gnupg-doc 2003.04.06+dak1-1ubuntu1 / usr / share / doc / gnupg-doc / mini-HOWTO / it / GPGMiniHowto-3.html

This file is indexed.

/usr/share/doc/gnupg-doc/mini-HOWTO/it/GPGMiniHowto-3.html is in gnupg-doc 2003.04.06+dak1-1ubuntu1.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below. 

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.69">
 <TITLE>GNU Privacy Guard (GnuPG) Mini Howto (italiano): Uso delle chiavi</TITLE>
 <LINK HREF="GPGMiniHowto-4.html" REL=next>
 <LINK HREF="GPGMiniHowto-2.html" REL=previous>
 <LINK HREF="GPGMiniHowto.html#toc3" REL=contents>
</HEAD>
<BODY>
<A HREF="GPGMiniHowto-4.html">Next</A>
<A HREF="GPGMiniHowto-2.html">Previous</A>
<A HREF="GPGMiniHowto.html#toc3">Contents</A>
<HR>
<H2><A NAME="GPG-Minihowto-Key"></A> <A NAME="s3">3.</A> <A HREF="GPGMiniHowto.html#toc3">Uso delle chiavi</A></H2>


<H2><A NAME="ss3.1">3.1</A> <A HREF="GPGMiniHowto.html#toc3.1">Creare una chiave</A>
</H2>


<P>Con 
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-key
</PRE>
</CODE></BLOCKQUOTE>
 
verrà creata una nuova coppia di chiavi (una pubblica e una privata).
Il primo problema è quale algoritmo usare: maggiori informazioni sugli
algoritmi si trovano nella 
<A HREF="http://www.scramdisk.clara.net/pgpfaqfs.html">PGP DH vs. RSA FAQ</A> o in 
<A HREF="GPGMiniHowto-7.html#BSchneier">Applied Cryptography</A>.
La scelta predefinita (e la più usata) è quella di usare l'algoritmo 
DSA/ElGamal, che non è brevettato.</P>

<P>Il secondo problema è la lunghezza della chiave. In questo caso la scelta
dipende dalle preferenze dell'utente tra sicurezza e tempo di calcolo: se
una chiave è lunga, diminuisce il rischio di decifrare abusivamente un messaggio 
intercettato, ma aumenta il tempo di calcolo per cifrare e decifrare.
Se si è preoccupati per il tempo di calcolo, ma si ha intenzione di usare la
chiave per un periodo di tempo abbastanza lungo, si tenga conto dell'aumento di
prestazioni dei processori, che diventano sempre più veloci.
La lunghezza minima per una chiave GnuPG è di 768 bit; la lunghezza standard
per le chiavi DSA è di 1024 bit, anche se molti raccomandano di usare chiavi 
da 2048 bit (che al momento è anche la lunghezza massima supportata da
GnuPG). Se la sicurezza è il fattore di gran lunga più importante, è
consigliabile scegliere la massima lunghezza di chiave disponibile.</P>

<P>Successivamente, il sistema chiederà di inserire nomi, commenti e indirizzi
e-mail, che verranno usati per la costruzione della chiave; questi potranno
essere modificati in parte anche successivamente, si veda la sezione
<A HREF="#GPG-Minihowto-KPAdministration">Amministrazione delle chiavi</A>.</P>

<P>Infine, occorre scegliere una password (di solito si usa il termine
"passphrase", frase segreta, visto che sono ammessi gli spazi), che andrà
immessa ogni volta che si useranno funzionalità che richiedono la chiave
privata.  Una buona passphrase ha le seguenti caratteristiche:
<UL>
<LI>è lunga</LI>
<LI>contiene caratteri speciali (non alfanumerici)</LI>
<LI>è una "parola" speciale (non un nome)</LI>
<LI>è molto difficile da indovinare (quindi niente nomi, date di nascita,
numeri di telefono o di carta di credito, nomi di bambini, ecc.)</LI>
</UL>

Si può migliorare la sicurezza anche usando Le MAiusCOLe aLTernATe allE
mInusCOLe. Nello scegliere la passphrase, assicurarsi di NON DIMENTICARLA:
se succedesse, non sarebbe più possibile usare la propria
chiave privata, ad esempio per leggere i messaggi ricevuti.
È cosa saggia anche generare un certificato che contiene queste informazioni
(e conservarlo con cura in un luogo sicuro). Si veda la sezione
<A HREF="#GPG-Minihowto-Revoke">Revocare una chiave</A>.</P>

<P>Dopo aver immesso tutti i dati, il sistema inizerà a generare le chiavi.
Questa operazione richiederà un po' di tempo, durante il quale il sistema
deve raccogliere molti dati casuali. Si può aiutare a generare dati casuali
ad esempio lavorando su un'altra finestra. Ogni chiave generata è diversa
dalle altre: se si genera una chiave e dopo cinque minuti se ne genera
un'altra fornendo gli stessi dati (nome, email, passphrase, ecc.), si otterrà
una chiave diversa. Ecco perchè è importante non dimenticarsi la passphrase.</P>


<H2><A NAME="ss3.2">3.2</A> <A HREF="GPGMiniHowto.html#toc3.2">Esportare le chiavi</A>
</H2>


<P>Il comando per esportare la chiave di un utente è:
<BLOCKQUOTE><CODE>
<PRE>
gpg --export [UID]
</PRE>
</CODE></BLOCKQUOTE>

Se non si indica un UID (User ID), verranno esportate tutte le chiavi
presenti nel portachiavi. L'output predefinito è lo <CODE>stdout</CODE>, ma è
possibile dirigere l'output su un file usando l'opzione <CODE>-o</CODE>.
In molti casi è consigliabile usare l'opzione <CODE>-a</CODE> per scrivere la
chiave in un file ASCII a 7 bit, invece che in un file binario.</P>

