Laboratorio di crittografia

[Mano[FA]]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola mirino.

ho verificato il tuo messaggio e questo e' quello che mi dice gpg

gpg: Signature made Tue 19 Jul 2011 18:57:15 BST using RSA key ID 6656500A
gpg: Good signature from "Mirino (http://www.oostyle.net) <mirinoXXX@XXX.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: E2AE 88B8 2E2E 02C8 B2E3 090F FEA7 59A5 6656 500A

Immagino questi messaggi vogliano dire che la firma coincide, ma siccome non c'e' certezza che la chiave pubblica sia la tua, bisogna stare attenti.

Poi, ti avevo mandato un'email. L'hai vista? Sono un po' preoccupato. ;)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iQEcBAEBAgAGBQJOK/SHAAoJEBCgvVLWGMDajc0H+QF7D9NXwbLWYJfif5vFzS8m
mq4J/PxZkKb058eHBZK4i5PPNqWONYSfVBA8SeIcSn8gj5k64B3K8WUzkR963WjC
+4W43h1RadLV9/reCfK99YQW3WGcRwZf80ur2QenjIJHep+0ECp0fV9hO7JtIHV0
sFkUY2q5ci0BO9EJAMCVbQlR1JGsivqMin3FG5L5i3i2jz1jTAW+lWYMFLNwecAr
93XS+P4ZQ/2alTFybxtY+mNZil2s+MjjXVR3634de08IqBasCWy1p2U3C+zp6YMZ
uyz6hH+c5vP6pU8r+kX17lWTkNXOH4PHifQCgQWvM5WrATcNzgnERcEweYFRT/o=
=qIWp
-----END PGP SIGNATURE-----

[mirino]

Vado subito a controllare, sono anche io preoccupato.

Temo che il malefico 7ede sia riuscito a distruggermi l'account di posta di gmail, vado a verificare. Che infidone !!!!

Uhm....a meno che non abbia fatto confusione io, se provo a verificare il tuo ultimo post del topic mi dice:
gpg: Signature made gio 21 lug 2011 22:17:23 CEST using RSA key ID D618C0DA
gpg: BAD signature from "MANO ecc. ecc."

Il malefico 7ede ci ha messo lo zampino oppure abbiamo qualche problemino?

Edit: alla mail ti ho risposto, ma mi sa che è meglio se me la invii ancora.

[Mano[FA]]

anche a me adesso dice che la firma non e' piu' valida. Ma perche' SO che il malefico 7ede ha alterato il messaggio (ha editato indirizzo di posta che avevo messo in chiaro.). Riprovero' stasera e faro' un copia-incolla dal sito per verificarlo. Potrebbe essere che il motore del FoOrum inserisca spazi o altri caratteri, invalidando la firma.
L'indirizzo email, comunque, e' incluso nella chiave pubblica. Questo e' un "problema" a cui stavo pensando. Il prossimo "passo" potrebbe essere quello di caricare la mia chiave pubblica su un PGP keyserver (dopa aver creato un "revocation certificate") in modo che nessuno sia dipendente dal FoOrum per trovare la mia public key e mandarmi messaggi. Questo pero', di fatto, significa pubblicare il mio indirizzo email. Ma d'altra parte se uno vuole comunicare segretamente con me, non dovrebbe dovermi scrivere un messaggio in chiaro per chiedermi la mia email.... mh.... bisogna pensare e trovare il giusto compromesso, o usare i filtri di gMail per evitare lo spam.

[mirino]

Dannato Google bot, ha già cachato il mio indirizzo in chiaro mentre spazzolava il sito insieme a me ieri notte!
Beh, poco male, pazienza.

Non avevo pensato al fatto che pubblicassero anche l'indirizzo in chiaro (e i bot lo cachano....almeno Google lo fa), pensavo mostrassero solo la relativa chiave.
Riflettendoci però ci sta che lo pubblichino, perché io posso cercare Mano e mi mostra tutte le chiavi di tutti i Mano esistenti, ma come riconosco io chi sei tu? Con nome e cognome? E se ci sono omonimi? Rischio di utilizzare la chiave pubblica del Mano sbagliato.
Almeno con l'indirizzo scritto chiaro posso avere la certezza che sia la chiave dell'indirizzo e-mail al quale sto cercando di scrivere. Certo, poi bisognerebbe vedere se TU, o meglio, se quell'indirizzo e-mail, si riferisce esattamente a TE, ma quello è un altro discorso.

