[hackmeeting] Dos preguntas sobre listas y seguridad

Miquel miquel en sindominio.net
Mar Oct 9 17:17:27 CEST 2001


Alejandro Castán Salinas dijo:

> Hola a todos y todas.
> 
> Perdonad que realice estas preguntas en la lista del hackmeeting. No sabía a
> quien dirigirme, y sé que aquí hay gente amable y que conoce el tema. Creo
> que no son off-topic, porque son dos preguntas sobre seguridad en las
> listas, que pueden ser aplicables a ésta.
> 

perfectamente

> 
> Primera pregunta: listas cifradas
> ---------------------------------
> 
> Supongamos que en una lista queremos que a partir de ahora los mensajes
> viajen cifrados.
> 
> Utilizar una única clave pública para la lista y repartirla a todo el mundo
> es un método inseguro si la lista es pública y se suscribe mucha gente y
> desconocida. Interesaría una lista que envíe los mensajes cifrados con la
> clave pública personal de cada usuario.
> 
> ¿Existe algún programa de gestión de listas en que, cuando el usuario se
> suscribe, pueda enviar su clave pública además de su dirección de correo? El
> programa de gestión de listas daría de alta a las dos y enviaría los
> mensajes cifrados con la clave pública que el usuario dio de alta el día que
> se suscribió.
> 

buena pregunta.

En efecto, la forma de hacerlo es tener un par de claves pública/privada
para la lista. Cuando envías algo para la lista, lo firmas con la clave
pública de la lista. Cuando llega al software gestor de listas, lo
descifra, y lo cifra con la clave pública de cada receptor antes de
enviárselo.  Mientras la clave privada de la lista no se comprometa,
funcionaría bien.

Puede automatizarse completamente (cuando te apuntas a la lista sólo te
deja si envías tu clave pública, y te envía la clave pública de la
lista). Sirve en la medida que la suscripción esté moderada, y no se
deje apuntar a nadie sin asegurarse de que es quien dice ser (usualmente
mediante firmas).

No conozco ningún software de gestión de listas que tenga estas
posibilidades.

evidentemente, nada de esto tiene sentido en una lista como la nuestra
-totalmente abierta y sin moderar-: otra cosa sería si se decide
mantener una lista abierta totalmente, para informacion y demas, y otra
privada para la gente que quiere participar en la organizacion del
hackmeeting.

> ¿Si no existe, alguien se anima a crearlo conmigo a partir de algún gestor
> de listas y algún programa de cifrado de código libre?
> 

yo no dispongo de tiempo, pero me parece una muy bonita tarea, y creo
que no demasiado compleja. Primero habria que investigar que
efectivamente no lo haya hecho alguien, pero desde luego los gestores
mas extendidos no tienen esa opcion. 

> 
> Segunda pregunta: suscripciones sabotaje
> ----------------------------------------
> 

a esto ya te ha contestado joseba perfectamente: las listas tienen
sistemas anti-bounce.

saludos,

m.

-- 
Miquel Vidal             |   Using Debian GNU/Linux sid  
miquel en sindominio.net    |   yonderboy en barrapunto.com
http://sindominio.net    |   http://mi.barrapunto.com/yonderboy 
Key fingerprint = 9816 F967 FD3C A4AA DD67 0DF7 8CD0 6F1A F724 244F




Más información sobre la lista de distribución HackMeeting