2025-01-25 | #PGP #OpenPGP #GnuPG #mitos #divulgación #softwareLibre
El mundo del software libre se mueve por entusiastas, aficionados y autodidactas. Los repositorios públicos de código sirven como portfolio. Hay un fuerte cultura por la meritocracia. Dado que no hay grandes presupuestos, a veces no hay ningún tipo de presupuesto, para los proyectos de software libre estos se difunden mediante el boca a boca.
Muchas veces vemos algo en el blog de Fulano, pensamos que es útil lo que ha compartido (un tutorial, un programa...), entonces lo copiamos y lo difundimos porque todos queremos que se beneficien de ese conocimiento. Tenemos la mejor de las intenciones pero muchas veces desconocemos en parte o totalmente el transfondo técnico que hay detrás. Como digo, somos mayormente aficionados, algunos entusiastas del software libre son expertos en su materia porque llevan trabajando en ello años, se han formado con una carrera, etc. Pero dudo mucho que sea lo más habitual.
Creo que todo esto nos lleva a pasar por alto ciertas cosas y dar consejos que quiźa no sean tan buenos. Quizá debamos reprimir un poco esa ansia por compartir lo último que has descubierto y aplicar más el método científico. Me refiero a estudiar realmente aquello que vamos a compartir, averiguar si hay otras formas mejores de hacer las cosas, probar las cosas con rigor y no por "sensaciones", "creencias" o dejarnos llevar por idelogías. Porque al final estamos compartiendo consejos prácticos o herramientas que nada tienen que ver con las maneras de pensar de uno.
Hace unos días me encontré este toot:
I made a new index page on my blog for posts I wrote about private messaging apps.
Please consult this page instead of asking me "But what can you say about $randomThingINeverHeardOf?"
=> https://soatok.blog/encrypted-messaging-apps/
@soatok@furry.engineer
Sobre aplicaciones de mensajería escribiré otro artículo. Pero dentro de su blog vi otro artículo interesante:
I also wrote a list of things to use instead of PGP which vaguely fits into this category.
=> https://soatok.blog/2024/11/15/what-to-use-instead-of-pgp/
Si eres entusiasta de software libre seguro que has oído hablar de PGP (Pretty Good Privacy) o sus implementacionas OpenPGP o GnuPG. Se trata de una herramienta criptográfica de tipo asimétrico ampliamente difundido.
Si vamos a la web leemos:
OpenPGP is the most widely used email encryption standard. It is defined by the OpenPGP Working Group of the Internet Engineering Task Force (IETF) as a Proposed Standard in RFC 9580. OpenPGP was originally derived from the PGP software, created by Phil Zimmermann.
OpenPGP is a non-proprietary format for authenticating or encrypting data, using public key cryptography. It is based on the original PGP (Pretty Good Privacy) software, created by Phil Zimmermann. Beginning in 1997, the OpenPGP Working Group was formed in the Internet Engineering Task Force (IETF) to define this standard that had formerly been a proprietary product since 1991. Over the past decade, PGP, and later OpenPGP, has become the standard for nearly all of the world’s signed or encrypted email. OpenPGP also defines a standard format for certificates which, unlike most other certificate formats, enables webs of trust.
En muchísimos blogs de entusiastas de software libre te enseñan a cifrar cualquier cosas con PGP. A compartir tus claves con tus contactos para tener conversaciones privadas por correo electrónico, para cifrar ficheros, firmar documentos digitales, validar la identidad de alguien, hasta se puede configurar en chats xmpp. Como he dicho, la mayoría no somos expertos y aún menos en criptografía o ciberseguridad. Y así repetimos afirmaciones como: "Mantén tus correos privados y seguros con OpenPGP", "Cifra tus archivos de forma segura con OpenGPG", "Crea tu red de confianza con cifrado OpenPGP", etc. Yo mismo he estado tentado a escribir sobre PGP
Volvamos al blog de soatok. Yo no lo sé porque no soy ningún experto, pero soatok parace saber de lo que habla. Ahí hace referencia al siguiente artículo:
=> https://www.latacora.com/blog/2019/07/16/the-pgp-problem/
En el que se enumeran los siguientes problemas con PGP:
En ambos blogs se enumeran alternativas a los distintos casos de uso de PGP:
=> https://news.ycombinator.com/item?id=16088386
=> https://github.com/warner/magic-wormhole
Hay otras versiones en flathub, magic wormhol rs (fork en rust) y todas son compatibles entre sí.
=> https://age-encryption.org/
=> https://www.tarsnap.com/design.html | https://github.com/borgbackup/borg | https://github.com/kopia/kopia
Para desarrolladores:
=> https://www.sigstore.dev/ | https://jedisct1.github.io/minisign/
=> https://github.com/jedisct1/libsodium | https://developers.google.com/tink
No he probado la mayoría de alternativas que menciono aquí, así que tómalas bajo tu cuenta y riesgo. Infórmate, prueba, experimenta y no te creas todo lo que te contemos desde los blogs. Sé crítico.
Quizá debamos tomarnos más tiempo para meditar las cosas, para reflexionar y experimentar. Soy partidario del decrecimeinto y esto es otra forma de hacerlo. Vivimos muy acelerados, queremos resultados inmediatos y creo que sería beneficioso dar un paso atrás y disfrutar más del proceso.
Gracias por leer, si tienes dudas, sugerencias o comentarios en la página principal están mis datos de contacto.
Que tengas un buen día :)
text/gemini; charset=utf-8This content has been proxied by September (3851b).