[pyar] Semi O.T. - Firmar texto con GnuPG para guardar en la DB con Python

[Francisco J Capdevila]

Es preciso que el texto este cifrado?? O solo verificar integridad y
que fue creado por X persona??
Francisco J. Capdevila


El día 22 de abril de 2013 19:12, Juan Rodríguez Monti
<juanrodriguezmonti en gmail.com> escribió:
> El día 22 de abril de 2013 10:45, Julian Agustin Cardonnet
> <jcardonnet en gmail.com> escribió:
>> Si, funcionalmente hablando me parece mejor "hacer todo junto", ya sea todo
>> dentro del browser (via una extension de Chrome/FF) o todo en una aplicacion
>> de escritorio aparte. Si tuvieras por un lado una webapp y por otro una app
>> de escritorio que genera la firma, tendrias que hacer mas o menos todo esto:
>>
>> 1 - Copiar la cadena de la pagina web a la desktop app
>> 2-  Generar la firma
>> 3-  Pegar la firma en el browser
>> 4- Mandar la cadena y la firma a tu servidor
>
> Claro. Eso no cierra, como decía yo hace unos mails.
>
>>
>> En los pasos 1 y 3 es donde podes tener problemas (diferentes encodings
>> entre el browser y tu aplicacion, cosas raras con caracteres invisibles, el
>> usuario no copia EXACTAMENTE lo que deberia, y mil cosas por el estilo...).
>> Ni hablar ademas de que es un garron para el usuario tener que hacer todo
>> ese malabar.
>
> Si.
>
>>
>> Con el tema de la seguridad no te puedo aconsejar gran cosa porque soy
>> principiante en el asunto, asi que solo te tiro unos tips:
>> - Nunca jamas mandar la clave privada por la red (y ni hablar de guardarla
>> en el servidor).
>> - El almacenamiento de la clave es un tema delicado (particularmente con
>> cifrado de clave publica) asi que colgate de algo que ya lo tenga resuelto,
>> por ej la extension de Chrome WebPG se integra con GnuPG para gestionar las
>> claves.
>
> Ni hablar, guardar la clave en el server es una locura, como deciamos
> en un primer mail.
>
> Sí, estuve mirando Chrome WebPG. Una alternativa seria que el usuario
> seleccione el texto que ya escribió y está por dar de alta, y que
> utilice la opción de encriptar de CWPG.
>
>>
>> Por ultimo, no se que tan seguro tiene que ser tu sistema pero si hay algo
>> interesante en juego (guita, informacion, etc) te recomiendo que consigan un
>> experto en desarrollo seguro (y auditar la infraestructura tambien) porque
>> cualquier detalle que pasen por alto les puede pinchar el globo.
>
> No, de ninguna manera es algo que requiera una seguridad extrema. Yo
> no soy especialista en seguridad, así que me excederia hacer algo así.
>
> Es una aplicación que necesita poder firmar/encriptar una determinada
> información.
>
>>
>> Saludos
>> Julian
>
> Gracias por la data.
>
> Juan
>
>
>
>
> --
> Juan Rodríguez Monti
>
> Blog: http://www.juanrodriguezmonti.com.ar
> Twitter: @jrodriguezmonti
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar