linux e gpg

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
relay
Linux 2.x
Linux 2.x
Messaggi: 293
Iscritto il: mar 28 ago 2007, 16:36

linux e gpg

Messaggio da relay »

Ciao a tutti, in questi giorni sto provando gpg,dato che sononuovo in questo, vi volevo chiedere:
1)Come si utilizzava la chiave pubblica che viene pubblicata nella pagina web di certi siti
2)Quando si revoca la chiave.Che significa che non si puo piu utilizzare per firmare?Cioè chi impedisce che il terzo la utilizzi?
3)L' utilità nel mettere il propio id (cioè il numerino che vedo associato alla chiave in kmail credo)di chiave nella firma in fondo al messaggio?
Grazie!

Avatar utente
mohaa
Linux 1.x
Linux 1.x
Messaggi: 181
Iscritto il: mar 4 mar 2008, 8:52
Slackware: 12.1
Kernel: 3
Desktop: Gnome2
Distribuzione: Gentoo
Località: Francia

Re: linux e gpg

Messaggio da mohaa »


Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Re: linux e gpg

Messaggio da albatros »

relay ha scritto:Ciao a tutti, in questi giorni sto provando gpg,dato che sononuovo in questo, vi volevo chiedere:
1)Come si utilizzava la chiave pubblica che viene pubblicata nella pagina web di certi siti
Per verificare un file firmato con la corrispondente chiave privata o se vuoi inviare messaggi o files criptati al proprietario della chiave.
2)Quando si revoca la chiave.Che significa che non si puo piu utilizzare per firmare?Cioè chi impedisce che il terzo la utilizzi?
Intendi una persona diversa dal proprietario? Guarda che solo chi ha la chiave privata la può usare per firmare, il terzo può usare la chiave pubblica per controllare la validità di una firma o per criptare files che solo chi possiede la chiave privata potrà decifrare. Può darsi che un terzo abbia sottratto la chiave privata al proprietario e che questo se ne sia accorto, revocando la chiave: inviando il certificato di revoca, i keyserver su cui hai messo la chiave non la considereranno più buona e quando chiederai di ricevere quella chiave con un certo ID ti diranno che non è più valida. C'è una debolezza nel momento in cui uno che ha sottratto la chiave privata (magari già revocata dal proprietario) ti manda un messaggio con la firma del derubato e tu la verifichi senza controllare che la chiave pubblica che hai nel tuo keyring sia sempre buona.
3)L' utilità nel mettere il propio id (cioè il numerino che vedo associato alla chiave in kmail credo)di chiave nella firma in fondo al messaggio?
Grazie!
Per far scaricare la propria chiave pubblica da un keyserver.
Per fare un esempio, mettiamo che tu mi voglia scrivere un messaggio allegandoci un documento criptato.
Prendi da un keyserver la mia chiave pubblica:

Codice: Seleziona tutto

gpg --recv-key F1DF9DE7
Poi cripti il documento usando questa chiave:

Codice: Seleziona tutto

gpg -e -r F1DF9DE7 <documento-da-criptare>

relay
Linux 2.x
Linux 2.x
Messaggi: 293
Iscritto il: mar 28 ago 2007, 16:36

Re: linux e gpg

Messaggio da relay »

Si ok ho capito che è la chiave pubblica e che mi server per criptare I file, ma:
1)In soldoni come utilizzo quello che vedo nella pagina?Ossia, lo devo copiare in un file e poi importarlo come chiave gpg in kmail?Con che procedura?
2)Se io non la pubblica su un keyserver, ma la uso con altri senza passare da un keyserver, se uno mi ruba una chiave e un terzo la utilizza, non potendo controllare la validità da un keyserver, perchè non e presente.Come fa a sapere che non è più valida?
Grazie

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Re: linux e gpg

Messaggio da albatros »

relay ha scritto:1)In soldoni come utilizzo quello che vedo nella pagina?
Devi importare la tua chiave nel keyring: se la prendi da un keyserver con --recv-key avviene automaticamente, altrimenti la puoi importare da un file "ascii armored" (ossia con la chiave delimitata con caratteri ascii) con gpg --import .
Purtroppo ho usato kmail solo per poco tempo con kde 1.x e mi ricordo poco, comunque dovrebbe interfacciarsi con gpg (ossia tu scegli le chiavi per firmare e criptare dal keyring di gpg tramite un'interfaccia di kmail); ignoro però se con il tempo kde abbia sviluppato un suo gestore delle chiavi indipendente, mi sembra di aver visto qualcosa, ma non ho provato...
relay ha scritto:2)Se io non la pubblica su un keyserver, ma la uso con altri senza passare da un keyserver, se uno mi ruba una chiave e un terzo la utilizza, non potendo controllare la validità da un keyserver, perchè non e presente.Come fa a sapere che non è più valida?
Bisogna che tu comunichi a chi hai dato la chiave pubblica che la coppia di chiavi non è più valida...
Ma non mi sembra una buona idea non pubblicarla da nessuna parte (es. un tuo sito).
Comunque, se non hai perso la tua coppia di chiavi, puoi metterla su dei keyserver anche dopo che te l'hanno rubata e poi revocarla subito con un certificato di revoca, così chi andasse a controllare si accorgerebbe che non è più buona.
Puoi anche dare una scadenza alle chiavi...

relay
Linux 2.x
Linux 2.x
Messaggi: 293
Iscritto il: mar 28 ago 2007, 16:36

Re: linux e gpg

Messaggio da relay »

Ciao, scusa ma continuo a non capire.Ossia se la chiave è publicata su una pagina web, per importarla devo fare pgp --import cosa?
Grazie

Avatar utente
absinthe
Iper Master
Iper Master
Messaggi: 2354
Iscritto il: dom 15 mag 2005, 0:00
Nome Cognome: Matteo Nunziati
Slackware: 12.1 - defunct
Kernel: 2.6.32-5-amd64
Desktop: gnome
Distribuzione: debian squeeze
Località: Prato
Contatta:

Re: linux e gpg

Messaggio da absinthe »

relay ha scritto:Ciao, scusa ma continuo a non capire.Ossia se la chiave è pubblicata su una pagina web, per importarla devo fare pgp --import cosa?
Grazie
di fatto in un file con la firma è un file come un altro ed è hostato su un server. se vuoi scaricare e importare un file di firma digitale puoi tirarlo giù con wget e salvarlo in locale iportando poi il file salvato nel keyring:

gpg --import nome_file_della_firma

M

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Re: linux e gpg

Messaggio da albatros »

relay ha scritto:per importarla devo fare pgp --import cosa?
Come ti ha detto absinthe gpg --import nomedelfiledellachiave ; se ti viene stampata per esteso in una pagina html puoi anche copiarla e incollarla su un file di testo (se poi la pagina visualizzata è già la chiave sotto forma di file di testo, tanto meglio).
Per esempio, la chiave pubblica di slacky.eu la trovi all'indirizzo:
http://repository.slacky.eu/slackware-12.0/GPG-KEY
Salvi il file come file di testo e poi dai:

Codice: Seleziona tutto

gpg --import GPG-KEY
Puoi verificare che la chiave sia nel tuo keyring con:

Codice: Seleziona tutto

 gpg --list-keys
:)

Rispondi