Differenze tra le versioni di "Cena LUG veneti novembre 2023"
Da MontelLUG WIKI.
Riga 13: | Riga 13: | ||
= Quando = | = Quando = | ||
− | '''venerdì 17 | + | '''venerdì 17 Novembre 2023 alle <big>ore 20.30</big>''' |
= Dove = | = Dove = | ||
− | + | Ristorante Birreria Spiller | |
+ | Via Fornace Morandi, 24/B | ||
+ | 35133 Padova PD | ||
+ | https://www.openstreetmap.org/node/7060180531 | ||
− | + | = Iscrizione = | |
+ | Per l'iscrizione alla cena volta utilizziamo [https://mobilizon.it/ Mobilizon Italia], un'istanza federata di Mobilizon | ||
− | + | '''Qui il link per l'iscrizione: https://mobilizon.it/events/1fca26cb-e004-4f05-812e-527e4305515e ''' | |
− | = | + | = GnuPG Keysigning Party @ Cena dei LUG di Novembre 2023 = |
− | + | Alla Cena dei LUG ci sarà la '''possibilità di partecipare ad un Keysigning Party'''. | |
− | + | Un '''keysigning party''' <ref>[https://en.wikipedia.org/wiki/Key_signing_party Definizione di Wikipedia di keysigning party] oppure [http://www.gnupg.org/howtos/it/gpg-party.html il GnuPG Keysigning Party HOWTO] </ref> è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GnuPG) durante il quale ognuno ha la possibilità di far verificare la propria identità e le proprie chiavi agli altri partecipanti e viceversa allo scopo di firmarne reciprocamente le chiavi crittografiche. | |
− | + | ||
− | + | La sicurezza di GnuGP è rappresentata dalla c.d. '''rete di fiducia'''<ref>[https://en.wikipedia.org/wiki/Key_server_(cryptographic)#Problems_with_keyservers Problems with keyservers] il trend è tuttavia quello di abbandonare il paradigma della web of trust, per motivi di privacy e usabilità </ref>: ovvero l'identità di una persona rappresentata da una chiave è tanto più sicura e vera, quante più persone l'hanno verificata. Il Keysigning Party consente di espandere il "web of trust" <ref>[http://www.gnupg.org/gph/it/convalidare-chiavi.html#AEN420 cos'è la rete della fiducia]</ref>, che più diventa profonda e interconnessa, più risulta difficile comprometterla. | |
− | + | ||
− | + | == Cos'è e a cosa serve GnuGP == | |
− | + | [https://gnupg.org/ GnuGP] aiuta a preservare la nostra privacy: serve a cifrare e firmare dati ed informazioni. | |
− | + | ||
− | + | [https://en.wikipedia.org/wiki/Pretty_Good_Privacy OpenPGP] è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per firmare crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia. | |
− | + | ||
− | + | == Come partecipare == | |
− | + | === Prima del key-signing party === | |
− | + | # Avere o creare una propria chiave <ref> [http://www.gnupg.org/gph/it/introduzione.html#GENERARE-NUOVE-CHIAVI Guida per generare le proprie chiavi] </ref> e ''(consiglio spassionato) create e stampare un certificato di revoca''. | |
+ | # Stampare 10/20 foglietti <ref>[https://github.com/ascherer/fingerprint https://github.com/ascherer/fingerprint applicativo per generare i foglietti per il party] e stampare [https://github.com/ascherer/fingerprint/blob/master/example.pdf fogli di questo tipo]. Sito https://keysheet.net/ che genera anche il qr-code </ref>, da consegnare agli altri al keysigning party, con riportati questi dati: | ||
+ | #* indirizzo e-mail, | ||
+ | #* key ID della chiave, | ||
+ | #* dimensione e tipo della chiave (esempio: RSA 4096), | ||
+ | #* il fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171), | ||
+ | #* dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito), | ||
+ | #* se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver o ve la mandi ad una determinata e-mail. | ||
+ | # Opzionale: rendere disponibile la propria chiave pubblica inviandola ad un keyserver <ref>[http://www.gnupg.org/gph/it/distribuire-chiavi.html guida su come pubblicare e/o scaricare una chiave da un keyserver]</ref> o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla | ||
+ | |||
+ | === Il giorno del key-signing party === | ||
+ | E' necessario: | ||
+ | * essere fisicamente presenti; | ||
+ | * portare un documento d'identità valido | ||
+ | * portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave | ||
