Canvi de claus GnuPG
publicat el 18/05/2009 a les 20:10 sota sysadmin, rallades, divers
Arran de llegir aquest article i del perill de que SHA-1 estiga ja compromés, em vaig decidir a renovar les meves clauls GnuPG de correu.
Vaig seguir aquesta guia per a generar-me unes noves claus RSA de 4096 bits i per usar SHA256 per a algoritme de hash.
Per suposat que he revocat les velles.
No és que use massa GnuPG en el dia a dia (per desgràcia la gent no esta molt concienciada), però m'agrada tenir aquestes coses ben actualitzades per si de cas.
Per a qui vullga la clau, pot aconseguir-la al al servidor de claus del MIT o a la secció de contacte del blog.
També m'estic posant bastant a fons en temes de certificats digitals (tant personals com de servidors i tal) i entitats certificadores. Em pareix un tema molt interessant i li veig molts usos pràctics. A vore si en puc traure alguna cosa ...
I ja està bé, que després de quasi 3 mesos de silenci "blogueril", no esperàveu que escriguera alguna cosa massa currada no ? :-P
Salut.
Impressios sobre el DNIe
publicat el 28/02/2009 a les 18:40 sota rallades, divers
Ja fa un parell de mesos que em va tocar renovar el DNI.
El procés, docs molt paregut a les vegades anteriors: matinada, foto a lo "terrorista acabat d'alçar del llit", ...
El de sempre. La única diferència és que ara ixes de la comissaria amb el DNI a la mà (l'imprimixen al moment) i que el nou document porta un xip amb un parell de certificats digitals emesos per la FNMT.
Tenia els meus dubtes sobre aquest nou avanç, acostumats com estem a les cagades de l'administració ...
Però aquesta volta pareix que no està gens malament la cosa.
Els que em coneixeu ja sabeu que no li tinc cap "amor" als documents d'identitat ni altres mesures que forçosament ens fa adoptar l'estat, però el fet de tenir uns certificats emesos per una CA que tots coneixem i que és "imparcial", em pareix un bon servei per al ciutadà.
El que porta l'abans nomenat xip, són dos certificats signats per la FNMT que fa les voltes de CA. Un certificat és per a Signatura Digital , que ens servirà per a autenticar que un document digital l'hem enviat nosaltres i que no s'ha modifica desde el moment de l'enviament fins que el destinatari comprova la signatura, i l'altre per a Autenticació Digital, que ens servirà per a autenticar-nos davant els serveis (de l'administració o d'altres entitats) que ens ho requereixin, poguent fer tràmits online de manera no presencial i amb seguretat.
Si en voleu més informació sobre el tema la podeu trobar a la pàgina oficial del DNIe.
Només vull comentar que és prou útil per a agitlitzar tràmits ben farragosos com poden ser aconseguir un informe de vida laboral de la Seguretat Social, o canviar les dades de l'Agència Tributària (cosa que he hagut de fer dues voltes des que visc sol i que ara serà molt més senzill).
Cada volta es sumen és tràmits i sol·licituts per part de l'administració i també d'entitats privades com bancs i d'altres.
Li veig, però, algunes pegues que és en realitat el que volia comentar.
Encara que la tecnologia emprada i el nivell de seguretat al que t'obliga (amb la política de PIN i tal) em pareixen d'allò més bé i fan que sigui bastant complicat l'ús fraudulent dels certificats, crec que no se li està donant la deguda importància ni s'està "formant" adequadament al ciutadà en aquesta nova tecnologia.
M'explique. Jo sóc plenament conscient del que m'han donat amb el nou DNI i sé el que he de fer i amb què he d'anar amb cura per a que no el puga usar una altra persona per fer vés a saber què ... però el ciutadà mitjà que no té ni idea ni li interessen els coneixements per entendre com funciona la criptografia de clau pública, pot descuidar la seguretat en el seu PIN per accedir als certificats o tractar-ho a la lleugera.
Això no seria massa important si no es pogués fer res amb aquesta informació, però avui en dia moltes administracions admeten tràmits electrònics amb aquestos certificats i també mols bancs permeten l'accés als compters i operacions bancàries online amb el DNIe.
Per tant, crec que s'hauria de fer una campanya d'ensenyament en aquest sentit. Pot ser se li pot treure el pressupost a la de "Si eres legal ...", que no val per a res i a sobre està plena de mentides ...
També li veig una mancança. La possibilitat d'encriptació.
