KeySignParty 201701

Da MontelLUG.

GnuPG Keysigning Party @ Linux Day 2017

♥NEWS♥: Attenzione, se hai già letto; oltre alla modalità classica descritta sotto, si potranno anche effettuare le verifiche tramite APP di Android.

  1. installa l'APP OpenKeychain (App sponsorizzata da EFF.org) tramite il repository F-Droid (clicca) o Google Play (clicca)
  2. importa la tua chiave privata nell'applicazione: leggi qui come.
  3. oppure crea la tua nuova chiave tramite l'APP e caricala sempre tramita APP su un key server;
  4. porta un documento d'identità per effettuare le verifiche; vi spiegheremo come verificare le altre chiavi tramite verifica tradizionale o SafeSlinger

Dove

Presso il LINUXDAY 2017

Quando

Sabato 28 ottobre 2017 alle ore 18.30

Cos'è e a cosa serve GnuGP

GnuGP aiuta a preservare la nostra privacy: in particolare permette di cifrare e firmare dati e informazioni.

Cos'è e a cosa serve un Key Signing Party

La sicurezza di GnuGP è rappresentata da una rete di fiducia: l'identità di una persona presente in una chiave è tanto più sicura e vera, quante più persone l'hanno verificata.

Un keysigning party è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GPG) durante il quale ognuno ha la possibilità verificare le identità e le chiavi degli altri partecipanti allo scopo di firmarne le chiavi crittografiche e di farsi firmare la propria.

Ciò consente di espandere il "web of trust" (rete della fiducia: vedi qui cos'è). E più questa diventa profonda e interconnessa, più risulta difficile comprometterla.

Questo è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per proteggere crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.

Come partecipare

Prima del key-signing party

  1. Avere o creare una propria chiave: vedi qui la GUIDA (consiglio spassionato: create e stampate sempre anche un certificato di revoca)
  2. Rendere disponibile la propria chiave pubblica: inviandola ad un keyserver (scelta consigliata: vedi qui la GUIDA su come pubblicare e/o scaricare una chiave da un keyserver) o pubblicandola sul proprio sito web o prendendo l'elenco delle mail cui inviarla
  3. Stampare 10/20 foglietti (o di più si spera), da consegnare agli altri al keysigning party, con riportati questi dati:
    • nome e-mail,
    • key ID della chiave (esempio: 0xF17110BE),
    • dimensione e tipo della chiave (esempio: 1024 DSA),
    • fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171 10BE),
    • dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
    • se si desidera che chi verifica la vostra chiave la spedisca ad un keyserver (scelta consigliata) o ve la mandi ad una determinata e-mail.

Come stampare i biglietti:

Ci sarebbe anche questo sito https://keysheet.net/ che genera anche il qr-code, ma per uniformità usiamo tutti lo stesso formato

Il giorno del key-signing party

E' necessario:

  • essere fisicamente presenti;
  • portare un documento d'identità valido
  • portare gli n-mila foglietti stampati da consegnare con key ID, dimensione, tipo, fingerprint della propria chiave
  • portare una penna

Non è necessario aver con se un computer, nè serve lo smartphone.

Come si svolge

Durante il party

A due a due ci si scambia foglietto e carta d'identità per verificare:

  1. nome e cognome riportati nel foglietto, con i dati del documento d'identità
  2. dati della sua chiave (key ID, dimensione, tipo e fingerprint)

Segnarsi sul foglietto:

  1. dove è reperibile la chiave (keyserver o URL)
  2. se la chiave da voi firmata va inviata ad un keyserver od al proprietario

Dopo il party

  1. I partecipanti scaricheranno a casa loro (dal keyserver, dal sito privato o dalla mail ricevuta) le chiavi che intendono verificare;
  2. controlleranno il fingerprint delle chiavi scaricate, con quello riportato sul foglietto ricevuto;
  3. firmeranno digitalmente le chiavi verificate con la propria chiave (con tutte e due le caselle spuntate): vedi qui la GUIDA su come importare, firmare, esportare una chiave;
  4. invieranno le chiavi firmate secondo le modalità richieste dal proprietario della chiave: o verso un keyserver (non fatelo senza il consenso del proprietario) o via e-mail al proprietario.

Ulteriori informazioni

Tutte le operazioni di creazione, caricamento, firma, verifica si possono fare tranquillamente con i programmi che trovate nella vostra distribuzione: Kgpg, Kleopatra, Enigmail (estensione di Thunderbird), Seahorse, ecc...

Molta altra documentazione in italiano ed in inglese è disponibile sul sito di GnuPG http://www.gnupg.org . È consigliatissima la lettura del Manuale GNU sulla privacy (GnuPG Handbook).

Slide introduttive a GnuGP e alla crittografia

Altra lettura consigliata: il GnuPG Keysigning Party HOWTO

Key Servers: