Linux Day 2011 a Pisa » Key Signing Party HowTo

Cosa è un Key Signing Party

È un ritrovo di persone che utilizzano il programma di crittografia GPG (o qualunque programma compatibile con OpenPGP) e che hanno desiderio di verificare le rispettive chiavi crittografiche e reali identità in modo da poter "firmare" le chiavi altrui, certificando cosí il legame tra l'identità reale della persona e la chiave digitale.

Questo breve HowTo documenta le operazioni da fare per partecipare ad un Key Signing Party, assumendo che l'utente utilizzi GPG da riga di comando. Sotto è indicato come fare le stesse operazioni usando l'interfaccia grafica di GNOME.

Come partecipare

Cosa fare prima del party

Generare una chiave crittografica (se ancora non si usa OpenPGP); si veda la documentazione ufficiale. Ogni chiave ha un ID che viene scritto a schermo al momento della creazione.
Salvare la versione ascii-armored della propria chiave pubblica. In particolare l'output del comando:
```
gpg --armor --export id_chiave > nome_file.asc
```
Inserire la propria chiave nel keyring di Biglumber relativo all'evento, inviando il file appena creato.
In effetti questo passaggio non è strettamente necessario: si può partecipare al party anche senza che la propria chiave sia sul keyring, a patto di portare comunque un foglio con scritto il fingerprint, in modo che gli altri partecipanti lo possano verificare. Meglio ancora è portarsi tanti fogli, da lasciare agli altri partecipanti in modo che questi non se lo debbano copiare a mano.

Cosa portare al party

IMPORTANTE! (senza questo passaggio si vanifica l'utilità del Key Signing Party) Qualche giorno prima del party il keyring su Biglumber viene reso definitivo; tutti i partecipanti devono stamparne una copia da portare al Key Signing Party e controllare che il fingerprint (imponta digitale della chiave) sia riportato correttamente, utilizzando il comando:

gpg --fingerprint id_chiave

È anche necessario portare un documento valido per poter dimostrare ai partecipanti la propria identità.
Una matita o una penna per scrivere su carta (ed appuntarsi le chiavi altrui verificate).
NON portare il computer, NON è necessario per verificare l'identità delle persone. NON è opportuno firmare le chiavi in pubblico, perché digitare in pubblico la propria passphrase ne può comprometterne la sicurezza.

Cosa fare durante il party

Ogni partecipante incontra gli altri e verifica la fingerprint stampata sulla sua lista sia corrette e che i dati personali (nomi e indirizzi e-mail) siano giusti.
Poi segna sul proprio foglio le informazioni verificate

Cosa fare dopo il party

Ogni partecipante verifica le chiavi delle persone incontrare e, se è soddisfatto, le firma ed invia le firme al proprietario.

Durante il seminario che precede il Key Signing Party sarà presentato il programma caff, che permette di eseguire queste operazioni in maniera comoda e sicura.

Usare un'interfaccia grafica

Se si preferisce utilizzare un'interfaccia grafica, l'ambiente GNOME mette a disposizione un programma tramite il quale si possono eseguire le operazioni riportate sopra. Tenete conto che la traduzione dei programmi e la posizione esatta delle varie opzioni all'interno dell'interfaccia grafica potrebbe cambiare tra versioni diverse del sistema operativo.

Esportare la chiave

Avviare Sistema -> Preferenze -> Password e chiavi di cifratura.
Andare sulla tab Dati personali.
Cliccare con il tasto destro sulla chiave che si intende utilizzare per il Key Signing Party e selezionare Esporta.
Selezionare il file dove salvare la chiave, che poi può essere mandata sul keyring di Biglumber.

Verificare il fingerprint (impronta digitale)

Aprire Password e chiavi di cifratura come indicato sopra e raggiungere il tab Chiavi personali.
Fare doppio clic sulla chiave scelta.
Nel tab Dettagli della finestra che si apre è presente il fingerprint della chiave. Controllare che coincida con quello presente sulla lista scaricata da Biglumber.