Laboratorio di crittografia

PC che si scaldano, programmi che si rompono, trucchi che... ZOT!
User avatar
Mano[FA]
oO Team
oO Team
Posts: 2163
Joined: 24/10/2004 15:47
Location: UK

Laboratorio di crittografia

Post by Mano[FA] » 29/06/2011 17:55

"Hell, it's about time"

Ho deciso. E' giunto il momento.
Da parecchio tempo penso dovrei imparare e utilizzare la crittografia e strumenti collegati. voglio imparare un paio di cose

- Mandare e ricevere messaggi/files che solo destinatario e mittente possano leggere/visualizzare.
- Firmare e autenticare messaggi in modo che sia certo e sicuro chi spedisce e chi legge.
- Esser in grado di utilizzare strumenti di anonimato (email anonime non tracciabili, navigazione anonima)
- Crittare interi filesystems
- stenografia (mandare contenuto entro altro contenuto. Per esempio del testo in un'immagine in modo che sia impossibile sapere che sto mandando messaggi crittati)
- e magari anche Freenet

Perche'? mah, in parte per un fascino intrinseco e interese personale. In parte perche' se mai un giorno ne avro' bisogno, probabilmnete non avro' il tempo di imparare. In parte perche' credo nel diritto all'anonimato e che ciascuno ha il diritto di difendersi dal "sistema" che lo spia costantemente. In parte perche' a volte vorrei aiutare associazioni tipo Wikileaks a difesa della liberta' di parola.

Quello che mi ha sempre un po' frenato e' che sempbra un po' complicato, con tante cose da fare contemporaneamente: paio di chiavi crittografiche, firma della chiave pubblica, autenticazione, gestione password… ma ormai mi sembra di avere abbastanza elementi per iniziare e, anche se non l'azzecco giusta al primo tentativo e comprometto la mia chiave privata o che diavolo, non e' la fine del mondo. Adesso non ne ho davvero bisogno, ma mi insegnera' tante cose in futuro.

E perche' lo scrivo qui? Semplice. Mi chiedo se qualcuno, tra voi, e' seriamente interessato, con calma e pazienza, ad una simile "avventura". aiutandoci c'e' piu' stimolo e motivazione, si impara di piu' ci si corregge...

Per chi e' curioso ma non ne sa niente, puo' provare a leggere il capitolo CRITTOGRAFIA di questo libro e cercare termini collegati su wikipedia.
http://www.ecn.org/kriptonite/kriptonite/index.php

Aspetto ansioso il vostro interesse

:luck: :pc:

User avatar
Beavis
Veteran
Veteran
Posts: 1363
Joined: 08/10/2005 15:18

Re: Laboratorio di crittografia

Post by Beavis » 29/06/2011 18:37

Io ci stò a imparare qualcosa.ù
Ho letto la prima parte del capitolo crittocrafia che hai linkato e mi ha incuriosito.

Non posso garantirmi come partner per fare decine di prove al giorno perchè leggere lunghi testi complicati (e capirli) mi risulta difficile in quanto la sera quando sono al pc ho dietro pargolo rompiscatole e meglie stressata da ansia pre trasloco che fanno tutto tranne che creare la pace adeguata per capire quello che c'è da capire :asd:
Però senza dubbio puoi contare su di me.

Direi che il primo passo è imparare a mandarci mail criptate con pgp no?
Monologhista doc :teach:

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Re: Laboratorio di crittografia

Post by Lysor_o.O » 29/06/2011 21:53

Un po' mi interessano i primi 2 punti (che sono quasi la stessa cosa, nel senso che se hai predisposto tutto per il punto 1, il punto 2 è praticamente automatico), ma devo ammettere che la voglia di sbattermi è davvero poca. Diciamo che mi piacerebbe avere la pappa pronta! :mrgreen:
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2163
Joined: 24/10/2004 15:47
Location: UK

Re: Laboratorio di crittografia

Post by Mano[FA] » 30/06/2011 18:12

OK. Iniziamo a risolvere i punti 1 e 2.
A quanto pare conviene usare GPG, un programma che usa lo standard OpenPGP. Esiste per le maggiori piattafomre (Linux, MacOSX e Windows) e dovrebbe avere un po' di utilities con le quali gestire il "keyring" e similia.

Ho trovato questo link che spiega ulteriormente come funziona la crittografia a chiavi pubbliche. Fermiamoci, per ora, a "Digital certificates esclusi"

Di una cosa non sono sicuro. Magari mi sapete confermare.

Per mandare un messaggio criptato devi farti dare la chiave pubblica del destinatario. Crittare. Ora solo la chiave privata del destinatario puo' decriptarla.
Per firmare, invece cripti con la chiave privata e chiunque puo' decriptare con quella pubblica essendo cosi' certo che l'hai criptata proprio tu. Ma lo STESSO paio di chiavi viene usato per criptare decriptare e firmare (che poi e' ancora criptare) Quindi se ho due chiavi S (privata) e P (pubblica) posso criptare con entrambe, ma ci vuole "l'altra" per decriptare? Giusto?

A me sembra cosi', ma non vorrei fare la prima cagata.

Prima di iniziare dovete pensare ad una frase segreta molto forte (come abbiamo discusso da un'altra parte) col quale criptare il keyring ("portachiave") in modo che sia sicura a starsene sull'hard disk o su una pennina usb o su dropbox, perche' dovremo portarcela appresso. Nel portachiave dovremmo poter tenere tutte le chiavi pubbliche di amici e conoscenti e una o, se vogliamo, piu' chiavi private nostre (credo)

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Re: Laboratorio di crittografia

Post by Lysor_o.O » 30/06/2011 20:01

Mano[FA] wrote:Di una cosa non sono sicuro. Magari mi sapete confermare.

Per mandare un messaggio criptato devi farti dare la chiave pubblica del destinatario. Crittare. Ora solo la chiave privata del destinatario puo' decriptarla.
Per firmare, invece cripti con la chiave privata e chiunque puo' decriptare con quella pubblica essendo cosi' certo che l'hai criptata proprio tu.
Fin qui è esatto.
Mano[FA] wrote:Ma lo STESSO paio di chiavi viene usato per criptare decriptare e firmare (che poi e' ancora criptare) Quindi se ho due chiavi S (privata) e P (pubblica) posso criptare con entrambe, ma ci vuole "l'altra" per decriptare? Giusto?
Qui invece non ti seguo... In generale tu non usi in una stessa operazione le tue due chiavi (pubblica e privata), tu usi sempre la tua privata con quella pubblica di un altro, sia per mandare che per ricevere. Entrambe le persone, insomma, devono usare la propria chiave privata e la chiave pubblica dell'altro.

Se usi la tua chiave privata per criptare un messaggio, poi lo puoi aprire solo con la tua pubblica, e viceversa. Se usi entrambe le tue chiavi sullo stesso messaggio, lo riporti alla versione in chiaro. In generale non è che ce n'è una per criptare e una per decriptare, anche perché l'operazione è di fatto la stessa.
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
Beavis
Veteran
Veteran
Posts: 1363
Joined: 08/10/2005 15:18

Re: Laboratorio di crittografia

Post by Beavis » 30/06/2011 21:41

No scusa io ho capito che quando ti spediscono un messaggio lo cripti con la chiave pubblica e solo la chiave segreta può decriptarlo, in questo modo tutti possono spedire messaggi che solo tu puoi leggere.

Quando invece firmi cripti con la chiave segreta e solo la tua chiave pubblica può decriptarlo, in questo modo solo tu puoi apporre una firma che tutti sono in grado di verificare.

Quindi si entrambe le chiavi sono in grado di criptare e decriptare, ma ovviamente in 2 modi differenti.
Monologhista doc :teach:

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Re: Laboratorio di crittografia

Post by Lysor_o.O » 30/06/2011 22:11

Sì, e non è quello che ho detto io?
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2163
Joined: 24/10/2004 15:47
Location: UK

Re: Laboratorio di crittografia

Post by Mano[FA] » 03/07/2011 19:40

Chiedo scusa, effettivamente mi sono espresso male, ma rileggendo sembra siamo tutti d'accordo.

Ora. Ecco la mia chiave pubblica!!! Non e' firmata ne niente. Esportata in ascii in modo da poter fare copia/incolla.

Fatemi sapere se riuscite ad importarla, criptare qualcosa e mandare il file all'indirizzo email che dovrebbe essere incluso nella chiave (se no, mettete allegato qui...)

