7. La identidad de una persona es
entregada por un Para demostrar quién soy tengo que…
intermediario de confianza… sonreir .
Identidad Autenticidad
El intermediario de confianza
establece el vinculo entre
información sobre la identidad y
autenticidad
8. De vuelta al Cuenta
Identidad
mundo digital VERIFICADA
9. La identidad de una persona es entregada
por un intermediario de confianza…
Identidad
10. Para demostrar que soy realmente
Barack Obama necesito una contraseña
para publicar en mi cuenta…
Autenticidad
18. ¿Cómo vincular
la identidad a clave pública?
Claudio Gutierrez Tim Berners Lee
M=La clave SHG56515454
Es la de Tim Berners Lee.
Firma(M, XJKGHJSDGHFD)
XJKGHJSDGHFD SHG56515454
21. ¿Por qué en la práctica no
funciona tan bien?
REVOCACIÓN
¿Quizás debería
usar FOAF+SSL?
Mi clave privada ha sido comprometida.
Tengo que llamar a mis 17.445 contactos
para que firmen mi nueva clave pública…
22. Friend of a Friend
(FOAF)
Axel Polleres
Francois
Scharffe
Yves
Raimond
23. Secure Socket Layer (SSL)
• Permite
– Autentificar ambos participantes
– Verificar la integridad de los mensajes
– Establecer clave de sesión secreta compartida
– Evitar ataques de re-envio
– Relacionar clave pública con identidad
– SSL no provee “no-repudiación”:
no hay firmas digitales de por medio
24. FOAF+SSL
Henry Story
http://vimeo.com/14797957
¿Como armar redes sociales distribuidas y seguras?
26. Ventajas de FOAF+SSL
• Descentralizado
– La información en una red
suficientemente grande es difícil adulterar.
– Cada participante controla su información.
• Flexible
– No hay que firmar claves (como en PGP)
(Puedo cambiar mi clave sin tener que avisar a todos mis amigos)
• Políticas de seguridad sofisticadas
– “Si al menos 5 de mis amigos conocen
a Bob Marley entonces le doy acceso.”
• Simple
29. ¿Qué pasa con DNS?
Hi Henry,
I'm trying to understand FOAF+SSL and have the same issue than John. You say that
: "If Romeo does not control the <https://romeo.net/> resource, he will not be able
to place information there about his public key."
But if Alice contacts https://romeo.net/ to retrieve its public key, how can she be
sure that she reaches the proper server (I'm thinking of DNS poisoning or other
man in the middle attacks). The only way is to either have obtained romeo's public
key through another mean (which one ?) or to have romeo provide a certificate
signed by a party that Alice trust (need key signing parties).
Can you please elaborate on how you protect against man in the middle attacks in
FOAF+SSL ?
Thanks a lot,
-Laurent
http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf
30. ¿Qué pasa con DNS?
Hi Laurent.
DNS poisoning is indeed a serious issue. Indeed it is *so* serious an issue, with so
many implications for commerce and security, that it is forcing the introduction of
DNS-SEC. This will be mandated by the United States for the Military and the
governement controlled DNS by the end of the year (2009). *…+
Henry Story.
http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf
31. DNS(SEC):
de vuelta al mismo problema…
¿Con quien estoy
conversando?
google.com?
209.85.195.104