+ | * portare una penna | ||
+ | Non è necessario aver con se un computer, nè serve lo smartphone. | ||
+ | |||
+ | === Come si svolge === | ||
+ | A due a due ci si scambia foglietto e carta d'identità per verificare: | ||
+ | # nome e cognome riportati nel foglietto, con i dati del documento d'identità | ||
+ | # dati della chiave (key ID, dimensione, tipo e fingerprint) | ||
+ | Segnarsi sul foglietto: | ||
+ | # dove è reperibile la chiave (keyserver o URL) | ||
+ | # se la chiave da voi firmata va inviata ad un keyserver od al proprietario | ||
+ | |||
+ | === Dopo il party === | ||
+ | # I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare; | ||
+ | # controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto; | ||
+ | # firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate) <ref>[http://www.gnupg.org/gph/it/scambiarsi-chiavi.html : vedi qui come importare, firmare, esportare una chiave]</ref>; | ||
+ | # invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario. | ||
+ | |||
+ | |||
+ | == Key servers == | ||
+ | Elenco di alcuni keyservers che è possibile usare: | ||
+ | * keys.openpgp.org | ||
+ | * keys.mailvelope.com/manage.html | ||
+ | * keyring.debian.org | ||
+ | * keyserver.ubuntu.com | ||
+ | * pgp.surf.nl | ||
+ | |||
+ | == Ulteriori informazioni == | ||
+ | Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Mailvelope, ecc... | ||
+ | |||
+ | Altra documentazione in italiano ed in inglese è disponibile sul sito di '''GnuPG''' https://www.gnupg.org . È consigliata la lettura del Manuale GNU sulla privacy (GnuPG Handbook) | ||
+ | |||
+ | APP per Android: | ||
+ | # [https://www.openkeychain.org/ '''OpenKeychain'''] (''App sponsorizzata da'' [https://www.eff.org/ ''EFF.org'']) tramite il repository [https://f-droid.org/app/org.sufficientlysecure.keychain F-Droid] o [https://www.openkeychain.org/public/images/google_play.png Google Play] | ||
+ | # '''importa la tua chiave privata''' nell'applicazione: [https://www.openkeychain.org/faq/#what-is-the-best-way-to-transfer-my-own-key-to-openkeychain leggi qui come]. | ||
+ | # '''oppure crea la tua nuova chiave''' tramite l'APP e caricala sempre tramita APP su un key server; | ||
+ | |||
+ | Per chi usa le webmail, esiste Mailvelope che implementa PGP come estensione del browser https://mailvelope.com/en/help | ||
+ | |||
+ | = Note = | ||
+ | <references /> | ||
[[Category:Cena dei LUG]] | [[Category:Cena dei LUG]] |
Versione attuale delle 18:05, 4 ott 2023
Introduzione (la solita): perché proprio il venerdì 17...
Ogni venerdì 17 che si rispetti ha la sua cena dei LUG veneti, oramai è una tradizione e ci teniamo a rispettarla. La data non viene scelta, come sostiene qualche voce di corridoio, perché gli informatici non siano superstiziosi, bensì per il motivo opposto: il vero nerd crede in una sola regola immutabile, la famigerata "legge di Murphy". Ciò comporta che:
- il server, che ha sempre funzionato perfettamente durante tutti i test, va sistematicamente a farsi benedire quando è ora di entrare in produzione;
- un programma pronto da dare al cliente presenterà immancabilmente un bug misterioso il giorno della presentazione al committente che farà fare (nel caso migliore) una pessima figura davanti a tutti. Tale bug inoltre non si ripresenterà più nei giorni seguenti quando si tenterà invano di stanarlo;
- gli esempi si possono facilmente estendere ad altri settori dell'informatica...
Per qualche strano motivo i venerdì 17 la legge di Murphy sospende il suo effetto e i nerd escono allo scoperto dalle loro sale CED per qualche ora d'aria senza doversi preoccupare di cosa succederà ai loro server o a tutte le calamità possibili che possono succedere al sistema di backup.
Almeno così narra la leggenda...
La cena
La cena è aperta a chiunque: soci, non soci, simpatizzanti. Lo scopo è far incontrare almeno ogni tanto le associazioni che si occupano di Linux e dintorni (software libero, privacy, ecc.) e scambiare qualche chiacchiera ed idea con chi parla la stessa lingua.