Aspetto ansioso...


per scaricare la mia chiave pubblica andate qui e inserite ID D618C0DA

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Re: Laboratorio di crittografia

Post by mirino » 14/07/2011 23:56

Guarda Mano a me l'argomento interessa, e parecchio. Ho notato un mio vecchio post, che ovviamente sono incapace di linkare qui :dho: , in cui esprimevo questo concetto
L'argomento crittografia mi ha sempre incuriosito, e mi piacerebbe saperne di più. Visto che però non ho voglia di leggere a video, forse in futuro mi comprerò un libro.....spero di venirne a capo senza essere un mostro in matematica.
Beh, un paio di mesi fa ho passato un intero pomeriggio a documentarmi sulla storia degli apparecchi crittografici, sulla macchina Enigma utilizzata dai tedeschi nella seconda Guerra Mondiale e come venne forzata, sui metodi di digest (SHA, MD5, AES), crittografia a chiavi simmetriche/asimmetriche, robe così (giuro che non mi era mai capitato di documentarmi sulla crittografia a chiavi asimmetriche mentre ero in coda alla posta sbirciando su un misero display di un vecchio cellulare N70....).

Inoltre qualche mese fa per lavoro ho dovuto connettermi a macchine remote di un cliente sfruttando proprio tutta sta "pappardella" delle chiavi asimmetriche, pass-phrase, e compagnia bella, e mi sarebbe piaciuto saperne di più perchè senza l'aiuto di un collega non sarei stato in grado.

Mi incuriosirebbe anche comprendere l'aspetto matematico coinvolto nella crittografia, come i crittanalisti individuano potenziali debolezze negli algoritmi per provare a velocizzarne la forzatura, l'individuazione di potenziali ridondanze "letali" , ma questo non mi sarà possibile: troppo scarse le mie doti matematiche per tentare anche solo di comprendere studi del genere.

Nei prossimi giorni vedrò di rinfrescarmi un po' la memoria, e poi potremo provare a mandarci dei messaggi.

La mia fida Squeeze già scalpita! :ola:

User avatar
snuffz
Veteran
Veteran
Posts: 4381
Joined: 07/01/2003 14:09
Location: Torino
Contact:

Re: Laboratorio di crittografia

Post by snuffz » 15/07/2011 08:23

OT
Anni fa ho letto un bellissimo romanzo sulle macchine Enigma.
Image
http://it.wikipedia.org/wiki/Enigma_%28Robert_Harris%29
Ve lo consiglio, se vi interessa l'argomento (e si trova a pochissimi euro).

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2163
Joined: 24/10/2004 15:47
Location: UK

Re: Laboratorio di crittografia

Post by Mano[FA] » 15/07/2011 10:13

mirino wrote: Nei prossimi giorni vedrò di rinfrescarmi un po' la memoria, e poi potremo provare a mandarci dei messaggi.
dai dai! Mandami la tua chiave pubblica appena riesci.

Giusto ieri ho scaricato dei dati "sensibili" per cui ho dovuto firmare un modulo, mi hanno dato accesso ad un server ftp su connessione ssl e una volta scaricati... ho scoperto che sono criptati con gpg! Ho letto sul sito come decriptarli e devo richiedere la chiave che mi mandano per posta. Non posta elettronica, posta "snail"! Sono un pelo paranoici, ma immagino cerchino di minimizzare i rischi e rendere me responsabile dei dati. Che poi non so come li gestiro' visto che generalmente tali dati sono su un server a cui hanno accesso tutti. Li posso mettere in una cartella privata, ma quella e' tutta la "sicurezza" di cui dispongo...

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Re: Laboratorio di crittografia

Post by mirino » 15/07/2011 19:34

Oggi ho già studiato qualcosina, ho trovato un sito interessante con lo stretto indispensabile per cominciare qui

Qua su Gnome ho Seahorse, che è il front-end grafico per GPG, ma vorrei evitare di utilizzarlo per far pratica con la linea di comando.

Ho visto che in genere si dovrebbe poi configurare il client di posta per criptare automaticamente le mail con le chiavi ottenute, ma non avendo io un client di posta installato penso si possano inviare da una web mail qualsiasi, avendo cura di copincollare il testo criptato (almeno spero): magari così ce la facciamo ugualmente, sennò considererò di installare un client.

