Cena LUG veneti novembre 2023
Da MontelLUG WIKI.
Introduzione (la solita): perché proprio il venerdì 17...
Ogni venerdì 17 che si rispetti ha la sua cena dei LUG veneti, oramai è una tradizione e ci teniamo a rispettarla. La data non viene scelta, come sostiene qualche voce di corridoio, perché gli informatici non siano superstiziosi, bensì per il motivo opposto: il vero nerd crede in una sola regola immutabile, la famigerata "legge di Murphy". Ciò comporta che:
- il server, che ha sempre funzionato perfettamente durante tutti i test, va sistematicamente a farsi benedire quando è ora di entrare in produzione;
- un programma pronto da dare al cliente presenterà immancabilmente un bug misterioso il giorno della presentazione al committente che farà fare (nel caso migliore) una pessima figura davanti a tutti. Tale bug inoltre non si ripresenterà più nei giorni seguenti quando si tenterà invano di stanarlo;
- gli esempi si possono facilmente estendere ad altri settori dell'informatica...
Per qualche strano motivo i venerdì 17 la legge di Murphy sospende il suo effetto e i nerd escono allo scoperto dalle loro sale CED per qualche ora d'aria senza doversi preoccupare di cosa succederà ai loro server o a tutte le calamità possibili che possono succedere al sistema di backup.
Almeno così narra la leggenda...
La cena
La cena è aperta a chiunque: soci, non soci, simpatizzanti. Lo scopo è far incontrare almeno ogni tanto le associazioni che si occupano di Linux e dintorni (software libero, privacy, ecc.) e scambiare qualche chiacchiera ed idea con chi parla la stessa lingua.
Quando
venerdì 17 Novembre 2023 alle ore 20.30
Dove
Ristorante Birreria Spiller Via Fornace Morandi, 24/B 35133 Padova PD https://www.openstreetmap.org/node/7060180531
Iscrizione
Per l'iscrizione alla cena volta utilizziamo Mobilizon Italia, un'istanza federata di Mobilizon
Qui il link per l'iscrizione: https://mobilizon.it/events/1fca26cb-e004-4f05-812e-527e4305515e
GnuPG Keysigning Party @ Cena dei LUG di Novembre 2023
Alla Cena dei LUG ci sarà la possibilità di partecipare ad un Keysigning Party.
Un keysigning party [1] è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GnuPG) durante il quale ognuno ha la possibilità di far verificare la propria identità e le proprie chiavi agli altri partecipanti e viceversa allo scopo di firmarne reciprocamente le chiavi crittografiche.
La sicurezza di GnuGP è rappresentata dalla c.d. rete di fiducia[2]: ovvero l'identità di una persona rappresentata da una chiave è tanto più sicura e vera, quante più persone l'hanno verificata. Il Keysigning Party consente di espandere il "web of trust" [3], che più diventa profonda e interconnessa, più risulta difficile comprometterla.
Cos'è e a cosa serve GnuGP
GnuGP aiuta a preservare la nostra privacy: serve a cifrare e firmare dati ed informazioni.
OpenPGP è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per firmare crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.
Come partecipare
Prima del key-signing party
- Avere o creare una propria chiave [4] e (consiglio spassionato) create e stampare un certificato di revoca.
- Stampare 10/20 foglietti [5], da consegnare agli altri al keysigning party, con riportati questi dati:
- indirizzo e-mail,
- key ID della chiave,
- dimensione e tipo della chiave (esempio: RSA 4096),
- il fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171),
- dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
- se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver o ve la mandi ad una determinata e-mail.
- Opzionale: rendere disponibile la propria chiave pubblica inviandola ad un keyserver [6] o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla
Il giorno del key-signing party
E' necessario:
- essere fisicamente presenti;
- portare un documento d'identità valido
- portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave
- portare una penna
Non è necessario aver con se un computer, nè serve lo smartphone.
Come si svolge
A due a due ci si scambia foglietto e carta d'identità per verificare:
- nome e cognome riportati nel foglietto, con i dati del documento d'identità
- dati della chiave (key ID, dimensione, tipo e fingerprint)
Segnarsi sul foglietto:
- dove è reperibile la chiave (keyserver o URL)
- se la chiave da voi firmata va inviata ad un keyserver od al proprietario
Dopo il party
- I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare;
- controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto;
- firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate) [7];
- invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario.
Key servers
Elenco di alcuni keyservers che è possibile usare:
- keys.openpgp.org
- keys.mailvelope.com/manage.html
- keyring.debian.org
- keyserver.ubuntu.com
- pgp.surf.nl
Ulteriori informazioni
Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Mailvelope, ecc...
Altra documentazione in italiano ed in inglese è disponibile sul sito di GnuPG https://www.gnupg.org . È consigliata la lettura del Manuale GNU sulla privacy (GnuPG Handbook)
APP per Android:
- OpenKeychain (App sponsorizzata da EFF.org) tramite il repository F-Droid o Google Play
- importa la tua chiave privata nell'applicazione: leggi qui come.
- oppure crea la tua nuova chiave tramite l'APP e caricala sempre tramita APP su un key server;
Per chi usa le webmail, esiste Mailvelope che implementa PGP come estensione del browser https://mailvelope.com/en/help
Note
- ↑ Definizione di Wikipedia di keysigning party oppure il GnuPG Keysigning Party HOWTO
- ↑ Problems with keyservers il trend è tuttavia quello di abbandonare il paradigma della web of trust, per motivi di privacy e usabilità
- ↑ cos'è la rete della fiducia
- ↑ Guida per generare le proprie chiavi
- ↑ https://github.com/ascherer/fingerprint applicativo per generare i foglietti per il party e stampare fogli di questo tipo. Sito https://keysheet.net/ che genera anche il qr-code
- ↑ guida su come pubblicare e/o scaricare una chiave da un keyserver
- ↑ : vedi qui come importare, firmare, esportare una chiave