Cosa è un Key Signing Party
È un ritrovo di persone che utilizzano il programma di crittografia GPG (o qualunque programma compatibile con OpenPGP) e che hanno desiderio di verificare le rispettive chiavi crittografiche e reali identità in modo da poter "firmare" le chiavi altrui, certificando cosí il legame tra l'identità reale della persona e la chiave digitale.
Questo breve HowTo documenta le operazioni da fare per partecipare ad un Key Signing Party, assumendo che l'utente utilizzi GPG da riga di comando. Sotto è indicato come fare le stesse operazioni usando l'interfaccia grafica di GNOME.
Come partecipare
Cosa fare prima del party
- Generare una chiave crittografica (se ancora non si usa OpenPGP); si veda la documentazione ufficiale. Ogni chiave ha un ID che viene scritto a schermo al momento della creazione.
- Salvare la versione ascii-armored della propria chiave pubblica. In particolare l'output del comando:
gpg --armor --export id_chiave > nome_file.asc
- Inserire la propria chiave nel keyring di Biglumber relativo all'evento, inviando il file appena creato.
- In effetti questo passaggio non è strettamente necessario: si può partecipare al party anche senza che la propria chiave sia sul keyring, a patto di portare comunque un foglio con scritto il fingerprint, in modo che gli altri partecipanti lo possano verificare. Meglio ancora è portarsi tanti fogli, da lasciare agli altri partecipanti in modo che questi non se lo debbano copiare a mano.
Cosa portare al party
- IMPORTANTE! (senza questo passaggio si vanifica l'utilità del Key Signing Party) Qualche giorno prima del party il keyring su Biglumber viene reso definitivo; tutti i partecipanti devono stamparne una copia da portare al Key Signing Party e controllare che il fingerprint (imponta digitale della chiave) sia riportato correttamente, utilizzando il comando:
gpg --fingerprint id_chiave
Cosa fare durante il party
- Ogni partecipante incontra gli altri e verifica la fingerprint stampata sulla sua lista sia corrette e che i dati personali (nomi e indirizzi e-mail) siano giusti.
- Poi segna sul proprio foglio le informazioni verificate
Cosa fare dopo il party
Ogni partecipante verifica le chiavi delle persone incontrare e, se è soddisfatto, le firma ed invia le firme al proprietario.
Durante il seminario che precede il Key Signing Party sarà presentato il programma caff, che permette di eseguire queste operazioni in maniera comoda e sicura.
Usare un'interfaccia grafica
Se si preferisce utilizzare un'interfaccia grafica, l'ambiente GNOME mette a disposizione un programma tramite il quale si possono eseguire le operazioni riportate sopra. Tenete conto che la traduzione dei programmi e la posizione esatta delle varie opzioni all'interno dell'interfaccia grafica potrebbe cambiare tra versioni diverse del sistema operativo.
Esportare la chiave
- Avviare Sistema -> Preferenze -> Password e chiavi di cifratura.
- Andare sulla tab Dati personali.
- Cliccare con il tasto destro sulla chiave che si intende utilizzare per il Key Signing Party e selezionare Esporta.
- Selezionare il file dove salvare la chiave, che poi può essere mandata sul keyring di Biglumber.
Verificare il fingerprint (impronta digitale)
- Aprire Password e chiavi di cifratura come indicato sopra e raggiungere il tab Chiavi personali.
- Fare doppio clic sulla chiave scelta.
- Nel tab Dettagli della finestra che si apre è presente il fingerprint della chiave. Controllare che coincida con quello presente sulla lista scaricata da Biglumber.
Informazioni in rete
- Manuale GNU sulla privacy
- GnuPG Keysigning Party HOWTO (l'articolo descrive vari modi diversi per condurre Key Signing Party; noi useremo quello descritto qui sopra)
- Perché hai bisogno di PGP?
- GnuPG FAQ
Se avete dubbi o richieste...
Potete contattare il coordinatore del Key Signing Party, Giovanni Mascellani.
Con il patrocinio di:
Provincia di Pisa |
Comune di Pisa |
Comune di Vecchiano |
Facoltà di Scienze Matematiche, Fisiche e Naturali |
Dipartimento di Informatica |
Dipartimento di Fisica |
ODCEC Pisa |
La Limonaia Scienza Viva | |