Nel weekend dovrei riuscire a mandarti la mia chiave pubblica.


Ah, mi incuriosisce anche la steganografia (si scrive così?), penso dovremmo solo concordare un'immagine "base" di riferimento, a cui aggiungere il "rumore" dei dati che si vogliono nascondere.
Poi potrei provare a criptare un filesystem, meglio criptare quello di una chiavetta USB che fare esperimenti con la mia / :laugh:

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Re: Laboratorio di crittografia

Post by mirino » 16/07/2011 01:34

Ecco qui la mia chiave pubblica, Mano.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=CB66
-----END PGP PUBLIC KEY BLOCK-----

A seguire un paio di messaggi criptati con la TUA chiave pubblica, che dovresti essere in grado di decriptare con la tua chiave privata (almeno stando ai "si dice").
Last edited by mirino on 16/07/2011 01:56, edited 1 time in total.

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Re: Laboratorio di crittografia

Post by mirino » 16/07/2011 01:55

E qui c'è il primo messaggio criptato, vediamo se riesci a decifrarlo.
Messaggio #1 (sono emozionato....)

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.10 (GNU/Linux)
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==
=Mqp8
-----END PGP MESSAGE-----

Dovrai metterlo in un file, non so però se deve avere estensione .asc o puoi anche non indicarla :il mio file criptato era generato come .asc, perché ho dovuto specificare che il risultato della codifica doveva generare un file ASCII.
Per ora lo lascio così, ma visto che il risultato della criptatur...criptazio....codifica può essere trasformato in file ASCII dovrebbe essere possibile comprimerlo e ridurlo veramente al minimo.

Ti linko un altro file, l'ho messo sotto Dropbox per passartelo perché è qualche centinaio di kb, voglio vedere se riesce ad essere decriptato anch'esso.
Messaggio #2
http://dl.dropbox.com/u/2000029/messaggio2.asc

NB: ho provato la compressione dei "messaggi PGP" criptati e non comprime granché: né gzip, né bzip2 sono riusciti a tirar fuori dimensioni accettabili (e meno male, vuol dire che non riesce a trovare dei "token" ripetuti o delle ridondanze particolari, PGP fa bene il suo lavoro allora....).

Fammi sapere se riesci a decifrare i due messaggi che ti ho mandato.
Ciao

User avatar
Beavis
Veteran
Veteran
Posts: 1363
Joined: 08/10/2005 15:18

Re: Laboratorio di crittografia

Post by Beavis » 16/07/2011 08:33

Io sto cercando un software per win possibilmente in italiano visto che capendoci poco e non conoscendo l'inglese proprio alla perfezione mi aiuterebbe.
Pensavo di trovarlo più facilmente :dho:
Monologhista doc :teach:

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2163
Joined: 24/10/2004 15:47
Location: UK

Re: Laboratorio di crittografia

Post by Mano[FA] » 16/07/2011 20:04

fiko fiko

messaggio aperto.
Spero che la seguente risposta ti convinca che il tuo messaggio l'ho aperto

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=tURO
-----END PGP MESSAGE-----

Allego anche questo file con ulteriore sfida che ti lascio scoprire. e' zippato perche' altrimenti non mi lascia caricare
rispostaMessaggio1.gpg.zip
(47.08 KiB) Downloaded 262 times
i messaggi esportati in ASCII (come i tuoi due e la mia prima risposta) sono tali che ignorano spazi e caratteri di a capo, cosi' come cio' che viene prima -----BEGIN PGP MESSAGE----- e dopo -----END PGP MESSAGE-----
cambiando un carattere del messaggio invece, ovviamente, da errore.

da quel che ne so io, PGP per prima cosa comprime il messaggio per ridurre lo spazio ma soprattutto per rendere piu' difficile la crittoanalisi. Anche per quello credo sia poco comprimibile. Comunque anche se non fosse compresso, dopo averlo criptato c'e' troppa entropia perche la compressione abbia senso.

L'estensione dei files e' solo una convenzione. Almeno in Linux.

Non mi e' chiaro perche' i due messaggi che hai spedito, pur essendo di simil grandezza una volta decrittati siano cosi' diversi criptati.

Infine, se riesci a decriptare senza problemi, passerei al secondo step: firma digitale.

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Re: Laboratorio di crittografia

Post by mirino » 17/07/2011 12:53

Ottimo, ho aperto entrambi gli allegati. Carino il fatto che Gnome, quando faccio doppio click su un messaggio con estensione .gpg (qui l'estensione c'entra, strano....) mi chieda direttamente la passphrase per decriptare il file. Se invece cambio l'estensione del file da .gpg a .txt non si fa troppi scrupoli e prova ad aprirlo con gedit, ma quello è perché probabilmente l'estensione (e non il tipo file) è associata con gedit.

Ho aperto i tuoi messaggi: chissà poi se la versione corretta è quella con "immensità" o "infinità". Chissà se abbiamo studiato a scuola quella che Leopardi voleva proprio che fosse la versione "definitiva".


A questo punto direi che possiamo passare alla firma digitale: con questo cosa intendi, di firmarci la chiave (Key-ID) per renderla più "affidabile" agli occhi del mondo? O un'altra cosa?

Curiosità: con il comando

Code: Select all

gpg --list-keys
si ottiene la lista delle chiavi memorizzate. Quelle pubbliche hanno l'indicazione nella prima colonna, PUB. Poi c'è la UID, e va bene. E poi SUB. Che significa SUB? Symmetric-qualcosa? Non sono riuscito a trovare info in merito, ci provo nel pomeriggio, ciao

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2163
Joined: 24/10/2004 15:47
Location: UK

Re: Laboratorio di crittografia

Post by Mano[FA] » 17/07/2011 16:29

mirino wrote:Ottimo, ho aperto entrambi gli allegati. Carino il fatto che Gnome, quando faccio doppio click su un messaggio con estensione .gpg (qui l'estensione c'entra, strano....)
Si hai ragione. le estensioni c'entrano nel senso che il sistema operativo guarda all'estensione per indovinare cosa vuoi farci. Se invece usi riga di comando qualunque file dai in pasto a gpg lui prova a criptarlo/decriptarlo o cosa gli hai detto di fare.
mirino wrote:A questo punto direi che possiamo passare alla firma digitale: con questo cosa intendi, di firmarci la chiave (Key-ID) per renderla più "affidabile" agli occhi del mondo? O un'altra cosa?
mhhh... non penso sia saggio firmarci la chiave. Bisogna imparare ad essere paranoici. Per quel che ne sappiamo, potrebbe essere che il malifico 7ede abbia copiato le nostre chiavi pubbliche e subito sostituito con le sue. Essendo admin lo puo' fare. Lui intercetta i nostri messaggi, li legge e li riencripta con le nostre chiavi pubbliche e sostituisce link e testi sul sito. Per cui io CREDO di avere la tua chiave pubblica e tu CREDI di avere la mia, ma abbiamo quelle del malefico 7ede. Se noi ci firmiamo le nostre chiavi gli facciamo un favore perche' diamo maggiore autorevolezza alle sue chiavi farlocche.
Un modo per verificare se e' cio' che sta facendo, potremmo criptare con le chiavi che abbiamo e mandarci via email o su un altro sito di cui lui non e' admin etc etc. Sebbene il malefico 7ede sia potentissimo e sappia craccare google e molti altri siti, un giorno non sara' piu' vigile. Se le chiavi pubbliche continuano a mettere in comunicazione noi, dovrebbero essere autentiche.
Da quel che ne so, l'unico modo vero per aggirare questo problema e' scambiarci le chiavi di persona, o avere una rete di persone davvero fidate che ci "unisca". Tipo, potebbe essere che io mi faccio firmare la mia chiave da ZioFester la prossima volta che lo trovo e lui firma la tua al raduno. Solo che ZioFester non sa nulla di chiavi firmate e non so se viene al raduno...
Oppure ci si fa certificare da un organo indipendente. Solo che dubito qualcuno certifichi che io sono "Mano" ;)

