Buongiorno a tutti. Dopo aver introdotto in questo articolo il software open-source GPG, parliamo oggi delle applicazioni pratiche di questo programma.

Come credo avrete avuto già modo di notare, ogni coppia di chiavi GPG è univocamente associata ad un solo utente ed ai suoi indirizzi e-mail. Questo permette, come è già stato detto, di firmare i messaggi inviati per garantire l’identità del mittente. Ma anche così non c’è una garanzia completa. Perché un malintenzionato potrebbe benissimo creare una coppia di chiavi spacciandosi per un altro, inserendo dati fittizi nella procedura di creazione, e riuscendo comunque a convincere i suoi interlocutori di essere ciò che in realtà non è. Allora, per scongiurare questo tipo di rischio, bisogna creare una rete di fiducia, in cui gli utenti possono interagire con un livello completo di fiducia. Eh certo, perché tramite GPG si può anche impostare il livello di fiducia di una determinata persona.

Per creare una rete di fiducia bisogna firmare le chiavi degli altri. Dalla wiki di ubuntu-it.org:

Firmare la chiave di una persona significa aver controllato l’identità di quest’ultima e essersi assicurati che essa sia in pieno controllo della propria chiave privata. In questo modo si può creare una rete di individui che si fidano l’uno degli altri. Questa rete è definita come un insieme fortemente connesso, ulteriori informazioni a riguardo si possono trovare a questo indirizzo.

Firmare una coppia di chiavi significa aver verificato che quelle chiavi appartengono realmente alla persona in questione. Questa procedura va svolta sempre e solo dopo aver incontrato la persona in questione. Sempre dalla wiki di ubuntu-it.org:

Dato che firmare una chiave significa aver controllato e verificato che una certa chiave pubblica appartenga a una tale persona che possiede la relativa chiave privata, è necessario seguire questi semplici accorgimenti quando si firma una chiave:

  1. Il procedimento di firma di una chiave è sempre svolto dopo aver incontrato tale persona.
  2. Durante l’incontro è necessario scambiarsi i fingerprint delle rispettive chiavi e almeno un documento identificativo (con una fotografia all’interno). Tali fingerprint vengono solitamente distribuiti su dei foglietti, creati da degli script come gpg-key2ps (pacchetto signing-party).
  3. Controllare che il nome nella chiave corrisponda con quello del documento identificativo.
  4. Dopo questi controlli accertarsi che la persona sia veramente in possesso della chiave privata. Per fare ciò basta rispedire a lei/lui la sua chiave pubblica firmata e criptata con la rispettiva chiave pubblica. Il programma caff facilita tale procedimento. È necessario creare un file .caffrc nella propria cartella Home con i seguenti valori all’interno:
    $CONFIG{owner} = q{Nome e cognome}; $CONFIG{email} = q{L'indirizzo email della chiave}; $CONFIG{keyid} = [ qw{Gli ultimi 16 caratteri del fingerprint della chiave} ]; 

    Ora basta eseguire il seguente comando, sostituendo la dicitura «id_della_chiave» con l’ID della chiave che si vuole verificare e firmare:

    caff id_della_chiave
  5. Quando si ricevono chiavi firmate, si ricevono come allegati: salvarli e importarli con gpg. Ora è possibile inviare queste chiavi ad un server delle chiavi.

Così facendo si può allestire una rete fidata in cui gli utenti possono scambiarsi messaggi e-mail attraverso un canale crittografico sicuro. Esistono vari modi per integrare GPG ai vostri software di gestione e-mail. Su Evolution, ad esempio, basta settare le giuste impostazioni; su Thunderbird bisogna installare Enigmail; mentre se usate una webmail potete benissimo installare il plug-in FireGPG su Mozilla Firefox.

Rimango a vostra disposizione in caso di dubbi, perplessità, curiosità o altro!

Annunci