Laboratorio di crittografia

[Mano[FA]]

Quindi metterla in un messaggio cifrato non serve a un tubo perché se lo hai aperto hai già verificato che sono io

No no. il messaggio che hai mandato e' cifrato con la MIA chiave pubblica. Solo io posso leggerlo. Ma potrebbe averlo mandato chiunque. Se invece, come hai fatto, lo hai firmato e io so per certo qual'e' la tua chiave pubblica, posso anche verificare che l'hai mandato tu.

La questione di firmarsi le chiavi e' proprio per l'aspetto "so per certo". Se io firmo la tua chiave, significa che io mi fido che quella chiave appartiene davvero a te (per quel che ne so io tu potresti essere il secondo Lex Luthor del forum o il malefico 7ede). Poi, in teoria, se io firmo la tua chiave e Mirino firma la mia, Mirino indirettamente sa per certo che la tua chiave appartiene davvero a te.

Per questo ho bisogno di Lysor per firmare le chiavi, perche' e' l'unico che "conosco" (tra gli interessati nella questione crittografia). Siccome io non ci saro' al raduno voi potete firmarvi la vostre chiavi, ma io no

[Beavis]

Minkia Mano ma te la posso firmare anche se me la mandi per mail la chiave, voglio dire stiamo facendo tanto per imparare.
Ma poi come cavolo la firmi una chiava al raduno? Io mica mi porto il pc

MA se io ti mando la mia chiave e tu la firmi, questa cambia?

Qui sotto la mia chiave pubblica

expandcollapse

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.17 (MingW32)
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=nX8n
-----END PGP PUBLIC KEY BLOCK-----

[Mano[FA]]

Minkia Mano ma te la posso firmare anche se me la mandi per mail la chiave, voglio dire stiamo facendo tanto per imparare.

potremmo, ma preferisco, per quanto possibile, fare le cose per bene. Comunque, tu la mia chiave pubblica puoi gia' firmarla se ti fidi. Ma non sottovalutare il malefico 7ede...

Ma poi come cavolo la firmi una chiava al raduno? Io mica mi porto il pc

non la firmi al raduno. ma la raduno chiedi, per sempio, a mirino (dopo che ti sei assicurato che sia davvero lui, magari chiedendo a Snuffo) di darti il "fingerprint" o impronta della sua chiave. Sono 16 caratteri che identificano in maniera univoca la chiave. Torni a casa e se il fingerprint che ti ha dato lui corrisponde con quello della sua chiave cha hai tu, decidi che la chiave e' autentica e la firmi.

MA se io ti mando la mia chiave e tu la firmi, questa cambia?

questo in effetti non lo so. comunque io la tua chiave gia' ce l'ho. E tu hai la mia. Immagino da qualche parte il sistema sappia che e' firmata...

[mirino]

dopo che ti sei assicurato che sia davvero lui, magari chiedendo a Snuffo

Ma non sottovalutare neppure Snuffo, per carità, quello è ancora più diabolico del malefico 7ede!!!

Vedo che è riaperto il laboratorio di crittografia, ora ripesco la mia vecchia chiave che avevo backuppato prima di formattare il PC e riparto anche io!

[Beavis]

Veramente è per me più sicuro fidarmi della chiave che mi manda Mirino per pm.
Nel senso che: chi è Mirino?
Per me Mirino è quello che scrive sul forum, al raduno potrebbe presentarsi chiunque a dirmi "sono Mirino" mentre è più difficile che gli freghino l'account sul forum

[mirino]

Noi siamo Mirino.

Siamo gli Agenti Smith del Fo.Orum.

Siamo ovunque e comunque.

Non puoi non fidarti. Siamo anche te.

[Mano[FA]]

Veramente è per me più sicuro fidarmi della chiave che mi manda Mirino per pm.
Nel senso che: chi è Mirino?

