Eventi:LinuxDay17:Keysigning: differenze tra le versioni
Nessun oggetto della modifica |
|||
Riga 53: | Riga 53: | ||
Per farlo puoi usare un sito come https://keysheet.net/ o http://openpgp.quelltextlich.at/slip.html | Per farlo puoi usare un sito come https://keysheet.net/ o http://openpgp.quelltextlich.at/slip.html | ||
In alternativa, su un sistema Debian, è possibile usare il pacchetto [https://packages.debian.org/signing-party signing-party] per stampare l'output di gpg --fingerprint in un formato adatto alla stampa (vedi [https://wiki.debian.org/it/Keysigning#Passo_4:_Stampare_la_propria_chiave questa pagina per | In alternativa, su un sistema Debian, è possibile usare il pacchetto [https://packages.debian.org/signing-party signing-party] per stampare l'output di gpg --fingerprint in un formato adatto alla stampa (vedi [https://wiki.debian.org/it/Keysigning#Passo_4:_Stampare_la_propria_chiave questa pagina per istruzioni dettagliate]). | ||
== Scambiarsi le firme == | == Scambiarsi le firme == |
Versione delle 17:46, 22 ott 2017
Work in progress, pagina soggetta a frequenti cambiamenti. |
Keysigning Party
Durante il Linux Day, si terrà un keysigning party informale, durante il quale i partecipanti potranno scambiarsi le firme digitale sulle chiavi GPG e discutere delle buone pratiche legate all'uso di GnuPG e della privacy online in generale.
Che cos'è GPG e perché dovrei usarlo?
GPG è un software libero di crittografia, creato come sostituto del proprietario PGP, il cui uso consente agli utenti di proteggere la privacy delle proprie mail, nonché di autenticarle. GPG si basa sulla crittografia asimmetrica, dove ogni partecipante alla comunicazione dispone di due differenti chiavi: una pubblica e una privata, una delle quali usate per cifrare e l'altra per decifrare.
Per maggiori informazioni, e una breve spiegazione del perché usarlo, si veda questa breve guida della Free Software Foundation.
Nell'uso di GPG è particolarmente importante non solo diffondere la propria chiave pubblica, ma anche e soprattutto verificare l'identità del possessore della chiave.
GPG cifra i messaggi utilizzando una coppia di chiavi (pubblica e privata) generate dall'utente. Le chiavi pubbliche possono essere scambiate tra gli utenti in vari modi, principalmente email e keyserver. Tuttavia bisogna prestare particolare attenzione alla corrispondenza tra chiave e (presunta) identità: il problema di tutti i sistemi di crittografia asimmetrica è la certificazione dell'autenticità della chiave, solitamente risolto con la presenza di un'autorità centrale oppure con la firma delle chiavi (un utente firma la chiave pubblica di un altro utente per certificarne l'effettiva autenticità). Su questo delicato punto si basa anche la firma digitale di file (messaggi) per garantire l'autenticità del contenuto e del mittente.(fonte: Wikipedia)
I keysigning party contribuiscono ad allargare la rete della fiducia e garantire la corrispondenza tra chiave e identità del possessore della chiave, e sono dunque fondamentali per il buon funzionamento di GPG.
Come prepararsi per il keysigning party
Generare una coppia di chiavi
Per la generazione delle chiavi e del certificato di revoca, si rimanda alla dettagliata guida sul wiki di Ubuntu.
Rendere pubblica la propria chiave
Per rendere pubblica la propria chiave, è necessario inviarla ad un keyserver da cui poi gli altri utenti potranno importarla.
Per farlo, digitare da terminale:
gpg --send-keys --keyserver KEYSERVER KEY-ID
Dove al posto di KEYSERVER andrà inserito l'indirizzo del keyserver scelto. Di seguito se ne segnalano alcuni:
- http://p80.pool.sks-keyservers.net/
- http://keys.gnupg.net:11371/
- http://wwwkeys.pgp.net/
- http://pgp.surfnet.nl/
- http://pgp.mit.edu/
Al posto di KEY-ID andrà inserito l'ID della propria chiave.
Stampare i propri fingerprint
È il momento di stampare i fingerprint della propria chiave, creando una sorta di biglietto da visita che conterrà le seguenti informazioni: nome e cognome, indirizzi email usati con la chiave, metodo di cifratura e ID della chiave, il fingerprint stesso.
Per farlo puoi usare un sito come https://keysheet.net/ o http://openpgp.quelltextlich.at/slip.html
In alternativa, su un sistema Debian, è possibile usare il pacchetto signing-party per stampare l'output di gpg --fingerprint in un formato adatto alla stampa (vedi questa pagina per istruzioni dettagliate).
Scambiarsi le firme
Al party, dovrai portare quindi la stampata dei tuoi fingerprint (più copie di ognuno, così da poterne dare una a ogni partecipante) e un documento di identità valido, che servirà agli altri a verificare la tua identità.
Durante il party non dovrai firmare nessuna chiave, solo ricevere i fingerprint degli altri e verificarne l'identità. In un momento successivo, sarà possibile scaricare dal keyserver le chiavi corrispondenti ai fingerprint raccolti, verificarne la correttezza e, solo a quel punto, apporre la propria firma a tale chiave.
Non dovreste mai firmare la chiave di qualcuno che non avete incontrato di persona. Firmare una chiave basandosi su qualsiasi cosa all'infuori della conoscenza diretta distrugge l'utilità della rete della fiducia.