[Ninux-Wireless] Ai ninuxer più attivi: FATEVI UNA CHIAVE PGP

Ilario Gelmetti iochesonome a gmail.com
Mer 5 Nov 2014 13:06:34 CET 

Il 05/11/2014 12:18, Daniela Ruggeri ha scritto:
> Se vi interessa io scrissi tempo fa un articolo sull'argomento
> 
> http://blog.ninux.org/2011/08/15/come-usare-il-software-gnupg-per-cifrare-i-testi/

Ottima guida Daniela!
Per ambiente Linux io e eigenLab avevamo iniziato a scrivere questa:
https://wiki.eigenlab.org/index.php/PGP
si potrebbero unire i due articoli in una nuova GuidaNinux...

Il 02/11/2014 15:10, Nemesis ha scritto:
> al prossimo evento dove ci incontreremo faremo un
> keysigning party.

Assolutamente da fare!

Il 02/11/2014 15:14, Giuseppe De Marco ha scritto:
> Se lo facessimo tramite ninux e retroshare ? :)

Na...
Gli unici modi seri di firmare una chiave (ossia di verificare
l'associazione persona-chiave) sono:
di persona (con documento d'identità se sulla chiave c'è nome e cognome)
via telefono se sapete riconoscere bene la voce del destinatario.

Il 03/11/2014 12:27, Elena ``of Valhalla'' ha scritto:
> Chiunque potrebbe creare una chiave con un nome falso, di cui quindi
> avrebbe chiave pubblica *e* privata, mandare una mail qui in lista
> spacciandosi per la persona di cui han creato una chiave e
> quindi impersonarli nelle successive comunicazioni.
>
> L'unica cosa sicura è incontrarsi (regolarmente, in modo da
> riconosceri)
> di persona e scambiarsi i fingerprint delle chiavi

+1
tutte le email inviate in questa discussione con concetti tipo "questa è
la mia chiave" non vanno prese per affidabili a sufficienza da firmare
una chiave altrui.

Vi consiglio questo sito che mostra la rete di fiducia che lega due
chiavi (ci si può scaricare il programmino e farsi da soli dei comodi
grafici).
http://pgp.cs.uu.nl/
Ad esempio se m'arriva una mail firmata dalla chiave 29DC1A03 con
mittente bornagain a autoproduzioni.net voglio capire se posso fidarmi che
quella mail sia stata davvero scritta da BornAgain cioè che quella
chiave sia sua, ma non ho mai firmato la sua chiave verificandone il
fingerprint di persona allora vado a vedere la rete di fiducia:
http://pgp.cs.uu.nl/mk_path.cgi?FROM=4cbbaa96&TO=29DC1A03
in cui leggo che due persone di cui ho firmato la chiave hanno firmato
la chiave di BornAgain e ragionevolmente posso fidarmi che sia stato lui
a scrivere i contenuti nella mail firmata. Ma non gli firmo la chiave,
quello lo faccio la prossima volta in cui ci vedo di persona. :)
Ciao,
Ilario


-- 
Ilario Gelmetti
iochesonome a gmail.com
ilario.gelmetti a sns.it

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  181 bytes
Descrizione: OpenPGP digital signature
URL:         <http://ml.ninux.org/pipermail/wireless/attachments/20141105/486e1256/attachment-0001.sig>

Maggiori informazioni sulla lista Wireless