#36 No es la misma firma pero para GH como si lo fuera. GH va a permitir commits con la nueva firma y les va a poner el tick verde de verificado en la UI. Es muy poco probable que alguien se diera cuenta de que son claves distintas hasta que fuera tarde.
Tú me estás contando cosas de claves privadas, y públicas mientras que yo te hablo del caso específico de GitHub y su interfaz.
#39 A ver, puedes pushear un commit sin firmar y, teniendo en cuenta que el usuario no firmaba los suyos... sería bastante más sospechoso que empezase a hacerlo. El tick es la misma validación por parte de GitHub que puede hacer cualquier usuario (o cualquier repo vinculado, como los que tienen) y, precisamente, es a posteriori cuando se evidenciaría (llegado el caso) si pudo ser un compromismo o no.
Tú me estás contando cosas de claves privadas, y públicas
Lo que te estoy contando es que no puede subir claves privadas a GitHub, por más que te empeñes en repetirlo.
#40 hay razones para usar una nueva clave. Por ejemplo que vaya a expirar la anterior. En mi empresa no podemos usar claves GPG con más de 2 años de duración. Lo que te digo es que posiblemente no levantaría sospechas hasta mucho tiempo después porque nadie mira eso más allá de que aparezca el icono.
> Lo que te estoy contando es que no puede subir claves privadas a GitHub, por más que te empeñes en repetirlo.
No me empeño en nada porque no lo he dicho nunca. Se puede cambiar la clave privada como ya te he explicado un par de veces pero eso no quiere decir que la subas a GitHub.
#32 no me has entendido. No es obtener la clave privada sino cambiarla por otra en posesión del intruso o añadir una nueva en las opciones de GH.
https://docs.github.com/en/authentication/managing-commit-signature-verification/adding-a-gpg-key-to-your-github-account
You can add multiple public keys to your account on GitHub. Commits signed by any of the corresponding private keys will show as verified.
#34 Precisamente: You can add multiple public keys to your account on GitHub.
Claves públicas. Lo que no puedes añadir son claves privadas, ni por tanto cambiarlas por otras.
Podrías añadir claves públicas, pero sería obvio para cualquiera que no es la misma firma.
#36 No es la misma firma pero para GH como si lo fuera. GH va a permitir commits con la nueva firma y les va a poner el tick verde de verificado en la UI. Es muy poco probable que alguien se diera cuenta de que son claves distintas hasta que fuera tarde.
Tú me estás contando cosas de claves privadas, y públicas mientras que yo te hablo del caso específico de GitHub y su interfaz.
#39 A ver, puedes pushear un commit sin firmar y, teniendo en cuenta que el usuario no firmaba los suyos... sería bastante más sospechoso que empezase a hacerlo. El tick es la misma validación por parte de GitHub que puede hacer cualquier usuario (o cualquier repo vinculado, como los que tienen) y, precisamente, es a posteriori cuando se evidenciaría (llegado el caso) si pudo ser un compromismo o no.
Tú me estás contando cosas de claves privadas, y públicas
Lo que te estoy contando es que no puede subir claves privadas a GitHub, por más que te empeñes en repetirlo.
#40 hay razones para usar una nueva clave. Por ejemplo que vaya a expirar la anterior. En mi empresa no podemos usar claves GPG con más de 2 años de duración. Lo que te digo es que posiblemente no levantaría sospechas hasta mucho tiempo después porque nadie mira eso más allá de que aparezca el icono.
> Lo que te estoy contando es que no puede subir claves privadas a GitHub, por más que te empeñes en repetirlo.
No me empeño en nada porque no lo he dicho nunca. Se puede cambiar la clave privada como ya te he explicado un par de veces pero eso no quiere decir que la subas a GitHub.
#34 Me explico: en un sistema de cifrado asimétrico (como GPG) la clave pública (que es la que almacenas en GitHub) debe ser lo más pública posible (yo p. ej. tengo la mía en un gist público en GitHub, la añado a los correos -incluso a los que van firmados-, etc.), ya que es lo que permite a cualquiera verificar que en realidad eres tú quien firma.
La clave privada, el passphrase en este caso, idealmente no debería estar almacenada más que en tu cabeza, ya que es lo que te permite a ti (y quien la tenga) firmar en tu nombre.
