1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
|
#use wml::debian::template title="Keysigning"
#use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71" maintainer="Cristian Rigamonti"
# $Id$
<p>Visto che è possibile incontrare molti sviluppatori, fiere e
conferenze rappresentano una buona occasione per farsi firmare la
propria chiave GnuPG e migliorare la rete della fiducia. Specialmente
per chi è nuovo nel progetto, firmare le chiavi e conoscere altri
sviluppatori è molto interessante.</p>
<p>Questo documento vuole aiutarvi a organizzare una sessione di firma
delle chiavi. Si noti che tutti gli esempi usano
<code>keyring.debian.org</code> come keyserver: se la chiave in
questione non è nel portachiavi Debian, sostituite
<code>keyring.debian.org</code> con un keyserver pubblico come
<code>wwwkeys.pgp.net</code> (che, nonostante il nome, ospita anche
chiavi GnuPG).</p>
<p>Una chiave andrebbe firmata solo se sussistono almeno due condizioni:</p>
<ol>
<li>Il proprietario della chiave convince il firmatario che quella
indicata nell'UID della chiave è davvero la propria identità, usando
qualunque mezzo di prova che il firmatario accetti come convincente.
Di solito questo significa che il proprietario della chiave deve
mostrare un documento di identità rilasciato da un autorità statale, che
contenga una fotografia e informazioni che identifichino il proprietario
della chiave. Alcune persone sanno che i documenti d'identità prodotti
dagli stati sono facilmente falsificabili e che il grado di fiducia
delle autorità che li emettono è spesso sospetto, quindi potrebbero
richiedere documenti di identità aggiuntivi e/o alternativi.
</li>
<li>Il proprietario della chiave verifica che l'impronta digitale e la
lunghezza della chiave che sta per essere firmata è davvero la sua.
</li>
</ol>
<p>
La cosa più importante è che se il proprietario della chiave non
partecipa attivamente allo scambio, non è possibile soddisfare nessuno
dei due requisiti visti sopra. Per quanto riguarda il primo requisito,
nessuno può completare la parte spettante al proprietario della chiave
al suo posto, altrimenti chiunque rubi un documento di identità potrebbe
facilmente farsi firmare una chiave PGP facendosi passare per un
delegato del proprietario. Per quanto riguarda il secondo requisito,
nessuno può completare la parte spettante al proprietario della chiave,
altrimenti il delegato potrebbe sostituire l'impronta digitale con
quella di una nuova chiave PGP che riporta il nome del proprietario,
inducendo così a firmare una chiave sbagliata.
</p>
<ul>
<li> Occorrente: copie stampate dell'impronta digitale e della lunghezza
della chiave GnuPG e un documento per provare la vostra identità
(passaporto, patente, o simili).
</li>
<li> Le impronte digitali e le indicazioni sulla lunghezza della chiave
vanno distribuite alle altre persone, che firmeranno la vostra chiave
dopo l'incontro.
</li>
<li> Se non avete ancora una chiave GnuPG, createla con <code>gpg --gen-key</code>.
</li>
<li> Firmate una chiave solo dopo aver verificato l'identità del
proprietario.
</li>
<li> Dopo l'incontro, dovrete scaricare la chiave GnuPG per firmarla.
Potete usare questo comando:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Nota: per specificare una chiave è anche possibile usare le ultime otto
cifre esadecimali della sua impronta digitale. Inoltre lo <tt>0x</tt>
all'inizio è facoltativo.</p>
</li>
<li> Per firmare la chiave, entrate nel menu edit con
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
</li>
<li> In GnuPG selezionate tutti gli UID da firmare con <code>uid n</code>,
dove <code>n</code> è il numero dell'UID mostrato nel menu. Potete anche
premere invio per firmare tutti gli UID.</li>
<li> Per firmare una chiave, scrivete <code>sign</code>. Vi verrà
mostrata l'impronta digitale e la lunghezza della chiave, da confrontare
con quella che vi ha consegnato il proprietario della chiave.
</li>
<li> Alla richiesta del livello di attenzione con cui avete controllato
l'autenticità della chiave, scegliete "(2) L'ho controllata superficialmente".
</li>
<li> Uscite da GnuPG con <code>quit</code>
</li>
<li> Per verificare di aver firmato correttamente la chiave, potete usare:
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>Dovreste vedere il vostro nome e la vostra impronta digitale (in
forma breve) nella lista.</p>
</li>
<li> Se tutto è a posto, potete spedire la chiave firmata al
proprietario, con il comando:
<pre>
gpg --export -a 0xDEADBEEF > chiave_di_tizio.key
</pre>
<p>L'opzione <code>-a</code> esporta la chiave in formato ASCII, in
modo che possa essere spedita per e-mail senza rischi di
danneggiamento.</p>
</li>
<li> Se qualcuno firma la vostra chiave, potete aggiungerla al
portachiavi Debian con:
<pre>
gpg --import --import-options merge-only mia_chiave_firmata.key
gpg --keyserver keyring.debian.org --send-keys <var><il vostro key-id></var>
</pre>
<p>I curatori del portachiavi potrebbero impiegare un po' di tempo
ad aggiornare la vostra chiave, quindi siate pazienti. Dovreste
anche caricare la vostra chiave aggiornata sui keyserver pubblici.</p>
</li>
</ul>
<p>Il pacchetto Debian <a href="https://packages.debian.org/signing-party">signing-party</a>
fornisce alcuni strumenti utili per questa procedura. <tt>gpg-key2ps</tt>
trasforma una chiave GnuPG in un file PostScript, in modo da poter
stampare delle strisce di carta con la propria impronta digitale, mentre
<tt>gpg-mailkeys</tt> spedisce una chiave firmata al suo proprietario.
Il pacchetto contiene anche <tt>caff</tt>, uno strumento più avanzato.
Si veda la documentazione del pacchetto per maggiori informazioni.</p>
<h3>Cosa non dovreste fare</h3>
<p>Non dovreste mai firmare la chiave di qualcuno che non avete
incontrato di persona. Firmare una chiave basandosi su qualsiasi cosa
all'infuori della conoscenza diretta distrugge l'utilità della rete
della fiducia. Se un amico si presenta ad altri sviluppatori portando
la vostra carta d'identità e la vostra impronta digitale, ma voi non
siete lì a verificare che l'impronta digitale appartenga proprio a voi,
come possono gli altri sviluppatori collegare l'impronta digitale con
l'identità? Hanno solo la parola dell'amico e le altre firme presenti
sulla vostra chiave: sarebbe come voler firmare la vostra chiave solo
perché altre persone l'hanno già firmata!
</p>
<p>È bello avere molte firme sulla propria chiave e potreste essere
tentati di sveltire un po' le procedure. Ma avere firme di cui ci si può
fidare è più importante che avere molte firme, per questo è molto
importante che il processo di firma delle chiavi sia il più rigoroso
possibile. Firmando la chiave di qualcuno dichiarate formalmente che
avete prove di prima mano sulla sua identità: se lo fate quando non ne
siete sicuri, la rete della fiducia non è più degna di fiducia.
</p>
|
