KeySignParty 201701
Da MontelLUG WIKI.
GnuPG Keysigning Party @ Linux Day 2017
♥NEWS♥: Attenzione, se hai già letto; oltre alla modalità classica descritta sotto, si potranno anche effettuare le verifiche tramite APP di Android.
- installa l'APP OpenKeychain (App sponsorizzata da EFF.org) tramite il repository F-Droid (clicca) o Google Play (clicca)
- importa la tua chiave privata nell'applicazione: leggi qui come.
- oppure crea la tua nuova chiave tramite l'APP e caricala sempre tramita APP su un key server;
- porta un documento d'identità per effettuare le verifiche; vi spiegheremo come verificare le altre chiavi tramite verifica tradizionale o SafeSlinger
Dove
Presso il LINUXDAY 2017
Quando
Sabato 28 ottobre 2017 alle ore 18.30
Cos'è e a cosa serve GnuGP
GnuGP aiuta a preservare la nostra privacy: in particolare permette di cifrare e firmare dati e informazioni.
Cos'è e a cosa serve un Key Signing Party
La sicurezza di GnuGP è rappresentata da una rete di fiducia: l'identità di una persona presente in una chiave è tanto più sicura e vera, quante più persone l'hanno verificata.
Un keysigning party è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GPG) durante il quale ognuno ha la possibilità verificare le identità e le chiavi degli altri partecipanti allo scopo di firmarne le chiavi crittografiche e di farsi firmare la propria.
Ciò consente di espandere il "web of trust" (rete della fiducia: vedi qui cos'è). E più questa diventa profonda e interconnessa, più risulta difficile comprometterla.
Questo è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per proteggere crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.
Come partecipare
Prima del key-signing party
- Avere o creare una propria chiave: vedi qui la GUIDA (consiglio spassionato: create e stampate sempre anche un certificato di revoca)
- Rendere disponibile la propria chiave pubblica: inviandola ad un keyserver (scelta consigliata: vedi qui la GUIDA su come pubblicare e/o scaricare una chiave da un keyserver) o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla
- Stampare 10/20 foglietti (o di più si spera), da consegnare agli altri al keysigning party, con riportati questi dati:
- nome e-mail,
- key ID della chiave (esempio: 0xF17110BE),
- dimensione e tipo della chiave (esempio: 1024 DSA),
- fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171 10BE),
- dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
- se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver (scelta consigliata) o ve la mandi ad una determinata e-mail.
Come stampare i biglietti:
- LibreOffice Write con il copia e incolla dei dati
- da shell con questi comandi, previa installazione del pacchetto signing-party
- tramite questo sito on-line http://openpgp.quelltextlich.at/slip.html si può generare un PDF (meglio la versione "sparse slips" che lascia spazio per degli appunti) a condizione che abbiate già caricato la chiave su un keyserver
Ci sarebbe anche questo sito https://keysheet.net/ che genera anche il qr-code, ma per uniformità usiamo tutti lo stesso formato
Il giorno del key-signing party
E' necessario:
- essere fisicamente presenti;
- portare un documento d'identità valido
- portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave
- portare una penna
Non è necessario aver con se un computer, nè serve lo smartphone.
Come si svolge
Durante il party
A due a due ci si scambia foglietto e carta d'identità per verificare:
- nome e cognome riportati nel foglietto, con i dati del documento d'identità
- dati della sua chiave (key ID, dimensione, tipo e fingerprint)
Segnarsi sul foglietto:
- dove è reperibile la chiave (keyserver o URL)
- se la chiave da voi firmata va inviata ad un keyserver od al proprietario
Dopo il party
- I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare;
- controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto;
- firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate): vedi qui la GUIDA su come importare, firmare, esportare una chiave;
- invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario.
Ulteriori informazioni
Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare tranquillamente con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Seahorse, ecc...
Molta altra documentazione in italiano ed in inglese è disponibile sul sito di GnuPG http://www.gnupg.org . È consigliatissima la lettura del Manuale GNU sulla privacy (GnuPG Handbook).
Slide introduttive a GnuGP e alla crittografia
Altra lettura consigliata: il GnuPG Keysigning Party HOWTO
Key Servers: