Introduzione all’Open PGP

25 anni fa tutta la crittografia era basata su qualche forma di segreto condiviso – in quanto tutte la parti che ne facevano uso dovevano avere la stessa chiave per decodificarla. Il codice poteva essere violato solo entrando in possesso di una di queste chiavi.
Poi nacque il concetto di codifica a chiave pubblica. In breve, una chiave pubblica è qualcosa di cui puoi mandare copie a chiunque perché essa permette solo di codificare contenuti che possono essere decrittati dalla tua chiave segreta. La chiave pubblica codifica, quelle segrete decodificano.
Puoi anche “firmare” I documenti con la tua chiave segreta, nel senso che puoi creare un riassunto crittografato del documento che gli altri possono controllare per verificare che sei stato proprio tu a creare il documento e che non è stato modificato.
Sulla sicurezza
Il modo più facile (e più usato) di violare questa codifica si chiama “Man in the Middle”: se la persona A sta cercando di madre un documento criptato alla persona B, una terza persona C può mettersi in mezzo e far credere ad A di essere B e viceversa. E’ solo un trucchetto, ma funziona se la gente non sta attenta.
Ci sono modi di combattere questi attacchi. Il primo e più diretto é dare alla gente le impronte digitali della propria chiave pubblica. Per le chiavi DSA di GnuPG si tratta di un numero esadecimale di 40 cifre, di cui le ultime 8 sono il keyid. Mentre diverse chiavi possono potenzialmente condividere la stessa impronta digitale, il numero di chiavi che bisognerebbe generare per trovare quella corrispondente è semplicemente astronomico.
Il secondo modo, spesso utilizzato quando si contatta una persona per la prima volta, è verificare le firme della chiave pubblica. Come per le firme nei files, i tuoi amici possono usare le loro chiavi segrete per firmare la tua chiave pubblica. Ma diversamente dalla firma sui documenti, la firma sulle chiavi non indica il possesso – indica conoscenza di prima mano del fatto che la chiave è effettivamente posseduta dalla persona che dice di possederla. Se ricevi una chiave per la prima volta e ci trovi la firma di un amico, puoi fidarti del suo giudizio abbastanza da fidarti anche della firma della nuova persona. Se non riconosci nessuna firma su una chiave puoi passare al livello successivo e controllare tutte le firme dei nuovi firmatari della chiave. Si chiama rete di fiducia.
Ogni volta che aggiungi un bit raddoppi l’ammontare di combinazioni possibili. Considerando che la velocità dei computer raddoppia ogni 18 mesi, ci vorrebbe un periodo lungo diverse vite umane per violare una chiave a 1024 bit. Sarebbe molto più facile entrare in casa del possessore mentre non c’è e prendere una copia della sua chiave segreta dal suo hard disk. E’ per questo che su Indymedia si usa una passphrase per crittare e decrittare le chiavi. Se sentite il bisogno di essere ancora più sicuro, usa una passphrase lunga e casuale, non-parola, alfanumerica, con maiuscole e minuscole, e tieni la chiave su un floppy ben nascosto invece che sull’hard disk.
Per iniziare
Se ancora non l’avete fatto, andate su http://www.gnupg.org e scaricate il software. Da una shell (per chi usa Windows shell=DOS) inviate la seguente riga due volte:
gpg --gen-key
La prima volta vi dovrebbe dire di aver creato il vostro keyring, la seconda entrerà nel menu generazione chiavi. Si possono tranquillamente usare le opzioni di default – tranne che per nome, email e passphrase. Puoi inserire un expiration time di 1anno visto che è la tua prima chiave, non inserire un commento a meno che tu non stia generando più di una chiave per te stesso (es. chiavi separate per casa e lavoro). Muovi il mouse, batti tasti a caso sulla tasitiera, in modo da creare entropia – se non ce n’è abbastanza, continua.
A questo putno dovresti aver finito di generare, quindi prova ad inserire:
gpg --fingerprint
Dovrebbe apparirti la tua chiave con la sua fingerprint, e altri dati come sottochiavi, …Ora, molto importante, prima di fare qualsiasi altra cosa prendi un dischetto nuovo e copiaci i file .gpg come backup, perché con la tua chiave segreta hai sempre la possibilità di firmarti una nuova chiave e generare un certificato di revoca per la vecchia, o semplicemente aggiungerci un nuovo indirizzo e-mail (cancellando quelli vecchi), ma se perdi la chiave segreta perdi ogni potere su di essa finchè non scade.
[…]
Come usarla
Il posto più comune dove usare GnuPg è il proprio mail cient. Guarda nei Frontends di http://www.gnupg.org per vedere come fare. Ovviamente se usi normali mailbox web-based sarä più difficile.
Per crittografare qualcosa manualmente salvalo come file di testo e digita:
gpg --armor --encrypt -r
o in alternativa:
gpg -ea -r
[ -e = --encrypt ; -a = --armor ; -r = recipient ]
Questo creerà un nuovo file crittografato .asc
Per decrittare qualcosa crittografato con la tua chiave digita:
gpg --decrypt
o, in alternativa:
gpg -d
[ here: -d = --decrypt ]
Puoi usare un > redirect (or --output) per trasferire I dati decrittati in un file invece di doverli estrarre dallo shell.
Ci sono migliaia di altri usi, che potete trovare nel manuale allegato a GnuPG. Divertitevi, e non fatevi scoraggiare da tutto questo “tecnobabble”: il procedimento è abbastanza facile e i benefici dati dal suo utilizzo valgono la fatica di imparare.
Source: