Azioni

Differenze tra le versioni di "Cena LUG veneti marzo 2023"

Da MontelLUG WIKI.

m (Iscritti)
m (GnuPG Keysigning Party @ Cena dei LUG di marzo 2023: Why not use Web of Trust?)
Riga 32: Riga 32:
 
Un '''keysigning party''' <ref>[https://en.wikipedia.org/wiki/Key_signing_party Definizione di Wikipedia di keysigning party] oppure [http://www.gnupg.org/howtos/it/gpg-party.html il GnuPG Keysigning Party HOWTO] </ref> è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GnuPG) durante il quale ognuno ha la possibilità di far verificare la propria identità e le proprie chiavi agli altri partecipanti e viceversa allo scopo di firmarne reciprocamente le chiavi crittografiche.
 
Un '''keysigning party''' <ref>[https://en.wikipedia.org/wiki/Key_signing_party Definizione di Wikipedia di keysigning party] oppure [http://www.gnupg.org/howtos/it/gpg-party.html il GnuPG Keysigning Party HOWTO] </ref> è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GnuPG) durante il quale ognuno ha la possibilità di far verificare la propria identità e le proprie chiavi agli altri partecipanti e viceversa allo scopo di firmarne reciprocamente le chiavi crittografiche.
  
La sicurezza di GnuGP è rappresentata dalla c.d. '''rete di fiducia''': ovvero l'identità di una persona rappresentata da una chiave è tanto più sicura e vera, quante più persone l'hanno verificata. Il Keysigning Party consente di espandere il "web of trust" <ref>[http://www.gnupg.org/gph/it/convalidare-chiavi.html#AEN420 cos'è la rete della fiducia]</ref>, che più diventa profonda e interconnessa, più risulta difficile comprometterla.
+
La sicurezza di GnuGP è rappresentata dalla c.d. '''rete di fiducia'''<ref>[https://en.wikipedia.org/wiki/Key_server_(cryptographic)#Problems_with_keyservers Problems with keyservers] il trend è tuttavia quello di abbandonare il paradigma della web of trust, per motivi di privacy e usabilità </ref>: ovvero l'identità di una persona rappresentata da una chiave è tanto più sicura e vera, quante più persone l'hanno verificata. Il Keysigning Party consente di espandere il "web of trust" <ref>[http://www.gnupg.org/gph/it/convalidare-chiavi.html#AEN420 cos'è la rete della fiducia]</ref>, che più diventa profonda e interconnessa, più risulta difficile comprometterla.
  
== Cos'è e a cosa serve GnuGP ===
+
== Cos'è e a cosa serve GnuGP ==
 
[https://gnupg.org/ GnuGP] aiuta a preservare la nostra privacy: serve a cifrare e firmare dati ed informazioni.
 
[https://gnupg.org/ GnuGP] aiuta a preservare la nostra privacy: serve a cifrare e firmare dati ed informazioni.
  

Versione delle 23:13, 1 mar 2023

Introduzione (la solita): perché proprio il venerdì 17...

Ogni venerdì 17 che si rispetti ha la sua cena dei LUG veneti, oramai è una tradizione e ci teniamo a rispettarla. La data non viene scelta, come sostiene qualche voce di corridoio, perché gli informatici non siano superstiziosi, bensì per il motivo opposto: il vero nerd crede in una sola regola immutabile, la famigerata "legge di Murphy". Ciò comporta che:

  • il server, che ha sempre funzionato perfettamente durante tutti i test, va sistematicamente a farsi benedire quando è ora di entrare in produzione;
  • un programma pronto da dare al cliente presenterà immancabilmente un bug misterioso il giorno della presentazione al committente che farà fare (nel caso migliore) una pessima figura davanti a tutti. Tale bug inoltre non si ripresenterà più nei giorni seguenti quando si tenterà invano di stanarlo;
  • gli esempi si possono facilmente estendere ad altri settori dell'informatica...

Per qualche strano motivo i venerdì 17 la legge di Murphy sospende il suo effetto e i nerd escono allo scoperto dalle loro sale CED per qualche ora d'aria senza doversi preoccupare di cosa succederà ai loro server o a tutte le calamità possibili che possono succedere al sistema di backup.