Quello a cui stavo pensando, era di rendere la vita del malefico 7ede (o altri intercettarori) piu' difficile. Se io appongo la mia firma a ciascun messaggio che scrivo, la vita del malefico 7ede diventa piu' difficile e, soprattutto, quando tra 2 anni il Bepi si chiedera' se chi scrive questo messaggio e' lo stesso 'Mano' che scrive e firma i messaggi del 2013, potra' verificarlo.
Meglio ancora, se il malefico 7ede modifica i miei messaggi (ad esempio sostituendo 'malefico' con 'altissimo') la firma non sarebbe piu' valida.
Quelle pubbliche hanno l'indicazione nella prima colonna, PUB. Poi c'è la UID, e va bene. E poi SUB. Che significa SUB? Symmetric-qualcosa? Non sono riuscito a trovare info in merito, ci provo nel pomeriggio, ciao
Non se nono sicuro, e vado a intuizione, ma credo sia la chiave simmetrica che effettivamente cripta il messaggio. La chiave privata cripta la chiave simmetrica per ragioni di efficienza (la chiave privata e' immensamente piu' grossa perche' deve avere la funzionalita' "magica" di criptare in una sola direzione)

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Re: Laboratorio di crittografia

Post by mirino » 17/07/2011 16:59

Maledettissimo e malefico 7ede, la prossima volta che lo becco di persona gli dico quel che si merita!!!
Da quel che ne so, l'unico modo vero per aggirare questo problema e' scambiarci le chiavi di persona, o avere una rete di persone davvero fidate che ci "unisca". Tipo, potebbe essere che io mi faccio firmare la mia chiave da ZioFester la prossima volta che lo trovo e lui firma la tua al raduno. Solo che ZioFester non sa nulla di chiavi firmate e non so se viene al raduno...
Sì, penso tu ti stia riferendo al concetto di "Web of trust".

Ok, superato il discorso di trasmettersi delle informazioni criptate (e abbiamo visto che riusciamo a farlo), visto che non disponiamo di Web of trust e non disponiamo di carta di identità con su scritto "Mirino", o "Mano", documento che tra l'altro farebbe la fortuna dei ladri di identità, passiamo al punto successivo.

Firmare le informazioni che ci inviamo in modo che io possa essere sicuro che tu sei tu, e soprattutto che io sono io, e non il malefico 7ede che si spaccia per me per sabotare i nostri proficui esperimenti!

PS: ehm, sto aggiornando la mia Debian, se non spacco tutto penso che riusciremo a firmare le mail.......se non spacco tutto tra apt-get, aptitude e quant'altro.... :cry:

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Re: Laboratorio di crittografia

Post by mirino » 19/07/2011 20:01

Rieccomi per una nuova ed entusiasmante puntata di questo "laboratorio di crittografia".
Quello che segue è un messaggio che è stato firmato con la mia chiave privata grazie al comando:

Code: Select all

gpg --clearsign
In questo caso la firma è apposta di seguito alla mail, nella prossima puntata vedremo di passarla "a parte" (detached).
Se lo firmo, e se tutto va come deve, il perfido Maloghigno non potrà modificarlo a nostra insaputa.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao, questo è un messaggio firmato.
Se lo firmo, e se tutto va come deve, il perfido Maloghigno non potrà modificarlo a nostra insaputa.

Ma attenzione a non sottovalutarlo...

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iQEcBAEBAgAGBQJOJcV7AAoJEP6nWaVmVlAK31YH/29BVIN/80ixQlSPF6Q0e3Kr
SWT8TjH0VCFcAmU9KVzg7QMzODEf5yhi6erU4d9leDvZhxZIvJlrXVmgtZBS6hKs
dpYsa6yAT18cVT/7aeTavRlXVvslWSg43Brj5gFVBip0TtcEF4Yf1WEWW9BXnUkj
A0bWgrNNPYDrkxsy3JVxadvgjSrBW5mEJ0mkkQcRVJtBPkFxVn8kf+zhku6K8Ky8
3sF+kJyP1PYtA7wkgsHsYlnI/391qXnUWJAmocx++B3pxeevA86RJ+Ho6swEzxxi
eTB4CylzSXA4DJV0V86ZBk+6zeubYM+37Qovw2sC3gbDwqmf3h6o25ajjJRfeCw=
=xrcw
-----END PGP SIGNATURE-----

Dovresti essere in grado di verificarlo con il comando:

Code: Select all

gpg --verify <nome_documento_che_contiene_il_testo_qui_sopra>
Questo perché la firma di un documento è diversa dal discorso codifica/decodifica: la firma avviene con la chiave privata, e chi riceve il messaggio può verificarlo con la chiave pubblica

Post Reply

Who is online

Users browsing this forum: No registered users and 5 guests