Pagina 1 di 1
linux e gpg
Inviato: mer 22 lug 2009, 0:44
da relay
Ciao a tutti, in questi giorni sto provando gpg,dato che sononuovo in questo, vi volevo chiedere:
1)Come si utilizzava la chiave pubblica che viene pubblicata nella pagina web di certi siti
2)Quando si revoca la chiave.Che significa che non si puo piu utilizzare per firmare?Cioè chi impedisce che il terzo la utilizzi?
3)L' utilità nel mettere il propio id (cioè il numerino che vedo associato alla chiave in kmail credo)di chiave nella firma in fondo al messaggio?
Grazie!
Re: linux e gpg
Inviato: mer 22 lug 2009, 8:38
da mohaa
Re: linux e gpg
Inviato: mer 22 lug 2009, 11:16
da albatros
relay ha scritto:Ciao a tutti, in questi giorni sto provando gpg,dato che sononuovo in questo, vi volevo chiedere:
1)Come si utilizzava la chiave pubblica che viene pubblicata nella pagina web di certi siti
Per verificare un file firmato con la corrispondente chiave privata o se vuoi inviare messaggi o files criptati al proprietario della chiave.
2)Quando si revoca la chiave.Che significa che non si puo piu utilizzare per firmare?Cioè chi impedisce che il terzo la utilizzi?
Intendi una persona diversa dal proprietario? Guarda che solo chi ha la chiave privata la può usare per firmare, il terzo può usare la chiave pubblica per controllare la validità di una firma o per criptare files che solo chi possiede la chiave privata potrà decifrare. Può darsi che un terzo abbia sottratto la chiave privata al proprietario e che questo se ne sia accorto, revocando la chiave: inviando il certificato di revoca, i keyserver su cui hai messo la chiave non la considereranno più buona e quando chiederai di ricevere quella chiave con un certo ID ti diranno che non è più valida. C'è una debolezza nel momento in cui uno che ha sottratto la chiave privata (magari già revocata dal proprietario) ti manda un messaggio con la firma del derubato e tu la verifichi senza controllare che la chiave pubblica che hai nel tuo keyring sia sempre buona.
3)L' utilità nel mettere il propio id (cioè il numerino che vedo associato alla chiave in kmail credo)di chiave nella firma in fondo al messaggio?
Grazie!
Per far scaricare la propria chiave pubblica da un keyserver.
Per fare un esempio, mettiamo che tu mi voglia scrivere un messaggio allegandoci un documento criptato.
Prendi da un keyserver la mia chiave pubblica:
Poi cripti il documento usando questa chiave:
Re: linux e gpg
Inviato: gio 23 lug 2009, 20:46
da relay
Si ok ho capito che è la chiave pubblica e che mi server per criptare I file, ma:
1)In soldoni come utilizzo quello che vedo nella pagina?Ossia, lo devo copiare in un file e poi importarlo come chiave gpg in kmail?Con che procedura?
2)Se io non la pubblica su un keyserver, ma la uso con altri senza passare da un keyserver, se uno mi ruba una chiave e un terzo la utilizza, non potendo controllare la validità da un keyserver, perchè non e presente.Come fa a sapere che non è più valida?
Grazie
Re: linux e gpg
Inviato: ven 24 lug 2009, 2:04
da albatros
relay ha scritto:1)In soldoni come utilizzo quello che vedo nella pagina?
Devi importare la tua chiave nel keyring: se la prendi da un keyserver con --recv-key avviene automaticamente, altrimenti la puoi importare da un file "ascii armored" (ossia con la chiave delimitata con caratteri ascii) con gpg --import .
Purtroppo ho usato kmail solo per poco tempo con kde 1.x e mi ricordo poco, comunque dovrebbe interfacciarsi con gpg (ossia tu scegli le chiavi per firmare e criptare dal keyring di gpg tramite un'interfaccia di kmail); ignoro però se con il tempo kde abbia sviluppato un suo gestore delle chiavi indipendente, mi sembra di aver visto qualcosa, ma non ho provato...
relay ha scritto:2)Se io non la pubblica su un keyserver, ma la uso con altri senza passare da un keyserver, se uno mi ruba una chiave e un terzo la utilizza, non potendo controllare la validità da un keyserver, perchè non e presente.Come fa a sapere che non è più valida?
Bisogna che tu comunichi a chi hai dato la chiave pubblica che la coppia di chiavi non è più valida...
Ma non mi sembra una buona idea non pubblicarla da nessuna parte (es. un tuo sito).
Comunque, se non hai perso la tua coppia di chiavi, puoi metterla su dei keyserver anche dopo che te l'hanno rubata e poi revocarla subito con un certificato di revoca, così chi andasse a controllare si accorgerebbe che non è più buona.
Puoi anche dare una scadenza alle chiavi...
Re: linux e gpg
Inviato: ven 24 lug 2009, 19:45
da relay
Ciao, scusa ma continuo a non capire.Ossia se la chiave è publicata su una pagina web, per importarla devo fare pgp --import cosa?
Grazie
Re: linux e gpg
Inviato: ven 24 lug 2009, 20:03
da absinthe
relay ha scritto:Ciao, scusa ma continuo a non capire.Ossia se la chiave è pubblicata su una pagina web, per importarla devo fare pgp --import cosa?
Grazie
di fatto in un file con la firma è un file come un altro ed è hostato su un server. se vuoi scaricare e importare un file di firma digitale puoi tirarlo giù con wget e salvarlo in locale iportando poi il file salvato nel keyring:
gpg --import nome_file_della_firma
M
Re: linux e gpg
Inviato: ven 24 lug 2009, 21:07
da albatros
relay ha scritto:per importarla devo fare pgp --import cosa?
Come ti ha detto absinthe gpg --import nomedelfiledellachiave ; se ti viene stampata per esteso in una pagina html puoi anche copiarla e incollarla su un file di testo (se poi la pagina visualizzata è già la chiave sotto forma di file di testo, tanto meglio).
Per esempio, la chiave pubblica di slacky.eu la trovi all'indirizzo:
http://repository.slacky.eu/slackware-12.0/GPG-KEY
Salvi il file come file di testo e poi dai:
Puoi verificare che la chiave sia nel tuo keyring con:
