Odeeno: /* GnuPG Keysigning Party @ Linux Day 2017 */ Indicazioni per l'APP OpenKeychain

2017-10-23T13:13:23Z

GnuPG Keysigning Party @ Linux Day 2017: Indicazioni per l'APP OpenKeychain

Odeeno: Keysigning Party al LINUXDAY 2017

2017-10-21T11:16:18Z

Keysigning Party al LINUXDAY 2017

Nuova pagina

=GnuPG Keysigning Party @ Linux Day 2017=

=Dove=
Presso il [[LinuxDay_2017|LINUXDAY 2017]]

=Quando=
Sabato 28 ottobre 2017 alle ore 18.30

=Cos'è e a cosa serve GnuGP=
GnuGP aiuta a preservare la nostra privacy: in particolare permette di cifrare e firmare dati e informazioni.

=Cos'è e a cosa serve un Key Signing Party=
La sicurezza di GnuGP è rappresentata da una rete di fiducia: l'identità di una persona presente in una chiave è tanto più sicura e vera, quante più persone l'hanno verificata.

Un [https://en.wikipedia.org/wiki/Key_signing_party '''keysigning party'''] è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GPG) durante il quale ognuno ha la possibilità verificare le identità e le chiavi degli altri partecipanti allo scopo di firmarne le chiavi crittografiche e di farsi firmare la propria.

Ciò consente di espandere il "web of trust" (rete della fiducia: [http://www.gnupg.org/gph/it/convalidare-chiavi.html#AEN420 '''vedi qui cos'è''']). E più questa diventa profonda e interconnessa, più risulta difficile comprometterla.

Questo è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per proteggere crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.

=Come partecipare=
==Prima del key-signing party==
#Avere o creare una propria chiave: vedi qui la [http://www.gnupg.org/gph/it/introduzione.html#GENERARE-NUOVE-CHIAVI '''GUIDA'''] ''(consiglio spassionato: create e stampate sempre anche un certificato di revoca)''
#Rendere disponibile la propria chiave pubblica: inviandola ad un keyserver (scelta consigliata: vedi qui la [http://www.gnupg.org/gph/it/distribuire-chiavi.html '''GUIDA''' su come pubblicare e/o scaricare una chiave da un keyserver]) o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla
#Stampare 10/20 foglietti (o di più si spera), da consegnare agli altri al keysigning party, con riportati questi dati:
#* nome e-mail,
#* key ID della chiave (esempio: 0xF17110BE),
#* dimensione e tipo della chiave (esempio: 1024 DSA),
#* fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171 10BE),
#* dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
#* se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver (scelta consigliata) o ve la mandi ad una determinata e-mail.

''Come stampare i biglietti'':
*LibreOffice Write con il copia e incolla dei dati
*da shell con [https://wiki.debian.org/Keysigning#Step_4:_Print_your_key questi comandi, previa installazione del pacchetto signing-party]
*tramite questo sito on-line http://openpgp.quelltextlich.at/slip.html si può generare un PDF (meglio la versione "sparse slips" che lascia spazio per degli appunti) a condizione che abbiate già caricato la chiave su un keyserver

Ci sarebbe anche questo sito https://keysheet.net/ che genera anche il qr-code, ma per uniformità usiamo tutti lo stesso formato

==Il giorno del key-signing party==
E' necessario:
*essere fisicamente presenti;
*portare un documento d'identità valido
*portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave
*portare una penna
Non è necessario aver con se un computer, nè serve lo smartphone.

=Come si svolge=
==Durante il party==
A due a due ci si scambia foglietto e carta d'identità per verificare:
# nome e cognome riportati nel foglietto, con i dati del documento d'identità
# dati della sua chiave (key ID, dimensione, tipo e fingerprint)
Segnarsi sul foglietto:
# dove è reperibile la chiave (keyserver o URL)
# se la chiave da voi firmata va inviata ad un keyserver od al proprietario

==Dopo il party==
#I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare;
#controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto;
#firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate): vedi qui la [http://www.gnupg.org/gph/it/scambiarsi-chiavi.html '''GUIDA''' su come importare, firmare, esportare una chiave];
#invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario.

=Ulteriori informazioni=
Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare tranquillamente con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Seahorse, ecc...

Molta altra documentazione in italiano ed in inglese è disponibile sul sito di '''GnuPG''' http://www.gnupg.org . È consigliatissima la lettura del Manuale GNU sulla privacy (GnuPG Handbook).

Slide introduttive a [https://golem.linux.it/files/presentazioni/giomba/gpg-beamer.pdf GnuGP e alla crittografia]

Altra lettura consigliata: [http://www.gnupg.org/howtos/it/gpg-party.html il GnuPG Keysigning Party HOWTO]

Key Servers:
*https://pgp.key-server.io/
*http://keys.gnupg.net/
*http://pool.sks-keyservers.net/
*http://pgp.mit.edu/

← Versione meno recente		Versione delle 13:13, 23 ott 2017
Riga 1:		Riga 1:
	=GnuPG Keysigning Party @ Linux Day 2017=		=GnuPG Keysigning Party @ Linux Day 2017=
		+
		+	'''♥NEWS♥: Attenzione, se hai già letto'''; oltre alla modalità classica descritta sotto, si potranno anche effettuare le verifiche '''tramite APP di Android'''.
		+	# installa l'APP [https://www.openkeychain.org/ '''OpenKeychain'''] (''App sponsorizzata da'' [https://www.eff.org/ ''EFF.org'']) tramite il repository [https://f-droid.org/app/org.sufficientlysecure.keychain F-Droid (''clicca'')] o [https://www.openkeychain.org/public/images/google_play.png Google Play (''clicca'')]
		+	# '''importa la tua chiave privata''' nell'applicazione: [https://www.openkeychain.org/faq/#what-is-the-best-way-to-transfer-my-own-key-to-openkeychain leggi qui come].
		+	# '''oppure crea la tua nuova chiave''' tramite l'APP e caricala sempre tramita APP su un key server;
		+	# porta un documento d'identità per effettuare le verifiche; vi spiegheremo come verificare le altre chiavi tramite verifica tradizionale o SafeSlinger

	=Dove=		=Dove=

KeySignParty 201701 - Cronologia

Odeeno: /* GnuPG Keysigning Party @ Linux Day 2017 */ Indicazioni per l'APP OpenKeychain

Odeeno: Keysigning Party al LINUXDAY 2017