Differences between revisions 14 and 15
Revision 14 as of 2022-01-14 09:59:54
Size: 6514
Comment: sync with English master v.63
Revision 15 as of 2023-09-18 10:51:35
Size: 6799
Comment: sync with English master v.69
Deletions are marked like this. Additions are marked like this.
Line 33: Line 33:
Il resto della pagina presume che la propria fingerprint sia impostata nella variabile ${miaFingerPrint}
Line 34: Line 36:
gpg --gen-revoke [ID_CHIAVE] > ~/.gnupg/revocation-[ID_CHIAVE].crt gpg --gen-revoke ${miaFingerPrint} > ~/.gnupg/revocation-${miaFingerPrint}.crt
Line 40: Line 42:
gpg --send-key 1A2B3C4D5E6F7G8H gpg --send-key ${miaFingerPrint}
Line 44: Line 46:
 * http://keyring.debian.org (solo gli sviluppatori Debian possono caricare o inviare aggiornamenti di chiavi su questo server)
 * https://keys.openpgp.org/
 * http
://pgp.surfnet.nl
 * http://pgp.mit.edu
 * https://keyring.debian.org (solo gli sviluppatori Debian possono caricare o inviare aggiornamenti di chiavi su questo server)
 * https://keyserver.ubuntu.com (raccomandato)
 * https://keys.openpgp.org/ (usato da Thunderbird)
 * https
://pgp.surf.nl/
 * https://pgp.mit.edu
Line 59: Line 62:
gpg -v --fingerprint 1A2B3C4D5E6F7G8H gpg -v --fingerprint ${miaFingerPrint}
Line 65: Line 68:
gpg-key2ps -p a4 1A2B3C4D5E6F7G8H > out.ps gpg-key2ps -p a4 ${miaFingerPrint} > out.ps
Line 70: Line 73:
gpg-key2ps -1 -p a4 1A2B3C4D5E6F7G8H > out.ps gpg-key2ps -1 -p a4 ${miaFingerPrint} > out.ps
Line 81: Line 84:
gpg-key2ps -p a4 1A2B3C4D5E6F7G8H | gs -sDEVICE=pdfwrite -sOutputFile=out.pdf gpg-key2ps -p a4 ${miaFingerPrint} | gs -sDEVICE=pdfwrite -sOutputFile=out.pdf
Line 86: Line 89:
LANG=C gpg --list-secret-keys --fingerprint --keyid-format long | grep -Po 'fingerprint = \K.*' | sed 's/$/\n/; s/ /\n/' | sm -i - LANG=C gpg --list-secret-keys --fingerprint --keyid-format long | grep -Po 'fingerprint = \K.*' | sed 's/$/\n/; s/ /\n/' | /usr/games/sm -i -
Line 101: Line 104:
Il [[DebianDeveloper|Debian Developer]] Il [[DebianDeveloper|Debian Developer]] con questa ${ddSignersFingerprint} fa quanto segue:
Line 104: Line 108:
gpg --recv-keys 00AA11BB22CC33DD gpg --recv-keys ${miaFingerPrint}
Line 108: Line 112:
gpg --fingerprint 00AA11BB22CC33DD gpg --fingerprint ${miaFingerPrint}
Line 112: Line 116:
gpg --sign-key 00AA11BB22CC33DD gpg --sign-key ${miaFingerPrint}
Line 116: Line 120:
gpg --armor --export 00AA11BB22CC33DD | gpg --encrypt -r 00AA11BB22CC33DD --armor --output 00AA11BB22CC33DD-signedBy-1A2B3C4D5E6F7G8H.asc gpg --armor --export ${miaFingerPrint} | gpg --encrypt -r ${miaFingerPrint} --armor --output ${miaFingerPrint}-signedBy-${miaFingerPrint}.asc
Line 119: Line 123:
In alternativa lo strumento {{{caff}}} dal pacchetto DebPkg:signing-party automatizza tutto questo processo: In alternativa lo strumento {{{caff}}} dal pacchetto DebianPackage:signing-party automatizza tutto questo processo:
Line 122: Line 126:
caff 00AA11BB22CC33DD caff ${miaFingerPrint}
Line 128: Line 132:
gpg -d 1A2B3C4D5E6F7G8H-signedBy-00AA11BB22CC33DD.asc | gpg --import gpg -d ${miaFingerPrint}-signedBy-${ddSignersFingerprint}.asc | gpg --import
Line 134: Line 138:
gpg --send-key 1A2B3C4D5E6F7G8H gpg --send-key ${miaFingerPrint}


Introduzione

Lo scopo di questa pagina è di spiegare come creare e firmare una chiave OpenPGP .

Poi, per collegarsi alla rete della fiducia, andare alla pagina di coordinamento per la firma delle chiavi.

Come

Tutorial che spiegano come usare GnuPG:

Se si desidera che la propria chiave OpenPGP sia firmata da almeno un (ma l'ideale sarebbe più di uno) Debian Developer, si devono seguire i seguenti passi.

