¿qué vale una firma digital basada únicamente en la dirección de correo electrónico? [cerrado]

Question

¿qué vale una firma digital basada únicamente en la dirección de correo electrónico? [cerrado]

#1 de Lie Ryan (0 votos)

2

Me he dado cuenta de que la mayoría de los proveedores de firmas digitales no intentan certificar nada más que una dirección de correo electrónico, mientras que es bastante fácil crear una dirección de correo electrónico sin revelar información personal.

Por lo tanto, puedo saber la dirección de correo electrónico de un firmante y nada más.

Si se produce una disputa legal, ¿cómo puedo saber quién tiene realmente la dirección de correo electrónico? ¿Cómo evitar el repudio?

¿Por qué aparentemente a nadie le importa?

En realidad a algunas personas les importa, especialmente en Italia (te dejo descubrir por qué). En particular, infocert.it propone reconocimiento web.

( enlace )

Ver también

enlace

en resumen, obtendría una identificación digital después de mostrarle una identificación real a alguien, posiblemente un funcionario.

En Bélgica, (proponen) colocar un certificado en la tarjeta de identificación.

Una forma intermedia (más segura que el correo electrónico, más liviana que la de reconocimiento o haciendo que todas las tarjetas de identificación sean inteligentes) podría basarse en un teléfono móvil GSM, ya que normalmente no es posible (?) comprar una tarjeta SIM sin mostrar la identificación y el comprador es responsable de su uso y puede revocarlo en caso de pérdida.

¿Sabe acerca de la firma digital basada en la tarjeta SIM? Google da algunas respuestas pero no encontré nada práctico.

Me interesan las soluciones prácticas pero también los consejos teóricos, por favor.

digital-signature non-repudiation

pregunta Pierre ALBARÈDE 01.12.2015 - 01:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature non-repudiation

OpenPGP encriptando los archivos de copia de seguridad y enviándolos a los servidores de Usenet ¿Qué tan seguro es "Vamos a cifrar"? [duplicar]

score 0 · Answer 1

Este es esencialmente el mismo problema con el certificado SSL validado por el dominio. Un certificado de dominio validado o un certificado de identidad de correo electrónico afirma que está hablando con un sistema / alguien autorizado para usar el dominio / dirección de correo electrónico, pero no vincula la dirección con ninguna identidad del mundo real.

No se puede usar un certificado de DV o dirección de correo electrónico solamente para verificar si el propietario de la dirección es una persona decente para hacer cualquier tipo de negocio que quiera hacer con ellos o que la persona / entidad detrás del certificado sea quien usted cree que es. . Aún se queda solo para determinar si la dirección de correo electrónico que tiene es la dirección de correo electrónico correcta de la persona con la que desea comunicarse.

El valor del certificado de correo electrónico es que simplifica la verificación del certificado porque parte del proceso de verificación ya fue realizado por la autoridad de certificación. La autoridad de certificación ha verificado que el certificado pertenece al propietario autorizado de la dirección de correo electrónico. Por lo tanto, todo lo que debe hacer es verificar que el certificado pertenece a la persona que tiene delante.

Si conoce a alguien en quien confía en persona y él le dice su dirección de correo electrónico y dónde obtener su certificado, puede verificar que el certificado pueda usarse para enviar un correo electrónico al propietario de esa dirección sin que tengan que leer el certificado de huella digital en persona (como sería necesario con GPG si aún no tiene una conexión a través de la web de confianza).

Hay varios problemas aquí. Si no confías en la persona, entonces no tienes ningún motivo para confiar en su afirmación de que la dirección de correo electrónico realmente le pertenece. Sin embargo, aún puede estar seguro de que si la persona no posee la dirección de correo electrónico, no podrá recibir ningún correo electrónico enviado a esa dirección ni enviar ningún correo electrónico firmado desde esa dirección, ya que presumiblemente no tiene la la clave privada correspondiente a esa dirección de correo electrónico, y la autoridad de certificación no se la habría emitido.

Si no confía en la afirmación de la persona de su dirección de correo electrónico, simplemente puede enviar un correo electrónico a la dirección con una palabra secreta y si puede leer la palabra secreta en persona, puede estar seguro de que la persona parado frente a usted tenía la clave privada correspondiente al certificado.