Esatto. E' proprio qui il punto. Per questo io ho bisogno di Lysor perche' e' l'unico che conosco. Ma ancora mi sa che non hai capito il sistema. Tu hai gia' la chiave pubblica di Mirino. E' qui (se hai letto dall'inizio). E se vuoi puoi firmarla. Ma cosa la firmi a fare? Firmare serve principalmente a te, per sapere di quali chiavi ti fidi davvero e di quali essere sospettoso. Anzi, fai un danno a te e a quelli che si fidano di te. Chiaro, per esempio, che io non mi fiderei delle chiavi che firmi tu, visto che firmi tutto giusto per firmare. Capisci?

[Beavis]

Scusa ma allora ho frainteso la storia del firmare la chiave.

Se io firmo la chiave di Mirino e Mano firma la mia automaticamente Mano sa che Mirino è Mirino.
Ok ma come avviene lo scambio di informazioni?
Quando io firmo la chiave di Mirino a chi viene comunicata questa cosa e come?
Come sa Mano che io ho firmato Mirino?

Sono queste le cose da capire prima di lanciarsi in "cosa è giusto fare"

[Beavis]

Ho fatto 2 prove e ho visto che la chiave firmata cambia.
Quindi presumo che se io firmo la chiave di Mirino, poi dovrò spedirla a Mano e lui avrà la certezza che è la chiave di Mirino in quanto è firmata da me (chiaramente se lui sa per certo chi sono io).
Penso che il firmare la chiave sia una sorta di raccomandazione, cioè a Mirino non frega nulla se io firmo la sua chiave se non per diffonderla a tutti i miei contatti.

[Lysor_o.O]

Mia chiave pubblica:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.17 (MingW32)
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=phNg
-----END PGP PUBLIC KEY BLOCK-----

Ora vedo se riesco a capire come fare a scrivere a qualcuno di voi...

EDIT: boh, ho aggiunto le firme di Mano e di Mirino (Beavis, riesci a pubblicare anche la tua?), ho criptato e decriptato un file di testo, ma non ho capito come fare a ottenere un messaggio come i vostri...

[Beavis]

Aggiunto.
La mia l'ho pubblicata qualche post indietro, forse non l'hai vista perché era sotto spoiler


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.17 (MingW32)
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=5x0s
-----END PGP PUBLIC KEY BLOCK-----

P.s: come mai la chiave di Lyz è più corta delle altre?

[Mano[FA]]

Penso di avere capito come puoi costruire la "rete di fiducia" o "web of trust".

L'illuminazione e' arrivata leggendo dei "The Keysigning Party" e piu' in specifico cosa fare dopo il party

Una volta che hai firmato la chiave puoi
- Tenerla per te. tu sai che adesso ti fidi di quella chiave, ma non contribuisci a costruire il web of trust
- La spedisci al proprietario (il quale la importa e si tiene la tua firma) Immagino che la prossima volta che distribuisce la sua chiave, distribuira' quella con (anche) la tua firma
- Se l'aveva messa su un server di chiavi (keyserver) la carichi e il server si occupa di aggiornarla.

Ho deciso di seguire la strada 3, in modo che chi vuole puo' sia scaricare che firmare la mia chiave pubblica indipendentemente dal Forum.

Leggendo su wikipedia, ho deciso di iniziare con questo key server

Il server si assicura che tu abbia accesso alla casella di posta associata e, apparentemente, firma la chiave. Ti fa scaricare la sua chiave pubblica. Se la firmo, immagino, poi so che le chiavi firmate dal server sono , quantomeno, con un indirizzo email associato valido. Ma non so se fidarmi del server...

boh.

Comunque, per scaricare la mia chiave andate qui e inserite ID D618C0DA

Se la firmate, potete caricare la chiave firmata sullo stesso server.

[Mano[FA]]

Riesumo questo topic per raccomandarvi un articolo su Ars Technica in cui si parla di crittografia e chiavi asimmetriche.

Ad Aprile inizio nuovo lavoro e per l'assunzione ho dovuto firmare (con la penna) un documento (di carta) in cui dichiaro di capire l'ufficialita' della firma digitale e che faro' il possibile per conservare e proteggere la mia chiave privata. Forse torna buono avere una vaga idea di cosa sia, come funzioni e finalmente avro' l'opportunita' di firmare (digitalmente) il firmabile.