Quando
venerdì 17 Novembre 2023 alle ore 20.30
Dove
Ristorante Birreria Spiller Via Fornace Morandi, 24/B 35133 Padova PD https://www.openstreetmap.org/node/7060180531
Iscrizione
Per l'iscrizione alla cena volta utilizziamo Mobilizon Italia, un'istanza federata di Mobilizon
Qui il link per l'iscrizione: https://mobilizon.it/events/1fca26cb-e004-4f05-812e-527e4305515e
GnuPG Keysigning Party @ Cena dei LUG di Novembre 2023
Alla Cena dei LUG ci sarà la possibilità di partecipare ad un Keysigning Party.
Un keysigning party [1] è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GnuPG) durante il quale ognuno ha la possibilità di far verificare la propria identità e le proprie chiavi agli altri partecipanti e viceversa allo scopo di firmarne reciprocamente le chiavi crittografiche.
La sicurezza di GnuGP è rappresentata dalla c.d. rete di fiducia[2]: ovvero l'identità di una persona rappresentata da una chiave è tanto più sicura e vera, quante più persone l'hanno verificata. Il Keysigning Party consente di espandere il "web of trust" [3], che più diventa profonda e interconnessa, più risulta difficile comprometterla.
Cos'è e a cosa serve GnuGP
GnuGP aiuta a preservare la nostra privacy: serve a cifrare e firmare dati ed informazioni.
OpenPGP è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per firmare crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.
Come partecipare
Prima del key-signing party
- Avere o creare una propria chiave [4] e (consiglio spassionato) create e stampare un certificato di revoca.
- Stampare 10/20 foglietti [5], da consegnare agli altri al keysigning party, con riportati questi dati:
- indirizzo e-mail,
- key ID della chiave,
- dimensione e tipo della chiave (esempio: RSA 4096),
- il fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171),
- dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
- se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver o ve la mandi ad una determinata e-mail.
- Opzionale: rendere disponibile la propria chiave pubblica inviandola ad un keyserver [6] o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla
Il giorno del key-signing party
E' necessario:
- essere fisicamente presenti;
- portare un documento d'identità valido
- portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave
- portare una penna
Non è necessario aver con se un computer, nè serve lo smartphone.
Come si svolge
A due a due ci si scambia foglietto e carta d'identità per verificare:
- nome e cognome riportati nel foglietto, con i dati del documento d'identità
- dati della chiave (key ID, dimensione, tipo e fingerprint)
Segnarsi sul foglietto:
- dove è reperibile la chiave (keyserver o URL)
- se la chiave da voi firmata va inviata ad un keyserver od al proprietario
Dopo il party
- I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare;
- controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto;
- firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate) [7];
- invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario.
Key servers
Elenco di alcuni keyservers che è possibile usare:
- keys.openpgp.org
- keys.mailvelope.com/manage.html
- keyring.debian.org
- keyserver.ubuntu.com
- pgp.surf.nl
Ulteriori informazioni
Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Mailvelope, ecc...
Altra documentazione in italiano ed in inglese è disponibile sul sito di GnuPG https://www.gnupg.org . È consigliata la lettura del Manuale GNU sulla privacy (GnuPG Handbook)
APP per Android:
- OpenKeychain (App sponsorizzata da EFF.org) tramite il repository F-Droid o Google Play
- importa la tua chiave privata nell'applicazione: leggi qui come.
- oppure crea la tua nuova chiave tramite l'APP e caricala sempre tramita APP su un key server;
Per chi usa le webmail, esiste Mailvelope che implementa PGP come estensione del browser https://mailvelope.com/en/help
Note
- ↑ Definizione di Wikipedia di keysigning party oppure il GnuPG Keysigning Party HOWTO
- ↑ Problems with keyservers il trend è tuttavia quello di abbandonare il paradigma della web of trust, per motivi di privacy e usabilità
- ↑ cos'è la rete della fiducia
- ↑ Guida per generare le proprie chiavi
- ↑ https://github.com/ascherer/fingerprint applicativo per generare i foglietti per il party e stampare fogli di questo tipo. Sito https://keysheet.net/ che genera anche il qr-code
- ↑ guida su come pubblicare e/o scaricare una chiave da un keyserver
- ↑ : vedi qui come importare, firmare, esportare una chiave