[Maloghigno]

anche a me adesso dice che la firma non e' piu' valida. Ma perche' SO che il malefico 7ede ha alterato il messaggio (ha editato indirizzo di posta che avevo messo in chiaro.)

Agente segreto dei miei stivali, se iniziate il vostro allenamento sparando indirizzi di posta in chiaro, mi sa che non dovrò faticare proprio niente a rompervi le uova nel paniere!

E comunque... sarà solo la mail o avete anche una chiave... rotta? ...ma quale?

[Mano[FA]]

Ho riapposto la firma al testo modificato.

Se faccio copia-incolla di quello su un file di testo e lo verifico, mi dice "Good signature".
Devi includere tutto: dal
-----BEGIN PGP SIGNED MESSAGE-----
fino a
-----END PGP SIGNATURE-----
inclusi.

te lo mando anche per posta, per evitare scherzi del malefico.

Rispondendo a 7ede, l'intero esercizio e' proprio per imparare facendo. Gli errori servono ad imparare. Se tu o chiunque altro, riuscite a trovare falle o problemi, hackate senza rimorsi e riportate quello che scoprite.

[mirino]

Code: Select all

gpg: Signature made dom 24 lug 2011 12:31:35 CEST using RSA key ID D618C0DA
gpg: Good signature from "Mano FA ecc. ecc."
gpg: ATTENZIONE: questa chiave non è certificata con una firma fidata!
gpg:          Non ci sono indicazioni che la firma appartenga al proprietario.

Ok, ora ci siamo. Però è strano, la prima volta non l'aveva validata, e avevo provato PRIMA che il malefico 7ede oscurasse l'indirizzo e-mail.

Comunque ora ci siamo, ok. Il prossimo passo qual è?


Lo dicevo io che il malefico 7ede ci teneva d'occhio
Daremo filo da torcere alle sue malefiche trip....truppe!

[Mano[FA]]

Bene. Il prossimo passaggio vorrei fosse capire meglio il "web of trust" e la firma delle chiavi.
Ho alcune domande che non riesco a rispondermi. Si legge che se A firma la chiave di B e B firma la chiave di C, allora A si fida di C. Ma perche' questo avvenga, A deve sapere che B ha firmato C. Come fa a saperlo? E' scritto nella chiave di B (che quindi, in qualche modo cambia continuamente?) bisogna tenersi aggiornati con un keyserver? C'e' altro oltre alla chiave pubblica? Poi nella chiave pubblica sembra si possano aggiungere altri dati come una foto e altre info...

ABBIAMO BISOGNO DI ALTRI VOLONTARI!!!

un web di due non e' molto un web

Lyyysooooooorrrrr e Beavis abbiamo bisogno di voi!!!
Io Mirino non so se sia una persona vera, ma Lysor, ti ho incontrato, conosco la sua voce, il tuo stile di gioco (bane senza fare lings) e viceversa. Potremmo iniziare a creare il primo link, e poi magari tu ti scambi la chiave con Mirino e Beavis al raduno (se esistono davvero)...

Altro aspetto. Se perdiamo la chiave privata o dimentichiamo la password siamo fregati. quindi voglio pensare a due cose:
- fare un certificato per revocare la mia chiave pubblica e tenerla in qualche posto sicuro
- tenere copia di backup di quella privata

[Beavis]

Beavis è zingaro senza casa e senza pc (scrivo ogni tanto dal lavoro) prima della seconda settimana di agosto non sono disponibile sorry

[mirino]

Anche io sono quasi in ferie, mi sa che il laboratorio riprenderà con maggiore velocità a settembre..... W LE VACANZEEEEEEEEEEEEE

Altro aspetto. Se perdiamo la chiave privata o dimentichiamo la password siamo fregati. quindi voglio pensare a due cose:
- fare un certificato per revocare la mia chiave pubblica e tenerla in qualche posto sicuro
- tenere copia di backup di quella privata

Sì, la guida che avevo letto suggeriva proprio la creazione del certificato di revoca SUBITO dopo la creazione della chiave pubblica, proprio perché altrimenti poi uno se lo dimentica ed è spacciato!

