Keyserver pgp [da palug@ era Re: Resoconto riunione 8 Marzo]

[Kalef]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

The Hand ha scritto:

>>>>> ciao figghiý
>>> curý....se firmi i messaggi con pgp abbi la buona creanza di mettere la
>>> tua chiave pubblica su un keyserver.
> 
> con calma fammi capire bene la cosa no? ehehehe
Si na niegghia!!!

ho spostato su palermo@ mi pare più opportuno continuare qui il discorso.

Ti sei installato enigmail su thunderbird per avere il supporto di
crittografia e firma mediante gpg.

Una volta generata la chiave e configurato il programmillo per firmare i
tuoi messaggi (apprò, aggiornare gpg a 1.4.2.2 per un bug sulla verifica
delle firme) devi preoccuparti di fare avere agli altri la tua chiave
pubblica con cui possono verificare l'autenticità e la provenienza del
tuo messaggio, altrimenti la firma rimane solo un modo per aumentare la
quantità di spazzatura in fondo alla tua email (già abbondante ;-P).

Hai due possibilità per farlo:
a) Mandi la tua chiave pubblica a tutti quelli con cui sei in contatto
via email.
b) la metti su un keyserver, o meglio ancora una rete di keyserver.

Parliamo della proposta b), ci sono server che permettono di registrare
le chiavi pubbliche e che sono disponibili per chiunque voglia inserire
la propria (la licenza del software keyserver del MIT obbliga
addirittura a fornire accesso libero). Inserendo la tua chiave pubblica
su tali server puoi smettere di preoccuparti di far conoscere la tua
chiave pubblica agli altri. Quando mandi messaggi firmati (o se qualcuno
vuole mandarti messaggi criptati) chi non ha la tua chiave pubblica la
cerca sul keyserver e la aggiunge al proprio portachiavi, potendo così
verificare il tuoi messaggi, possibilmente facendo il tutto
automaticamente, motivo per cui i messaggi firmati da me ti risultano
verifcati anche se io non ti ho mai spedito la mia chiave pubblica.

Tutte queste cose enigmail le permette attraverso la funzione di
gestione chiavi che trovi nel menu che ti ha aggiunto in thunderbird.
Puoi caricare la tua chiave su un keyserver e cercarne altre etc. etc.

Importante, premurati di generarti e conservarti per bene un certificato
di revoca della tua chiave pgp. Qual'ora fosse compromessa (o ti perdi
la chiave privata) l'unio modo per invalidarla su un keyserver e mandare
un certificato di revoca, o aspettare che arrivi alla scadenza
programmata (ma siccome siamo tutti lagnusi generiamo le coppie di
chiavi senza scadenza).


Ovviamente spetta sempre a me decidere se fidarmi della tua chiave
oppure no, da cui l'importanza di costruire delle reti di fiducia...
apprò....ma un keysign party palugico lo facciamo prima o poi?

K.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)

iD8DBQFEEVDz0grCHlokhjERApc6AJ0bWU5r5v1E0syLXPBhyJdS+BPmNACdHNy5
Ce+yhcetZnmfNy872RDdDJc=
=RjSM
-----END PGP SIGNATURE-----