Nuevo fallo en las firmas digitales con GnuPG
Se trata del segundo fallo detectado en los últimos veinte días en las firmas digitales realizadas con GnuPG, pero éste parece bastante más grave que el anterior, ya que mientras aquel sólo afectaba a ciertos usos especiales del programa, ahora dejan de ser fiables las firmas del correo electrónico de cualquier usuario o las que verifican la integridad del software, misión para la que resulta bastante habitual el uso de GnuPG en el mundo del software libre.
Se recomienda actualizar cuanto antes a la versión 1.4.2.2, que solventa este nuevo bug...
- 2703 lecturas
Twitter
Ya está actualizado....
Ya está actualizado en mi sistema...,
Por ello uso en mis correos doble firma gpg/FNMT... si falla una está la otra y además, me permite intercambiar mi clave pública con otros corresponsales sin necesidad de poner el dni en la boca junto al fingerprint gpg en una sign-party.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Cifrar/firmar con FNMT
Fernando, en algún otro foro he leído que usas el certificado de la FNMT "fuera de la caja" (como dirían los anglosajones).
¿Cómo lo haces?
Recuerdo que el primer certificado FNMT que tuve -RSA 512- conseguí exportarlo para integrarlo en PGP. Pero los nuevos certificados, aunque consigo exportarlos, no puedo luego importarlos con GnuPG.
He probado con los formatos *.p12 y *.pem sin éxito. Supongo que algo tiene que ver que el certificado define muy claramente el uso, mientras que a GnuPG le da igual.
Quizá tú no lo integras en GnuPG sino que te apañas de otra manera....
SKS, criptografía de curva elíptica de bolsillo
http://sks.merseine.nu
SKS, criptografía de curva elíptica de bolsillo
http://sks.anarres.tk
Hola....
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Lo hago integrando GPG y el de la FNMT en el programa de correo y el navegador mediante una aplicación libre para Mozilla (Linux), que se denomina Enigmail. Ojo con la aplicación ya que tiene que estar en el mismo idioma que el navegador/cliente de correo.
Esta aplicación, me permite todas las combinaciones posibles de firma y cifra, tanto para los correos como para los anexos a los mismos a través de las opciones OpenPGP y S/MIME. Yo la tengo configurada para que primero firme /cifre con GPG y luego el resultado sea firmado/cifrado a su vez con FNMT.
Para el escritorio uso una aplicación que de denomina KGpg Applet, pero en la que no tengo integrada la firma de la FNMT y que suelo usar a través del portapapeles. Por lo tanto, no tengo integrada la firma de la FNMT en la aplicación GPG y no se en este momento si alguien ha logrado convertir e importar el certificado a GPG con éxito. Pero ahora que lo dices, me has picado la curiosidad....
\"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved\".
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFEEuVm9nRFyo4qa6MRAkqgAKC50RyTQ5yde3+hG44JQ51h33KmEACfetp4
taVHt2Qm2VnziKa7SOcygI0=
=QZd2
-----END PGP SIGNATURE-----