Repository 32bit  Forum
Repository 64bit  Wiki

Linux & GPG

Da Slacky.eu.


Indice

Presentazione

Ok, tutti sappiamo che le nostre e-mail non arrivano direttamente al destinatario ma passano attraverso varie macchine/server e quindi possono essere lette facilmente dai soliti curiosi. Sono sicuro che un admin non abbia ne il tempo ne la voglia di leggere le nostre e-mail private ma la paranoia ci porta a salvaguardare la nostra privacy. Tratteremo il tipo di crittografia a chiave pubblica che a mio avviso è la più sicura e facilmente gestibile.

In linea di massima il principio della chiave pubblica è questo: Andrea deve inviare a Lorys una mail personalissima, utilizzando la chiave pubblica di Lorys crea un contenitore dove verrà inserito il testo dell'e-mail, ora, al momento dell'invio questo contenitore si chiuderà in modo definitivo e solo Lorys con la sua chiave privata potrà aprire e leggere il contenuto dell'e-mail.

Più che una guida, questa mia, vuole essere solo un passo a passo all'installazione e alla configurazione di GPG, ovvero GNU Privacy Guard, programma per la criptazione di email e file.

Installazione

Per cominciare scarichiamo il programma dal sito gnupg.org consiglio di scaricare il

gnupg-1.2.2.tar.gz.

Se avete come distribuzione Linux la Slackware GPG è già installato :)

Una volta scaricato aprite una shell e andate nella directory in cui avete scaricato il file e decomprimetelo con il comando:

tar xzvf gnupg-1.2.2.tar.gz

Si creerà una cartella con il nome gnupg-1.2.2 entrate in quest'ultima per iniziare la fase di installazione:

$ cd gnupg-1.2.2
$ ./configure (se usate Slack --prefix/usr)
$ make
# make install

OK, avrete così installato l'applicazione...cominciamo ora a configurarla.

Configurazione e uso

Digitate ora:

gpg

per permettere al programma di creare i file di configurazione. a questo punto digitate:

gpg --gen-key

Vi appariranno in video alcune domande alla prima, ovvero sia "Please select what kind of key you want" date l'opzione 1. Adesso vi chiederà di indicare la lunghezza della chiave. Una chiave a 1024 bit è più che sufficiente per proteggere le nostre mail dai curiosoni, ma se siete sospettosi potete scegliere anche la 2048 anche se io vi consiglio di lasciare la prima opzione per che è di default.

Basterà quindi premere invio.

Il prossimo passo sarà quello di decidere quando far scadere la nostra chiave. Questo per una maggior sicurezza..infatti una chiave senza scadenza darebbe molto tempo a qualche malintenzionato di decriptare la nostra key.

Se comunque volete renderla definitiva, e quindi senza scadenza, digitate:

0

Se volete farla scadere entro un giorno o due...e così via..digitate:

1 oppure 2, 3, 4 a seconda dei giorni che desiderate.

Se volete farla scadere entro una settimana:

1w , (oppure per due settimane 2w) ...ecc...ecc...

Per la scadenza mensile:

1m

Per la scadenza annua:

1y

Ora vi verrà chiesto il vostro nome, la vostra mail ed un commento. Una volta risposto a queste domande, se è tutto ok, premete la lettera o, e invio. Ora un passo importante dovrete scrivere una passphrase che sarà la pass per decodificare le mail che vi arriveranno criptate, quindi attenti a ricordarla bene o a segnarla da qualche parte. La passphrase vi verrà chiesta due volte per il solito confronto.

Ok le chiavi sono state create.

Esportiamo ora in un file di testo la chiave pubblica, digitiamo:

gpg -a --export -o nomefile.asc 

Abbiamo così un file di testo con la nostra chiave pubblica che daremo a chi corrisponderà con noi via mail. Si puo mettere la nostra chiave come allegato alle mail oppure farla conoscere mettendola nelle pagine web, ecco per esempio la mia:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.2.1 (GNU/Linux)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=gSs1
-----END PGP PUBLIC KEY BLOCK-----

La prima cosa da fare è creare un certificato di revoca per la chiave nel caso in cui la chiave venga persa, compromessa o risulti scaduta. Il comando per creare il certificato di revoca è:

gpg --gen-revoke KEYID > revocamiakey.asc

Quello per revocare la chiave è:

gpg --import revocamiakey.asc gpg --send-key KEYID

Per cominciare ad utilizzare il gpg inviando email o file cifrati dobbiamo trovare la chiave pubblica dei destinatari, magari facendocela spedire o scaricandola dal web. Esiste un ottimo Keyserver italiano, gestito da Marco Nenciarini insieme al PLUG l'indirizzo è keyserver.linux.it. Una volta ricevuta o scaricata la chiave ,dobbiamo aggiungerla al nostro database così, ad esempio, se la nostra chiave si chiama, tizio_key_gpg.txt, dovremmo digitare il comando:

gpg --import tizio_key_gpg.txt

Una volta applicato questo comando, avremo aggiunto la chiave di Tizio nel nostro database. Per rendere l'idea in modo elementare immaginiamo che il nostro database sia un portachiavi dove aggiungere di volta in volta le varie chiavi per aprire le porte, le nostre porte sono le mail.

Per visualizzare le chiavi che abbiamo a disposizione o per controllare se la chiave di tizio è stata aggiunta basta digitare:

gpg --list-keys

Siamo già a buon punto, ora non ci resta che "avvertire" gpg che la chiave è sicura firmandola con il comando:

gpg --edit-key tizio_key_gpg.txt

Vi si presenterà un prompt del tipo: Command>

Digitate: sign

Ora vi troverete davanti a qualcosa del tipo:

How carefully have you verified the key you are about
to sign actually belongs to the person named above?
(0) I will not answer. (default)
(1) I have not checked at all.
(2) I have done casual checking.
(3) I have done very careful checking.
Your selection? 3
Selezionate come sopra l'opzione 3 nel caso siate totalmente sicuri e continuate
Really sign? y
You need a passphrase to unlock the secret key for
user: ``pippo ''
Enter passphrase: **** **** ****
digitando alla domanda Really sign? y

Come vedete sopra vi verrà richiesta la passphrase mettetela e il tutto sarà completato.

Configurazione di Kmail

Finalmente passiamo a configurare il nostro client di posta, nel mio caso Kmail. Aprite Kmail, andate su: Impostazioni/Configura Kmail.

Aprite le "impostazioni sicurezza e privacy" cliccando sul lucchetto in basso a sx e andate sulla cartella "OpenPGP".

Su "Scegli lo strumento di cifratura da usare" scegliete dal menu a tendina la voce "GnuPG - Gnu Privacy Guard".

Nelle opzioni sottostanti controllate che siano vistate le opzioni:

  • Cifra sempre i messaggi per te stesso
  • Mostra il testo cifrato/firmato dopo la composizione
  • Mostra sempre le chiavi di cifratura per l'approvazione
  • Firma automaticamente i messaggi con OpenPGP

Passate ora nella sezione "Identità" andate su "Modifica" e nella finestra che vi apparirà selezionate la cartella "Avanzate".

Cliccate sul pulsante "Cambia" nella riga "Chiave OpenPGP" e selezionate la vostra chiave. Date un bel "Applica" per salvare tutte le impostazioni...e siamo pronti a inviare mail criptate. Proviamo ora ad inviare una mail criptata. Per fare questo dobbiamo aver già aggiunto una chiave di qualcuno, oppure per provare il funzionamento inviamo una mail a noi stessi.

Aprite Kmail e andate nella prima icona in alto a sx, per capirci,quella con la bustina che corrisponde a "Nuovo Messaggio". Sul mittente mettete il vostro indirizzo mail, per esempio, andrea@slacky.it.

Su "Oggetto" mettete "Prova mailGpG" Mettete un testo a vostra fantasia. Cliccate sul lucchetto in alto a dx e inviate la mail. Dalla finestra che vi si aprirà selezionate la vostra chiave o quella della persona a cui state spedendo la mail. Nella successiva finestra, quella di "Approvazione chiave di cifratura" date "OK", inserite la vostra passphrase e date "OK" alla nuova finestrella. Un ultimo sforzo nel dare "OK" nell'ennesima finestra, e più precisamente quella di "Informazioni OpenPGP" e finalmente la nostra mail criptata è stata inviata. Ora andiamo a leggerci la mail criptata che ci siamo inviati. Apriamoci Kmail se già non lo è, andiamo con il mouse sulla quarta icona in alto partendo da sx, l'icona che corrisponde alla voce "Controlla la posta in".

Ok, abbiamo ricevuto la nostra mail andiamo a leggerla. Ci verrà chiesta la nostra passphrase, mettiamola e diamo "OK".

Ecco finalmente la nostra mail decriptata pronta da leggere in assoluta privacy e sicurezza.

Considerazioni e Fonti

Ovviamente gpg è uno strumento molto potente e le opzioni sono veramente molte, queste sono la base per inviare mail sicure ma sinceramente una letta al man gpg e un gpg --help vi chiariranno meglio le idee.

Fonti: Google - Lorys - gnupg.org


By Andrea

andrea@slacky.it

Strumenti personali
Namespace

Varianti