GnuPG Keysigning Party @ Linux Day 2017

♥NEWS♥: Attenzione, se hai già letto; oltre alla modalità classica descritta sotto, si potranno anche effettuare le verifiche tramite APP di Android.

1. installa l'APP OpenKeychain (App sponsorizzata da EFF.org) tramite il repository F-Droid (clicca) o Google Play (clicca)
2. importa la tua chiave privata nell'applicazione: leggi qui come.
3. oppure crea la tua nuova chiave tramite l'APP e caricala sempre tramita APP su un key server;
4. porta un documento d'identità per effettuare le verifiche; vi spiegheremo come verificare le altre chiavi tramite verifica tradizionale o SafeSlinger

Dove

Presso il LINUXDAY 2017

Quando

Sabato 28 ottobre 2017 alle ore 18.30

Cos'è e a cosa serve GnuGP

GnuGP aiuta a preservare la nostra privacy: in particolare permette di cifrare e firmare dati e informazioni.

Cos'è e a cosa serve un Key Signing Party

La sicurezza di GnuGP è rappresentata da una rete di fiducia: l'identità di una persona presente in una chiave è tanto più sicura e vera, quante più persone l'hanno verificata.

Un keysigning party è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GPG) durante il quale ognuno ha la possibilità verificare le identità e le chiavi degli altri partecipanti allo scopo di firmarne le chiavi crittografiche e di farsi firmare la propria.

Ciò consente di espandere il "web of trust" (rete della fiducia: vedi qui cos'è). E più questa diventa profonda e interconnessa, più risulta difficile comprometterla.

Questo è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per proteggere crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.

Come partecipare

Prima del key-signing party

1. Avere o creare una propria chiave: vedi qui la GUIDA (consiglio spassionato: create e stampate sempre anche un certificato di revoca)
2. Rendere disponibile la propria chiave pubblica: inviandola ad un keyserver (scelta consigliata: vedi qui la GUIDA su come pubblicare e/o scaricare una chiave da un keyserver) o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla
3. Stampare 10/20 foglietti (o di più si spera), da consegnare agli altri al keysigning party, con riportati questi dati:
   • nome e-mail,
   • key ID della chiave (esempio: 0xF17110BE),
   • dimensione e tipo della chiave (esempio: 1024 DSA),
   • fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171 10BE),
   • dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
   • se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver (scelta consigliata) o ve la mandi ad una determinata e-mail.

Come stampare i biglietti:

• LibreOffice Write con il copia e incolla dei dati
• da shell con questi comandi, previa installazione del pacchetto signing-party
• tramite questo sito on-line http://openpgp.quelltextlich.at/slip.html si può generare un PDF (meglio la versione "sparse slips" che lascia spazio per degli appunti) a condizione che abbiate già caricato la chiave su un keyserver

Ci sarebbe anche questo sito https://keysheet.net/ che genera anche il qr-code, ma per uniformità usiamo tutti lo stesso formato

Il giorno del key-signing party

E' necessario:

• essere fisicamente presenti;
• portare un documento d'identità valido
• portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave
• portare una penna

Non è necessario aver con se un computer, nè serve lo smartphone.

Come si svolge

Durante il party

A due a due ci si scambia foglietto e carta d'identità per verificare:

1. nome e cognome riportati nel foglietto, con i dati del documento d'identità
2. dati della sua chiave (key ID, dimensione, tipo e fingerprint)

Segnarsi sul foglietto:

1. dove è reperibile la chiave (keyserver o URL)
2. se la chiave da voi firmata va inviata ad un keyserver od al proprietario

Dopo il party

1. I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare;
2. controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto;
3. firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate): vedi qui la GUIDA su come importare, firmare, esportare una chiave;
4. invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario.

Ulteriori informazioni

Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare tranquillamente con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Seahorse, ecc...

Molta altra documentazione in italiano ed in inglese è disponibile sul sito di GnuPG http://www.gnupg.org . È consigliatissima la lettura del Manuale GNU sulla privacy (GnuPG Handbook).

Slide introduttive a GnuGP e alla crittografia

Altra lettura consigliata: il GnuPG Keysigning Party HOWTO

Key Servers:

• https://pgp.key-server.io/
• http://keys.gnupg.net/
• http://pool.sks-keyservers.net/
• http://pgp.mit.edu/