Non vorrei prendere una cantonata, ma se non ricordo male al raduno passato ho avuto Lysor per cena....seduto di fronte, non nel senso che l'ho mangiato! Quindi teoricamente anche lui lo conosco, per cui per suo tramite potrei arrivare a fidarmi persino di Mano!!!

Se non ricordo male (ora non ho tempo di cercare) mi pare che insieme alle chiavi pubbliche sul keyserver dovrebbe esserci l'informazione su chi le ha firmate, ricordo anche qualcosa relativo all'affidabilità del "firmatore". Nel senso che, per esempio, tu Mano puoi giudicare la scrupolosità dei controlli sulle firme applicate dagli altri (gli altri non potranno mai sapere quanto tu li reputi affidabili).
Per fare un esempio, Lysor potrebbe firmare la mia chiave pubblica, pubblicare il tutto sul keyserver, e la mia chiave così splenderà della sua bella firma acquisendo un'aura di "ufficialità".
Peccato che magari tu, Mano, conosci Lysor: sai benissimo che firmerebbe persino le impronte del tuo cane, e che non gli affideresti il tuo criceto per le vacanze!!!
In quel caso il fatto che Lysor abbia firmato la mia chiave pubblica ai tuoi occhi non è poi quella garanzia che uno si aspetterebbe. Visto che il Web of Trust si basa proprio sulla rigorosità dei controlli, è meglio che attendi che la mia chiave pubblica venga firmata anche da qualcun altro prima di riconoscerla come attendibile e firmarla a tua volta.

Quindi magari Beavis è pignolissimo e scrupolosissimo, sai che è talmente preciso che non firmerebbe MAI una chiave pubblica prima di aver conosciuto tutta la famiglia del proprietario della chiave, e che ne firma solo una all'anno perchè vuole essere SICURO di non essere fregato e quindi controlla tutto!
Se la mia chiave è firmata anche da lui, puoi star tranquillo che sono realmente io, e che esisto.

PS: finché non scoprirai che Beavis è un mio clone, oppure che è stato da me corrotto......

[Mano[FA]]

Finalmente ho trovato la pagina di wikipedia che spiega il principio della comunicazioni a chiave pubblica e privata con esempi reali e numeri piccoli!

Illuminante.

Sul fronte web of trust invece?
Lysor, sei l'anello mancante, abbiamo bisogno di te per capire come funziona il sistema! Non puoi abbandonarci in questo momento difficile! Fatti vivo!

[Lysor_o.O]

In realtà il web of trust lo conosco ben poco... All'università c'erano 2 corsi sulla crittografia, il primo l'ho fatto ma il discorso dei certificati, Certificate Authority, PKI ecc è stato solo accennato, l'argomento principale erano le basi matematiche della crittografia, a partire dal cifrario di Cesare fino ad arrivare a RSA, scambio di Diffie-Hellman, e cose simili; l'altro corso l'ho saltato allegramente (e se non sbaglio ho dovuto pure presentare un piano di studi non standard per riuscirci... Come dire che ci tenevo tanto a saltarlo!) perché ho preferito concentrarmi su altro.

Comunque, per quel poco che può servire, questo è il sito dove il mio professore raccoglie il materiale: http://www.ictc.it/decina/
Ci sono un sacco di fogli scritti a mano e scannerizzati (e quindi una roba illeggibile, per lo più...) ma c'è anche qualcosa fatto bene, pulito e ordinato: per esempio i lucidi di Forzieri (cercate il nome nella pagina). Nel file chiamato "Autenticazione in rete" ci sono anche un paio di slide dedicate al web of trust... Ma due di numero!

