fisica ni tampoco certifica 
identidad -para eso hay que pagar-). Es un comienzo para entender 
como funciona el S/Mime, y permite firmar los mails (para saber que 
quien envia es quien dice ser) ya demas ENCRIPTAR con keys de 2048 
bits).

Siempre digo que S/MIME es "PGP hecho bien", ya que la mayoria de los 
clientes de correo actuales (Mozilla 1.4, Netscape 7.1, Outlook, 
Outlook Express, Lotus Notes) soportan S/MIME, y por ejemplo no hace 
falta "pegar" una molesta "firma pgp" ya que la firma va como 
attachment, y no se ve en el cuerpo del mensaje (de ahi lo de 
"secure MIME", se entiende?), tampoco instalar software aparte o 
plug-ins o proxys.

Ademas, cuando reciben un mensaje firmado digitalmente por alguien, 
su cliente de correo se encarga "automagicamente" de incorporar la 
clave publica de quien escribe ese mensaje a su "keyring" personal.

En fin, la tecnologia esta, los certicados se consiguen gratis, a 
usarla!!. :-)

En Netscape 7.1 (probado en Linux/Windows) -y supongo que tambien Moz 
1.4, sabran disculpar mi preferencia por el Mozilla verde, uno tiene 
su corazoncito-)-:

Edit->Preferences->Privacy and Security-> Certificates -> Manage 
Certificates (ahi van a encontrar su certifcado personal de Thawte 
despues de completar el proceso e "importar" el certificado, que 
recomiendo guardar en un diskette lejos de la maquina via el boton 
titulado "backup").

Despues van desde el cliente de correo a Edit -> Mail & Newsgroups 
Account Settings -> click en "Security" y elijan la opcion:
"DIGITALLY SIGN MESSAGES (by default)" y haciendo click en "Select", 
elijan el certificado (pueden tener un certificado para cada 
direccion de mail).

Una vez hecho esto, todos los mail que escriban van a salir con una 
Firma Digital S/MIME (veran un icono de una firma en el angulo 
inferior derecho de la ventana de composicion del mail -haciendo 
click en el icono veran los datos del certificado usado para firmar 
el mensaje), y al recibir mensajes firmados por terceros, veran el 
mismo iconito y podran saber que quien envia el mail es quien dice 
ser (por lo menos se escribio desde el duen~o de la casilla pop3 que 
realizo el proceso de obtener el certificado).

La encripcion es mejor que quede desactivada por defecto (salvo que 
quieran que nadie lea sus mails). Pero cuando necesiten discutir algo 
super-secreto (ej: "plan para destruir a microsoft" ;) y si el 
receptor ya intercambio con uds. mails firmados digitalmente con 
anterioridad, pueden ir desde la ventana de composicion del los 
mails a la opcion  Options->Security->Encrypt this message. Y el 
mensaje saldra con encripcion S/MIME de 2048 bits!.

S/MIME SUENA MUCHO MAS COMPLICADO DE LO QUE EN REALIDAD ES. 
Pruebenlo, 
vale la pena.
[...]
- --8<--

En lo personal, creo que lo "mejor" sería implementar GnuPG o PGP... 
lamentablemente, no tengo "conocimiento" como para justificar esta 
inclinación... salvo el argumento del "corazón" (como en el texto 
anterior se hace por los navegadores ;), o "filosóficas"... ;)

En cuanto al estado de la Ley, me sorprendió (bah... no tanto...) que 
en su texto no haga ninguna mención al uso de este tipo de 
Certificados, y que fundamentalmente se "vuelque" la responsabilidad 
de acreditar/certificar a entidades intermedias, o lisa y llanamente 
a "empresas" constituidas a tal fin... en donde además, se puede 
"leer entre líneas" -al menos fué mi impresión-, el neto fin o 
"perfil" de negocio del proyecto.

Seguramente, hay en la Lista quién pueda aportar alguna opinión 
personal o de criterio legal más al respecto... y sería bueno 
escucharla.

Saludos,
Gustavo

- -- 
  [GustZ]
<gustz@data54.com>

//Public Key ID = 056CEBB8
Fingerprint = 1393 3A6D 26DF 99EE 496F  EE51 3668 C04B 056C EBB8

GNU/Linux User: # 280180 - http://counter.li.org/

~~
	Free Software, Free Society.
					  ~~
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE/fcx8NmjASwVs67gRAuNpAJ0au8ywRePxIPuF9Q1jO9Fmk0DcigCdHM7L
ulhDVBGHOrJDn+POqAjiDt4=
=ssI8
-----END PGP SIGNATURE-----