All’interno del Vicenza GNU/Linux User Group stiamo cercando di sviluppare una rete di fiducia (web trust) basata sulla tecnologia GnuPg.

Se hai tempo, leggi anche il manuale GNU sulla privacy.

Il progetto, benché aperto a tutti, si concentra sui cittadini di Vicenza e i membri del Vicenza GNU/Linux User Group in particolare. Se volete aggiungervi alla rete contattatemi all’indirizzo tapparo chiocciola math punto unipd punto it. Statistiche correnti

• Numero di utenti nella rete: 15
• Numero di connessioni nella rete: 55
• Classifica delle chiavi
• Chiavi delle persone della rete che hanno accettato di venire visualizzate pubblicamente. Basta salvarlo e cliccarci sopra due volte per importarne tutte le chiavi.

• Rete di fiducia in Formato dot
• etichette fingerprint-enabled: per stamparle hai bisogno di glabels

E’ un software per l’implementazione della crittografia con algoritmo a chiave asimmetrica.

Un testo da cifrare(crittografare) ha bisogno di un algoritmo di cifratura, che descrive le modalità di trasformazione dello stesso in testo cifrato. L’algoritmo consente anche l’operazione inversa, cioè la decifrazione di un crittogramma, se in possesso della chiave. La forza di un algoritmo non deriva dalla sua segretezza; anzi, esso, può essere reso tranquillamente pubblico.

La chiave è un parametro che, assieme al testo da cifrare/decifrare, viene dato in pasto ad un algoritmo di cifratura, consentendo così di cifrare/decifrare il testo. Una chiave simmetrica non deve essere divulgata!

Una chiave simmetrica è una chiave utilizzata sia per la cifratura che per la decifrazione; cioè sia il mittente sia il destinatario, devono essere in possesso della stessa chiave. Un meccanismo di chiave asimmetrica prevede invece che la stessa sia costituita da due parti: una chiave pubblica e una chiave privata, legate tra di loro da una relazione matematica (problema matematico complesso), che fa sì che però non sia possibile risalire dall’una all’altra. La chiave privata la devi tenere custodita al riparo da occhi indiscreti, mentre la chiave pubblica la puoi tranquillamente distribuire.

Per cifrare, chi vuole scriverti deve usare la tua chiave pubblica. Solo tu che hai la corrispondente chiave privata, tenuta ben nascosta, potrai decifrare il messaggio. L’utilizzo di due chiavi distinte risolve il principale problema della cifratura a chiave simmetrica e cioè la distribuzione della chiave. Non è più necessario infatti concordare in anticipo la chiave da usare ed essere certi che nessun altro la conosca: si utilizza direttamente la chiave pubblica, liberamente disponibile, del destinatario.

Un’importante applicazione a corollario della cifratura asimmetrica è la firma digitale. In questo caso l’intento non è più quello di nascondere un messaggio, ma di dimostrare l’identità (ad. es nel momento dell’invio di una mail). L’assunto specificato sopra è che solo tu possiedi la tua chiave privata. Quindi tramite un algoritmo di firma, puoi apporre, al messaggio in chiaro che stai spedendo, un’impronta che solo la tua firma, unica in mezzo alle altre, può generare. Gli altri potranno verificare che si tratta proprio della tua firma perchè possono utilizzare la tua chiave pubblica, che è invece liberamente disponibile.

Puoi utilizzarlo sia da terminale (bash), sia mediante l’utilizzo di plugin grafici per i più comuni client di posta, Linux e non solo. Per Thunderbird esiste il plugin Enigmail, per Evolution Seahorse. E’ disponibile anche un plugin per la webmail di GMail: si chiama FireGPG.

Da terminale digito:

$ gpg --gen-key

La coppia di chiavi privata/pubblica sarà memorizzata sotto ~/.gnupg

$ gpg --edit-key mioID

Posso aggiungere altri UID, cioè altri indirizzi di posta, cambiare la passphrase e altro.

$ gpg --send-keys --keyserver keyserver.ubuntu.com mioID

Un keyserver mantiene un database di chiavi pubbliche; altri utenti possono ricercare/scaricare la mia chiave pubblica. Periodicamente i keyserver si sincronizzano tra di loro.

$ gpg --keyserver pgp.mit.edu --search IDutente

$ gpg --fingerprint --list-keys mioID

Un’informazione essenziale per la verifica della tua identità ad un keysigning party.

Un GPG Keysigning Party serve ad associare impronta e ID GPG ad una persona dotata di documento di identità; solo dopo tale verifica puoi firmare la chiave pubblica di questa persona con la tua chiave privata. La tua firma sarà quindi memorizzata nella sua chiave pubblica. In un keysigning party tutti eseguono la verifica descritta e, successivamente, firmano le chiavi pubbliche dei partecipanti.

Informazioni più complete le puoi trovare qui:

• breve introduzione alla crittografia: http://www.comune.torino.it/poliziagiudiziaria/archivio/focus/crittografia.shtml
• nell’apposita pagina di Ubuntu: http://wiki.ubuntu-it.org/Sicurezza/GnuPg
• nel manuale GNU della privacy: http://www.gnupg.org/gph/it/index.html
• per generale la tua coppia di chiavi, segui le istruzioni riportate qui: http://www.prato.linux.it/~mnencia/gnupg.html