Altrimenti, a suo tempo mi era stato consigliato questo libro: http://www.cacr.math.uwaterloo.ca/hac/
Ma non l'ho mai guardato più di tanto, e non saprei bene cosa dirvi.

Sinceramente non so quanto questi link possano risultare utili.

[Mano[FA]]

No no Lysor, ci frega niente di quello che hai studiato. Ci serve che tu ti faccia un paio di chiavi, ci assicuriamo via teamspeak e/o Bnet che la tua chiave sia la tua, la firmiamo, poi tu incontri mirino al raduno e fate la stessa roba e vediamo il tutto come funza. E famo 'na web of trust di 3! Fiiiikkoooooooooooooooo

non sei eccitato da fare da tramite??

[Beavis]

Qui si continua a parlare di me vedo.
Ho ripreso possesso del mio pc, ma ho poco tempo.
Giuro che in questo fine settimana ci provo.
Per velocizzare le cose mi consigliate un programma per windows veloce e facile da installare?

[Mano[FA]]

GPG consiglia GPG4win.

Io l'ho installato sulla partizione windows per gestire le mie chiavi. E' in inglese, ma non devi leggere e capire tomi di istruzioni...

Se siamo in tre e' meglio che in due. Il motivo per cui spero di convincere Lysor e' perche' e' l'unico di cui consco l'esistenza fisica e di cui riconosco la voce e lo stile di gioco. Solo lui fa banelings senza passare dai lings.

[Beavis]

GPG consiglia GPG4win.

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2.0.17 (MingW32)
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=ft5+
-----END PGP MESSAGE-----

Sto usando GPA per gestire le chiavi, codificare e decodificare... faccio giusto?
Kleopatra invece è per i file?

EDIT: ah no kleopatra e gpa sono equivalenti, solo che del primo non trovo come codificare i messagi di testo per cui credo userò il secondo

[Lysor_o.O]

Vedremo, dai. Intanto toglietemi una curiosità: per la cifrature del messaggio come si fa, si copia il testo dentro questo programma e poi si prende l'output e lo si copia nel testo di una mail? Insomma, un approccio "manuale" ma del resto compatibile con qualunque gestore, client (o web mail)? Oppure GPG include anche un client email, e bisogna per forza usare quello? Nel caso, va usato con un indirizzo particolare o se ne può usare uno qualunque?

Per venire diritto al punto: è possibile usare GPG con Gmail e interfaccia web? Sorry se ne avete già parlato, ma non ho voglia di rileggere tutto...

Ah, forse non ci riguarda direttamente ma visto che siamo in tema... http://www.tomshw.it/cont/news/200-cert ... 248/1.html

[Mano[FA]]

Beavis: messaggio ricevuto e aperto correttamente. Dovresti pero' farci avere la tua chiave pubblica in modo che possiamo mandarti messaggi cifrati e verificare le tue firme digitali (il messaggio che mi hai mandato era firmato).

Lysor: puoi fare come dici, cifrare e fare copia incolla (qui per esempio). Per mandare email, buona parte dei client supportano pgp. Io ho provato con Evolution (client default in Ubuntu) ed e' molto comodo. Al messaggio aggiunge dei "timbri" che ti dicono che il messaggio firmato e in diversi colori quanto ti fidi della firma.
Purtroppo i client web non hanno supporto. Almeno Gmail, ma a quanto pare nessuno che io sappia. Immagino sia dovuto dal fatto che Gmail vuole avere le email in chiaro per poter mettere pubblicita' mirata.

[Beavis]

Ecco vedi avevo capito male.
Pensavo che la firma contenesse la mia chiave pubblica e invece è da verificare con la chiave pubblica.
Quindi metterla in un messaggio cifrato non serve a un tubo perché se lo hai aperto hai già verificato che sono io

[Beavis]

Stavo rileggendo a spizzichi e bocconi i vostri post e... cosa vuole dire "firmarsi al chiave"?

Cioè non ho capito cosa intendete fare e a cosa serve

P.s: caso mai ci sono pure io al raduno eh