Passo 1: Creare una coppia di chiavi RSA

gpg --full-gen-key

Vedere anche creare una coppia di chiavi.

/!\ Notare che a causa di vulnerabilità scoperte nell'algoritmo di hash SHA1 Debian vuole chiavi RSA più robuste che siano almeno a 4096 bit e preferibilmente SHA2 sebbene Ed25519 sia ancora meglio.

Inoltre vedere le Buone prassi OpenPGP, la documentazione sulle sottochiavi e migrazione da una chiave SHA-1.

Passo 2: generare un certificato di revoca

Generare un certificato di revoca anche se si ha già una chiave!

Il resto della pagina presume che la propria fingerprint sia impostata nella variabile ${miaFingerPrint}

gpg --gen-revoke ${miaFingerPrint} > ~/.gnupg/revocation-${miaFingerPrint}.crt

Passo 3: Rendere pubblica la propria chiave pubblica

gpg --send-key ${miaFingerPrint}

Alcuni server di chiavi pubblici:

Passo 4: Stampare la propria chiave

Lo stampato della propria impronta digitale deve contenere le seguenti informazioni:

  • Nome
  • Cognome
  • Indirizzi di posta elettronica (quelli usati con la chiave)
  • Metodo di cifratura e ID della chiave (es. 4096R/1A2B3C4D5E6F7G8H)
  • L'impronta digitale stessa

Si può usare questa funzione:

gpg -v --fingerprint ${miaFingerPrint}

Normalmente si fanno diverse stampe su un unico foglio di carta. Possono per esempio essere delle dimensioni di un biglietto da visita. Si può anche usare gpg-key2ps che è contenuto nel pacchetto signing-party per creare queste stampe con:

gpg-key2ps -p a4 ${miaFingerPrint} > out.ps

In alternativa si può stampare in un'unica colonna per evitare problemi di stampa (per chiavi estremamente lunghe):

gpg-key2ps -1 -p a4 ${miaFingerPrint} > out.ps

Se si va ad un "key signing party", si deve inviare questa informazione in anticipo, e verrà creata una stampa con un elenco per ciascun partecipante.

SUGGERIMENTO: per leggere il file out.ps si può usare evince, okular, ghostscript o un altro visualizzatore di ?PostScript.

SUGGERIMENTO 2: si possono usare anche alcuni siti web per generare il PDF della impronta digitale OpenPGP, ad esempio: http://openpgp.quelltextlich.at/slip.html o http://keysheet.net

SUGGERIMENTO 3: se si desidera un pdf invece di un file postscript si può inviare con pipe l'output di gpg2ps a ghostscript, es:

gpg-key2ps -p a4 ${miaFingerPrint} | gs -sDEVICE=pdfwrite -sOutputFile=out.pdf

In alternativa si possono visualizzare le proprie impronte digitali sullo schermo del portatile in questo modo:

LANG=C gpg --list-secret-keys --fingerprint --keyid-format long | grep -Po 'fingerprint = \K.*' | sed 's/$/\n/; s/  /\n/' | /usr/games/sm -i -

Passo 5: Dare agli altri l'impronta digitale della propria chiave

Le persone che firmeranno la chiave vorranno vedere un qualche tipo di documento di identità ufficiale prodotto da un'autorità governativa (passaporto o documento simile).

È necessario dare lo stampato ad almeno un Debian Developer.

Leggere la pagina ufficiale Debian sulla firma delle chiavi.

Un membro CAcert vorrà vedere due documenti di identità.

Passo 6: Fare firmare la propria chiave digitale

Il Debian Developer con questa ${ddSignersFingerprint} fa quanto segue:

  • recupera la chiave dal server

gpg --recv-keys ${miaFingerPrint}

  • verifica che le informazioni siano corrette (l'impronta digitale)

gpg --fingerprint ${miaFingerPrint}

  • la firma.

gpg --sign-key ${miaFingerPrint}

  • la reinvia indietro al proprietario come messaggio email cifrato (Non reinviarla direttamente ad un server). L'invio cifrato è preferito dato che si può verificare che il ricevente possa decifrare il messaggio che riceve.

gpg --armor --export ${miaFingerPrint} | gpg --encrypt -r ${miaFingerPrint} --armor --output ${miaFingerPrint}-signedBy-${miaFingerPrint}.asc

In alternativa lo strumento caff dal pacchetto signing-party automatizza tutto questo processo:

caff ${miaFingerPrint}

Passo 7: Inviare la propria chiave firmata ad un server

Passato un certo periodo di tempo dalla partecipazione ad un evento di firma di chiavi, si potrebbe ricevere come allegato via posta elettronica la propria chiave firmata. Importare le firme:

gpg -d ${miaFingerPrint}-signedBy-${ddSignersFingerprint}.asc | gpg --import

Successivamente si dovrà inviare la propria chiave aggiornata al server:

gpg --send-key ${miaFingerPrint}

Oltre Debian

Coloro che sono interessati ad espandere la rete di fiducia al di fuori di Debian dovrebbero visitare:

Vedere anche


CategoryCommunity CategoryDeveloper