Almeno così narra la leggenda...

La cena

La cena è aperta a chiunque: soci, non soci, simpatizzanti. Lo scopo è far incontrare almeno ogni tanto le associazioni che si occupano di Linux e dintorni (software libero, privacy, ecc.) e scambiare qualche chiacchiera ed idea con chi parla la stessa lingua.

Quando

venerdì 17 marzo 2023 alle ore 20.30

Dove / Sondaggio

Ancora qualche giorno e potrai dire la tua: dove vorresti che fosse fatta la Cena dei LUG di questa volta? Esprimi qui le tue preferenze https://framadate.org/LUGVenetiCena17Marzo2023SceltaLocale

Vedi qui LA MAPPA DEI LOCALI PROPOSTI https://umap.openstreetmap.fr/it/map/cena-lug-veneti-proposte-marzo-2023_875185#9/45.7828/12.0340

Una volta chiuso il sondaggio, potrete iscrivervi alla cena usando il link indicato più sotto.

Iscrizione

Per l'iscrizione alla cena questa volta utilizziamo Mobilizon Italia, un'istanza federata di Mobilizon

Qui il link per l'iscrizione: https://mobilizon.it/events/634e3b5d-432e-4c1e-be4f-c3779bb0fcbb

GnuPG Keysigning Party @ Cena dei LUG di marzo 2023

Alla Cena dei LUG ci sarà la possibilità di partecipare ad un Keysigning Party.

Un keysigning party [1] è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GnuPG) durante il quale ognuno ha la possibilità di far verificare la propria identità e le proprie chiavi agli altri partecipanti e viceversa allo scopo di firmarne reciprocamente le chiavi crittografiche.

La sicurezza di GnuGP è rappresentata dalla c.d. rete di fiducia[2]: ovvero l'identità di una persona rappresentata da una chiave è tanto più sicura e vera, quante più persone l'hanno verificata. Il Keysigning Party consente di espandere il "web of trust" [3], che più diventa profonda e interconnessa, più risulta difficile comprometterla.

Cos'è e a cosa serve GnuGP

GnuGP aiuta a preservare la nostra privacy: serve a cifrare e firmare dati ed informazioni.

OpenPGP è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per firmare crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.

Come partecipare

Prima del key-signing party

  1. Avere o creare una propria chiave [4] e (consiglio spassionato) create e stampare un certificato di revoca.
  2. Stampare 10/20 foglietti [5], da consegnare agli altri al keysigning party, con riportati questi dati:
    • indirizzo e-mail,
    • key ID della chiave,
    • dimensione e tipo della chiave (esempio: RSA 4096),
    • il fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171),
    • dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
    • se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver o ve la mandi ad una determinata e-mail.
  3. Opzionale: rendere disponibile la propria chiave pubblica inviandola ad un keyserver [6] o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla

Il giorno del key-signing party

E' necessario:

  • essere fisicamente presenti;
  • portare un documento d'identità valido
  • portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave
  • portare una penna

Non è necessario aver con se un computer, nè serve lo smartphone.

Come si svolge

A due a due ci si scambia foglietto e carta d'identità per verificare:

  1. nome e cognome riportati nel foglietto, con i dati del documento d'identità
  2. dati della chiave (key ID, dimensione, tipo e fingerprint)

Segnarsi sul foglietto:

  1. dove è reperibile la chiave (keyserver o URL)
  2. se la chiave da voi firmata va inviata ad un keyserver od al proprietario

Dopo il party

  1. I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare;
  2. controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto;
  3. firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate) [7];
  4. invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario.

Ulteriori informazioni

Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Mailvelope, ecc...

Altra documentazione in italiano ed in inglese è disponibile sul sito di GnuPG https://www.gnupg.org . È consigliata la lettura del Manuale GNU sulla privacy (GnuPG Handbook)

APP per Android:

  1. OpenKeychain (App sponsorizzata da EFF.org) tramite il repository F-Droid o Google Play
  2. importa la tua chiave privata nell'applicazione: leggi qui come.
  3. oppure crea la tua nuova chiave tramite l'APP e caricala sempre tramita APP su un key server;

Note