Repository 32bit  Forum
Repository 64bit  Wiki

linux e gpg

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

linux e gpg

Messaggioda relay » mar lug 21, 2009 23:44

Ciao a tutti, in questi giorni sto provando gpg,dato che sononuovo in questo, vi volevo chiedere:
1)Come si utilizzava la chiave pubblica che viene pubblicata nella pagina web di certi siti
2)Quando si revoca la chiave.Che significa che non si puo piu utilizzare per firmare?Cioè chi impedisce che il terzo la utilizzi?
3)L' utilità nel mettere il propio id (cioè il numerino che vedo associato alla chiave in kmail credo)di chiave nella firma in fondo al messaggio?
Grazie!
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36

Re: linux e gpg

Messaggioda mohaa » mer lug 22, 2009 7:38

Avatar utente
mohaa
Linux 2.0
Linux 2.0
 
Messaggi: 181
Iscritto il: mar mar 04, 2008 8:52
Località: Francia
Slackware: 12.1
Kernel: 3
Desktop: Gnome2
Distribuzione: Gentoo

Re: linux e gpg

Messaggioda albatros » mer lug 22, 2009 10:16

relay ha scritto:Ciao a tutti, in questi giorni sto provando gpg,dato che sononuovo in questo, vi volevo chiedere:
1)Come si utilizzava la chiave pubblica che viene pubblicata nella pagina web di certi siti

Per verificare un file firmato con la corrispondente chiave privata o se vuoi inviare messaggi o files criptati al proprietario della chiave.

2)Quando si revoca la chiave.Che significa che non si puo piu utilizzare per firmare?Cioè chi impedisce che il terzo la utilizzi?

Intendi una persona diversa dal proprietario? Guarda che solo chi ha la chiave privata la può usare per firmare, il terzo può usare la chiave pubblica per controllare la validità di una firma o per criptare files che solo chi possiede la chiave privata potrà decifrare. Può darsi che un terzo abbia sottratto la chiave privata al proprietario e che questo se ne sia accorto, revocando la chiave: inviando il certificato di revoca, i keyserver su cui hai messo la chiave non la considereranno più buona e quando chiederai di ricevere quella chiave con un certo ID ti diranno che non è più valida. C'è una debolezza nel momento in cui uno che ha sottratto la chiave privata (magari già revocata dal proprietario) ti manda un messaggio con la firma del derubato e tu la verifichi senza controllare che la chiave pubblica che hai nel tuo keyring sia sempre buona.

3)L' utilità nel mettere il propio id (cioè il numerino che vedo associato alla chiave in kmail credo)di chiave nella firma in fondo al messaggio?
Grazie!

Per far scaricare la propria chiave pubblica da un keyserver.
Per fare un esempio, mettiamo che tu mi voglia scrivere un messaggio allegandoci un documento criptato.
Prendi da un keyserver la mia chiave pubblica:
Codice: Seleziona tutto
gpg --recv-key F1DF9DE7

Poi cripti il documento usando questa chiave:
Codice: Seleziona tutto
gpg -e -r F1DF9DE7 <documento-da-criptare>
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Re: linux e gpg

Messaggioda relay » gio lug 23, 2009 19:46

Si ok ho capito che è la chiave pubblica e che mi server per criptare I file, ma:
1)In soldoni come utilizzo quello che vedo nella pagina?Ossia, lo devo copiare in un file e poi importarlo come chiave gpg in kmail?Con che procedura?
2)Se io non la pubblica su un keyserver, ma la uso con altri senza passare da un keyserver, se uno mi ruba una chiave e un terzo la utilizza, non potendo controllare la validità da un keyserver, perchè non e presente.Come fa a sapere che non è più valida?
Grazie
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36

Re: linux e gpg

Messaggioda albatros » ven lug 24, 2009 1:04

relay ha scritto:1)In soldoni come utilizzo quello che vedo nella pagina?

Devi importare la tua chiave nel keyring: se la prendi da un keyserver con --recv-key avviene automaticamente, altrimenti la puoi importare da un file "ascii armored" (ossia con la chiave delimitata con caratteri ascii) con gpg --import .
Purtroppo ho usato kmail solo per poco tempo con kde 1.x e mi ricordo poco, comunque dovrebbe interfacciarsi con gpg (ossia tu scegli le chiavi per firmare e criptare dal keyring di gpg tramite un'interfaccia di kmail); ignoro però se con il tempo kde abbia sviluppato un suo gestore delle chiavi indipendente, mi sembra di aver visto qualcosa, ma non ho provato...
relay ha scritto:2)Se io non la pubblica su un keyserver, ma la uso con altri senza passare da un keyserver, se uno mi ruba una chiave e un terzo la utilizza, non potendo controllare la validità da un keyserver, perchè non e presente.Come fa a sapere che non è più valida?

Bisogna che tu comunichi a chi hai dato la chiave pubblica che la coppia di chiavi non è più valida...
Ma non mi sembra una buona idea non pubblicarla da nessuna parte (es. un tuo sito).
Comunque, se non hai perso la tua coppia di chiavi, puoi metterla su dei keyserver anche dopo che te l'hanno rubata e poi revocarla subito con un certificato di revoca, così chi andasse a controllare si accorgerebbe che non è più buona.
Puoi anche dare una scadenza alle chiavi...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Re: linux e gpg

Messaggioda relay » ven lug 24, 2009 18:45

Ciao, scusa ma continuo a non capire.Ossia se la chiave è publicata su una pagina web, per importarla devo fare pgp --import cosa?
Grazie
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36

Re: linux e gpg

Messaggioda absinthe » ven lug 24, 2009 19:03

relay ha scritto:Ciao, scusa ma continuo a non capire.Ossia se la chiave è pubblicata su una pagina web, per importarla devo fare pgp --import cosa?
Grazie

di fatto in un file con la firma è un file come un altro ed è hostato su un server. se vuoi scaricare e importare un file di firma digitale puoi tirarlo giù con wget e salvarlo in locale iportando poi il file salvato nel keyring:

gpg --import nome_file_della_firma

M
Avatar utente
absinthe
Iper Master
Iper Master
 
Messaggi: 2354
Iscritto il: sab mag 14, 2005 23:00
Località: Prato
Nome Cognome: Matteo Nunziati
Slackware: 12.1 - defunct
Kernel: 2.6.32-5-amd64
Desktop: gnome
Distribuzione: debian squeeze

Re: linux e gpg

Messaggioda albatros » ven lug 24, 2009 20:07

relay ha scritto:per importarla devo fare pgp --import cosa?

Come ti ha detto absinthe gpg --import nomedelfiledellachiave ; se ti viene stampata per esteso in una pagina html puoi anche copiarla e incollarla su un file di testo (se poi la pagina visualizzata è già la chiave sotto forma di file di testo, tanto meglio).
Per esempio, la chiave pubblica di slacky.eu la trovi all'indirizzo:
http://repository.slacky.eu/slackware-12.0/GPG-KEY
Salvi il file come file di testo e poi dai:
Codice: Seleziona tutto
gpg --import GPG-KEY


Puoi verificare che la chiave sia nel tuo keyring con:
Codice: Seleziona tutto
 gpg --list-keys


:)
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite