25 anni fa tutta la crittografia era basata su qualche forma di segreto condiviso – in quanto tutte la parti che ne facevano uso dovevano avere la stessa chiave per decodificarla. Il codice poteva essere violato solo entrando in possesso di una di queste chiavi.
Poi nacque il concetto di codifica a chiave pubblica. In breve, una chiave pubblica è qualcosa di cui puoi mandare copie a chiunque perché essa permette solo di codificare contenuti che possono essere decrittati dalla tua chiave segreta. La chiave pubblica codifica, quelle segrete decodificano.
Puoi anche “firmare” I documenti con la tua chiave segreta, nel senso che puoi creare un riassunto crittografato del documento che gli altri possono controllare per verificare che sei stato proprio tu a creare il documento e che non è stato modificato.
Sulla sicurezza
Il modo più facile (e più usato) di violare questa codifica si chiama “Man in the Middle”: se la persona A sta cercando di madre un documento criptato alla persona B, una terza persona C può mettersi in mezzo e far credere ad A di essere B e viceversa. E’ solo un trucchetto, ma funziona se la gente non sta attenta.
Ci sono modi di combattere questi attacchi. Il primo e più diretto é dare alla gente le impronte digitali della propria chiave pubblica. Per le chiavi DSA di GnuPG si tratta di un numero esadecimale di 40 cifre, di cui le ultime 8 sono il keyid. Mentre diverse chiavi possono potenzialmente condividere la stessa impronta digitale, il numero di chiavi che bisognerebbe generare per trovare quella corrispondente è semplicemente astronomico.
Il secondo modo, spesso utilizzato quando si contatta una persona per la prima volta, è verificare le firme della chiave pubblica. Come per le firme nei files, i tuoi amici possono usare le loro chiavi segrete per firmare la tua chiave pubblica. Ma diversamente dalla firma sui documenti, la firma sulle chiavi non indica il possesso – indica conoscenza di prima mano del fatto che la chiave è effettivamente posseduta dalla persona che dice di possederla. Se ricevi una chiave per la prima volta e ci trovi la firma di un amico, puoi fidarti del suo giudizio abbastanza da fidarti anche della firma della nuova persona. Se non riconosci nessuna firma su una chiave puoi passare al livello successivo e controllare tutte le firme dei nuovi firmatari della chiave. Si chiama rete di fiducia.
Ogni volta che aggiungi un bit raddoppi l’ammontare di combinazioni possibili. Considerando che la velocità dei computer raddoppia ogni 18 mesi, ci vorrebbe un periodo lungo diverse vite umane per violare una chiave a 1024 bit. Sarebbe molto più facile entrare in casa del possessore mentre non c’è e prendere una copia della sua chiave segreta dal suo hard disk. E’ per questo che su Indymedia si usa una passphrase per crittare e decrittare le chiavi. Se sentite il bisogno di essere ancora più sicuro, usa una passphrase lunga e casuale, non-parola, alfanumerica, con maiuscole e minuscole, e tieni la chiave su un floppy ben nascosto invece che sull’hard disk.
Per iniziare
Se ancora non l’avete fatto, andate su http://www.gnupg.org e scaricate il software. Da una shell (per chi usa Windows shell=DOS) inviate la seguente riga due volte:
gpg --gen-key
La prima volta vi dovrebbe dire di aver creato il vostro keyring, la seconda entrerà nel menu generazione chiavi. Si possono tranquillamente usare le opzioni di default – tranne che per nome, email e passphrase. Puoi inserire un expiration time di 1anno visto che è la tua prima chiave, non inserire un commento a meno che tu non stia generando più di una chiave per te stesso (es. chiavi separate per casa e lavoro). Muovi il mouse, batti tasti a caso sulla tasitiera, in modo da creare entropia – se non ce n’è abbastanza, continua.
A questo putno dovresti aver finito di generare, quindi prova ad inserire:
gpg --fingerprint
Dovrebbe apparirti la tua chiave con la sua fingerprint, e altri dati come sottochiavi, …Ora, molto importante, prima di fare qualsiasi altra cosa prendi un dischetto nuovo e copiaci i file .gpg come backup, perché con la tua chiave segreta hai sempre la possibilità di firmarti una nuova chiave e generare un certificato di revoca per la vecchia, o semplicemente aggiungerci un nuovo indirizzo e-mail (cancellando quelli vecchi), ma se perdi la chiave segreta perdi ogni potere su di essa finchè non scade.
[…]
Come usarla
Il posto più comune dove usare GnuPg è il proprio mail cient. Guarda nei Frontends di http://www.gnupg.org per vedere come fare. Ovviamente se usi normali mailbox web-based sarä più difficile.
Per crittografare qualcosa manualmente salvalo come file di testo e digita:
gpg --armor --encrypt -r
o in alternativa:
gpg -ea -r
[ -e = --encrypt ; -a = --armor ; -r = recipient ]
Questo creerà un nuovo file crittografato .asc
Per decrittare qualcosa crittografato con la tua chiave digita:
gpg --decrypt
o, in alternativa:
gpg -d
[ here: -d = --decrypt ]
Puoi usare un > redirect (or --output) per trasferire I dati decrittati in un file invece di doverli estrarre dallo shell.
Ci sono migliaia di altri usi, che potete trovare nel manuale allegato a GnuPG. Divertitevi, e non fatevi scoraggiare da tutto questo “tecnobabble”: il procedimento è abbastanza facile e i benefici dati dal suo utilizzo valgono la fatica di imparare.
Source:

Note: Tradotto da Chiara Rancati per www.peacelink.it
Il testo è liberamente utilizzabile per scopi non commerciali citando la fonte, l'autore e il traduttore.

Articoli correlati

  • Telegram e i servizi di anonimizzazione totale
    CyberCultura
    O nessuno dovrebbe essere sanzionato oppure tutti dovrebbero esserlo

    Telegram e i servizi di anonimizzazione totale

    Il problema posto dall’arresto di Durov pone il problema di tecnologie progettate con caratteristiche che consentono di commettere (o impedire l’accertamento di) un reato. Chi le ha realizzate è corresponsabile degli illeciti penali che sono commessi?
    25 agosto 2024 - Andrea Monti
  • Combattere le minacce europee alla crittografia
    Diritto in rete
    Una panoramica dell'anno 2023

    Combattere le minacce europee alla crittografia

    L'EFF ha trascorso quest'anno a combattere duramente contro una proposta dell'UE che, se fosse diventata legge, sarebbe stata un disastro per la privacy online nell'UE e in tutto il mondo. La proposta avrebbe fatto pressione sui servizi online per abbandonare la crittografia end-to-end.
    30 dicembre 2023 - Electronic Frontier Foundation
  • Richard Stallman a Firenze: Software libero ed economia solidale per difendere democrazia e libertà
    CyberCultura
    Stallman, chi era costui? :-)

    Richard Stallman a Firenze: Software libero ed economia solidale per difendere democrazia e libertà

    Per chi non è avvezzo al sistema operativo del "pinguino", il nome di Stallman non dice nulla. E per chi non segue le vicende del "software libero", o non sa che la Rete può diventare un'arma a doppio taglio, difficilmente avrà partecipato all'importante e seguitissimo incontro che si è tenuto a Firenze lo scorso 14 settembre 2013; ospite illustre, appunto, Richard Stallman.
    25 settembre 2013 - Roberto Del Bianco
  • CyberCultura

    «Gli innocenti stiano tranquilli? Lo diceva anche il Mein Kampf»

    Parla un attivista della tutela della privacy: «Sbagliato accettare i controlli con noncuranza. In Gran Bretagna i dati archiviati sono stati rubati e rivenduti ad aziende private»
    16 settembre 2007 - Sara Menafra
PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 2.7.21 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)