Els certificats estan pensats per a signatura i autenticació, però no per a encriptació. Està clar que, a nivell tècnic, no hi ha cap problema per a usar els certificats per a encriptar. Al cap i a la fi un certificat és un certificat i punt. Però si ho fas t'estàs saltant tots els estàndars "del mundo mundial".
Crec que, ja feta la feina d'entregar certificats a la ciutadania i crear una CA, es podria usar i fomentar l'ús de la criptografia en l'àmbit privat i quotidià per a fer més segures i confiables les comunicacions entre els ciutadans i les empreses/administracions al dia a dia.
I això és tot el que tinc que dir sober el DNIe. El que l'haja provat ja em dirà que li pareix.
Feliç any 2009
publicat el 31/12/2008 a les 20:00 sota musica, rallades, divers
Doncs un altre any que passa. Ací estic al sofà de ma casa, amb grip però feliç.
Ha estat un any fotut en algunes coses i molt bò en altres
Aquesta nit faré poca festeta, que els virus no em deixaran molt de marge. Però no penseu que estic fet un moc. Ja m'he tragat el Chrismas Special del Dr. Who d'aquest any i aquesta nit tinc un bon repertori audiovisual preparat (a part d'un bon sopar).
Sols felicitar-vos a tots el nou any, que ho passeu bé a les respectives celebracions i que no vos faça molt de mal el cap demà de matí ...
He enviat alguns emails, sms i demés però segur que m'he deixat algú, així que ja m'ho tirareu en cara (amb birra del vostre conter clar) la pròxima vegada que em vegeu :-P
No vos pegue més la pallissa, bon any, a passar-ho bé.
p.s.: No pense fer propòsits d'any nou, perquè en la puta vida n'he complit cap jejejejeje.
p.s.II: Per suposat que la periodicitat de publicació seguirà sent tant o més irregular com fins ara, que ja no tenim edat pa anar canviant costums ...
error al conectar a MySQL, hosts.allow y les pràctiques d'alguns ISP
publicat el 16/09/2008 a les 12:00 sota sysadmin, rallades
Avui estava instal·lant uns sistemes per a un client per al que estan desenvolupant una aplicació web a la empresa on treballo. Fins ací tot normal. Era un desplegament prou simple: frontal web amb Apache + PHP i un altra màquina per al MySQL que se li pegarà prou canya ...
He instal·lat el apache + PHP a una màquina i tots els requeriments (que si GD, que si esto, que si aquello ...).
La tocada de collons ha vingut quan m'he tirat un parell d'hores ben bones intentant fer la conexió de la màquina del server web cap a la del MySQL.
Tot pareixia estar bé, els permisos del MySQL, el server escoltava en la ip i port que tocava, no hi havien firewalls pel mig (tenen 2 tarjes cada màquina i una va a una LAN privada), iptables estava desactivat a les dues màquines, les versions de server i client eren raonablement modernes però obtenia una i altra volta aquest error:
ERROR 2013 (HY000): Lost connection to MySQL server at 'reading initial communication packet', system error: 0
Després de cercar a l'oràcul una i mil voltes i començar a perdre pelusilla (perque pèl ja no en tinc molt ...) se m'ha encés la bombilleta.
Aquestes màquines estan en un ISP extern que no tinc ni idea de com treballen, només tinc les dades d'accés a les màquines.
Ja havia notat que les instal·lacions bàsiques dels sistemes estaven molt bé, però eren un tant "peculiars" així que he anat directament a revisar els fitxers /etc/hosts, /etc/hosts.deny i hosts.allow.
Total que he trobat el següent:
$ cat /etc/hosts.deny [...] all:all
$ cat /etc/hosts.allow [...] all: 127.0.0.1 sendmail: all sshd: all wu-ftpd: all [...]
Vaja home ... "the old way". Que ganes de tocar els collons.
Solució:
Afegir a /etc/hosts.allow la línia:
mysqld: all
(també val la ip d'orige de la conexió)
i reiniciar el daemon portmap
Ala, per a un altra, miraré primer lo més obvi ...
staticblog 1.0 released
publicat el 07/09/2008 a les 18:40 sota web, bsd, ruby, linux, development, perl
Some time ago I wrote the code that this blog runs, just for fun and for doing something useful.
Eventually, today I've beat my shame and I've released the code under the BSD license
I know that maybe is not very useful, and is a little bit old-fashioned, but here you are to play with it.
Use it as you like. Comments, patches, improvements and new ideas will be much apreciated.
You can get the code and installation instructions from the StaticBlog project site.
And that's all folks !