#19 si alguien consigue acceso a una cuenta de GitHub puede cambiar la clave privada que se usa para firmar los commits. Al dueño de la cuenta le llegaría un email de que se ha añadido una nueva firma que el atacante tendría que evitar de alguna forma que fuera visto.
Luego en la interfaz de GitHub los commits saldrían con el tick verde indicando que están firmados y nadie se daría cuenta.
#26 si alguien consigue acceso a una cuenta de GitHub puede cambiar la clave privada que se usa para firmar los commits.
En absoluto. La claves privadas no se almacenan en la cuenta de GitHub, sólo las públicas.
Pero eso no es una particularidad de GitHub, es la base misma de la criptografía asimétrica. Almacenar la clave privada en el sitio que tiene que verificarla sería peor incluso que no firmar nada.
#32 no me has entendido. No es obtener la clave privada sino cambiarla por otra en posesión del intruso o añadir una nueva en las opciones de GH.
https://docs.github.com/en/authentication/managing-commit-signature-verification/adding-a-gpg-key-to-your-github-account
You can add multiple public keys to your account on GitHub. Commits signed by any of the corresponding private keys will show as verified.
#34 Precisamente: You can add multiple public keys to your account on GitHub.
Claves públicas. Lo que no puedes añadir son claves privadas, ni por tanto cambiarlas por otras.
Podrías añadir claves públicas, pero sería obvio para cualquiera que no es la misma firma.
#36 No es la misma firma pero para GH como si lo fuera. GH va a permitir commits con la nueva firma y les va a poner el tick verde de verificado en la UI. Es muy poco probable que alguien se diera cuenta de que son claves distintas hasta que fuera tarde.
Tú me estás contando cosas de claves privadas, y públicas mientras que yo te hablo del caso específico de GitHub y su interfaz.
#39 A ver, puedes pushear un commit sin firmar y, teniendo en cuenta que el usuario no firmaba los suyos... sería bastante más sospechoso que empezase a hacerlo. El tick es la misma validación por parte de GitHub que puede hacer cualquier usuario (o cualquier repo vinculado, como los que tienen) y, precisamente, es a posteriori cuando se evidenciaría (llegado el caso) si pudo ser un compromismo o no.
Tú me estás contando cosas de claves privadas, y públicas
Lo que te estoy contando es que no puede subir claves privadas a GitHub, por más que te empeñes en repetirlo.
#40 hay razones para usar una nueva clave. Por ejemplo que vaya a expirar la anterior. En mi empresa no podemos usar claves GPG con más de 2 años de duración. Lo que te digo es que posiblemente no levantaría sospechas hasta mucho tiempo después porque nadie mira eso más allá de que aparezca el icono.
> Lo que te estoy contando es que no puede subir claves privadas a GitHub, por más que te empeñes en repetirlo.
No me empeño en nada porque no lo he dicho nunca. Se puede cambiar la clave privada como ya te he explicado un par de veces pero eso no quiere decir que la subas a GitHub.
#34 Me explico: en un sistema de cifrado asimétrico (como GPG) la clave pública (que es la que almacenas en GitHub) debe ser lo más pública posible (yo p. ej. tengo la mía en un gist público en GitHub, la añado a los correos -incluso a los que van firmados-, etc.), ya que es lo que permite a cualquiera verificar que en realidad eres tú quien firma.
La clave privada, el passphrase en este caso, idealmente no debería estar almacenada más que en tu cabeza, ya que es lo que te permite a ti (y quien la tenga) firmar en tu nombre.
Todos los CEOs decían que todo iba bien hasta poco antes de despedir a cientos o miles de personas así que tampoco hay que fiarse mucho.
El CEO de mi empresa dijo que estábamos en una situación financiera muy fuerte una semana antes de juntarnos a todos y despedir a unos cuantos que trabajan desde Estados Unidos. Los que vivimos en países con algo más de protección nos hemos ido salvando.
#40 hay razones para usar una nueva clave. Por ejemplo que vaya a expirar la anterior. En mi empresa no podemos usar claves GPG con más de 2 años de duración. Lo que te digo es que posiblemente no levantaría sospechas hasta mucho tiempo después porque nadie mira eso más allá de que aparezca el icono.
> Lo que te estoy contando es que no puede subir claves privadas a GitHub, por más que te empeñes en repetirlo.
No me empeño en nada porque no lo he dicho nunca. Se puede cambiar la clave privada como ya te he explicado un par de veces pero eso no quiere decir que la subas a GitHub.