Exposicion de Jesus Sanz de las Heras. RedIRIS. |
Otro de los temas que fueron expuestos en la pasada reunión de Oviedo y que intentaremos prolongar su debate durante la presente semana (13-17 de Diciembre) es la iniciativa para intentar promover y proveer de correo-e seguro en la Comunidad RedIRIS usando PGP.
El tema del PGP fue iniciado en el año 1995 dentro de las Jornadas Técnicas celebradas en Tenerife y cuyo resultado fué principalmente el servidor de claves públicas PGP en RedIRIS, además de una serie de documentación que con el tiempo ha ido quedando obsoleta y la lista MAIL-PGP@listserv.rediris.es que pretende adiestrar a los usuarios acerca del manejo del PGP.
La idea de esta nueva iniciativa es fundamentalmente intentar fomentar el uso del PGP en la Comunidad RedIRIS, empezando por los responsables de correo-e de las instituciones de RedIRIS y de los administradores de listas del servidor de RedIRIS. Inicialmente en Oviedo se llevaron a cabo dos pequeñas actividades dentro de esta iniciativa.
Uso de PGP desde la óptica del usuario. Arturo Quirantes (UGR) |
Saludos a todos los "listeros". Los que no hayáis asistido a la reunión de Oviedo, sabed que el 15-Oct-99, dentro del grupo de trabajo Iris-Mail, se llevó a cabo un debate sobre el uso de PGP desde la óptica del usuario. Bueno, a decir verdad, no llegó a haber debate por falta de tiempo, así que comenzaremos ahora, en este foro virtual.
Quien esto escribe se desplazó hasta Oviedo, animado por Jesús Sanz de las Heras, para intentar "vender la moto" sobre PGP, un popular programa de cifrado de datos, a la comunidad redirisada. La idea era proporcionar el punto de vista de un usuario final, y en eso espero haber hecho un papel cuando menos aceptable. Permitidme resumir algunos de los puntos más relevantes que mencioné.
A mi entender, la relación usuario-producto de PGP (y los programas de cifrado de datos en general) es similar a la de un teléfono móvil: nos podemos pasar sin él, pero una vez que lo usamos y vemos sus ventajas no queremos prescindir de sus servicios. Las versiones últimas son muy cómodas de usar, incluso para usuarios que no sepan nada de criptografía. Si acaso, echo de menos una traducción al castellano (lo que no es difícil, ya que el código fuente está disponible; ver p. ej. los esfuerzos de www.pgpi.org; ¿alguien se anima?).
Al margen de los debates sobre el derecho a la privacidad y a la intimidad personal, el hecho es que el uso masivo del correo electrónico no conlleva un nivel de seguridad siquiera aceptable, toda vez que se lleva a cabo por redes abiertas e intrínsecamente inseguras. Yo he visto usar el e-mail para enviar artículos a revistas científicas, pedir información de instrumentos caros, difundir avisos oficiales ... todo sin la menor garantía de quién lo envía o por cuántos ojos pasa.
A los miembros de RedIris, especialmente aquellos que tienen que intercambiar información confidencial (informes de fallos, contraseñas, datos técnicos, etc), no se les escapa la utilidad de los nuevos medios electrónicos para garantizar la confidencialidad y la autenticidad de los datos por la red. En ese sentido, PGP es una de las mejores herramientas para conseguirlo.
Si nos acostumbramos a usar PGP, conseguiremos varias cosas. En primer lugar, cubrir las necesidades de seguridad de los miembros de RedIris, y evitar que un aviso de virus sea falsificado o que el hacker de la esquina aprenda a saltarse protecciones de sistemas. En segundo lugar, estaremos "creando escuela". Hay muchos usuarios de PGP latentes por ahí (sólo en el servidor de RedIris, a fecha de hoy, hay más de 8.000 claves con dominio .es, y casi 300.000 con dominio .com). Y el hecho de que "los que saben del asunto" se decidan a usar PGP será un factor determinante en su ulterior difusión.
¿Por qué PGP? Bueno, no es la panacea universal. Tampoco lo es la aspirina, pero es muy útil en muchos aspectos, barata y fácil de usar. Hay otros programas y sistemas: SSL, SET, CERES ... pero cada uno de ellos tiene sus propias ventajas e inconvenientes. PGP es conocido, fiable, lleva mucho tiempo en el mercado y creo que hace su papel muy bien.
Un inconveniente de PGP -y también un factor clave en su utilidad- es la cuestión de la confianza: ¿cómo sé que la clave pepeperez@españa.es pertenece a su supuesto dueño? Cualquier puede crear claves con cualquier nombre e identificador e-mail. En otros sistemas (como los que usan los navegadores) se precisan de autoridades de certificación, una especie de "notarios digitales" que den fé de quién es cada cual. En PGP, se deja que cada usuario decida en quién confiar. Para dar confianza a una clave, se organizan reuniones de claves en las que éstas se intercambian. Posteriormente se firman las claves; si yo firmo una clave, estoy diciendo al mundo que esa clave pertenece realmente a su pretendido dueño. Quien confíe en mí, aceptará esa clave como válida. O, como dijo su autor, "es para aquellos que prefieren empaquetar sus propios paracaídas."
Una ventaja adicional es que PGP se adapta igual de bien a un sistema con autoridades de certificación (AC) jerarquizadas que a un esquema descentralizado. De modo que, si PGP se plantea como una opción en la comunidad de RedIris, me atrevo a sugerir la creación de una "AC académica", complementaria a las ACs comerciales que ya están comenzando a surgir dentro de Espana (Thawte ya ofrece servicios de certificación a claves PGP). En caso contrario, las reuniones semestrales de RedIris (grupos de trabajo y jornadas técnicas) son un buen foro de encuentro para hacer reuniones de intercambio de claves.
Por cierto, pido disculpas a los que me esperaran en la reunión de intercambio de Oviedo, pero la carretera era muuuuy larga y no llegamos a tiempo. ¿Nos vemos en Madrid?
No hubo ningun comentario respecto a este tema. |