<P>Per allargare il proprio orizzonte e permettere ad altri di inviare
messaggi in modo sicuro, occorre esportare la propria chiave pubblica e
pubblicarla sulla propria home page, o tramite finger, oppure caricarla su
un key server come http://www.pca.dfn.de/dfnpca/pgpkserv/, o ancora usando
altri metodi.</P>

<H2><A NAME="ss3.3">3.3</A> <A HREF="GPGMiniHowto.html#toc3.3">Importare le chiavi</A>
</H2>


<P>Quando si riceve la chiave pubblica di qualcuno, prima di usarla occorre
importarla nel proprio portachiavi (si può farlo anche per più di una chiave
alla volta). Il comando è il seguente:
<BLOCKQUOTE><CODE>
<PRE>
gpg --import [nomefile]
</PRE>
</CODE></BLOCKQUOTE>

se si omette il nome del file, i dati verranno letti dallo <CODE>stdin</CODE>.</P>

<H2><A NAME="GPG-Minihowto-Revoke"></A> <A NAME="ss3.4">3.4</A> <A HREF="GPGMiniHowto.html#toc3.4">Revocare una chiave</A>
</H2>

<P>Ci sono vari motivi per voler revocare una chiave esistente, ad esempio se
la chiave privata è stata smarrita o è caduta nelle mani sbagliate, oppure se
non si vuole più usare lo stesso UID, oppure se la lunghezza della chiave non è
più sufficiente, ecc.
In tutti questi casi, il comando per revocare la chiave è:
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-revoke
</PRE>
</CODE></BLOCKQUOTE>

che genera un certificato di revoca.
<EM>Per poter fare questo occorre la chiave privata</EM>, altrimenti
chiunque potrebbe revocare la chiave. Questo ha uno svantaggio: se si
dimentica la passphrase, la chiave diventa inutilizzabile e non è neanche
possibile revocarla! Per evitare questo inconveniente, è buona norma creare
un certificato di revoca non appena si genera la chiave; esso andrà
conservato in un luogo sicuro (può essere salvato su disco, su carta, ecc.),
badando che non cada nelle mani sbagliate, altrimenti qualcun altro potrebbe
revocare la chiave rendendola inutilizzabile.</P>

<H2><A NAME="GPG-Minihowto-KPAdministration"></A> <A NAME="ss3.5">3.5</A> <A HREF="GPGMiniHowto.html#toc3.5">Amministrazione delle chiavi</A>
</H2>


<P>Il sistema GnuPG comprende dei file che servono per immagazzinare tutte le
informazioni che accompagnano le chiavi (tutte tranne i valori di fiducia nel
proprietario della chiave: per maggiori informazioni in proposito si veda la 
sezione 
<A HREF="#GPG-Minihowto-KSigning">Firmare le chiavi</A>).
Con
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-keys
</PRE>
</CODE></BLOCKQUOTE>

verranno mostrate tutte le chiavi esistenti. Per vedere anche le firme, si
usi:
<BLOCKQUOTE><CODE>
<PRE>
 gpg --list-sigs 
</PRE>
</CODE></BLOCKQUOTE>
 
(si veda la sezione 
<A HREF="#GPG-Minihowto-KSigning">Firmare le chiavi</A> per maggiori informazioni). 
Per vedere le impronte digitali si usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --fingerprint 
</PRE>
</CODE></BLOCKQUOTE>

Vedere le impronte digitali (&#34;Fingerprint&#34;) serve ad assicurarsi
che la chiave appartenga davvero alla persona che sostiene di esserne il
proprietario (ad esempio al telefono). L'output di questo comando è una
breve lista di numeri.</P>
<P>Per vedere la lista delle chiavi private si usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-secret-keys
</PRE>
</CODE></BLOCKQUOTE>
 
Si noti che non ha alcuna utilità vedere firme o impronte digitali di chiavi
private.</P>
<P>Per cancellare una chiave pubblica si usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --delete-key UID 
</PRE>
</CODE></BLOCKQUOTE>

Per cancellare una chiave privata si usi:
<BLOCKQUOTE><CODE>
<PRE>
 gpg --delete-secret-key 
</PRE>
</CODE></BLOCKQUOTE>
 </P>
<P>C'è un altro comando importante per la gestione delle chiavi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --edit-key UID
</PRE>
</CODE></BLOCKQUOTE>

Usando questo comando è possibile modificare (tra le altre cose) la data di
scadenza di una chiave, aggiungere UID o firmare una chiave (ovviamente per
questo è necessaria la propria passphrase). Dopo aver eseguito il comando
--edit-key si otterrà un prompt interattivo da cui digitare i comandi
successivi.</P>

<H2><A NAME="GPG-Minihowto-KSigning"></A> <A NAME="ss3.6">3.6</A> <A HREF="GPGMiniHowto.html#toc3.6">Firmare le chiavi</A>
</H2>


<P>Come accennato nell'introduzione, il principale tallone d'Achille del
sistema è l'autenticità delle chiavi pubbliche: se si usa una chiave
pubblica contraffatta si può dire addio alla crittografia sicura.
Per evitare questo rischio, c'è la possibilità di firmare le chiavi, ossia
di porre la propria firma digitale sulla chiave, certificandone la validità.
In pratica, la firma certifica che lo user ID menzionato nella chiave 
corrisponde alla persona che possiede la chiave. Una volta che si è
certi di questo, si può usare la chiave in tutta sicurezza.</P>

<P>Per firmare una chiave, si usi il comando <CODE>gpg --edit-key UID</CODE> e
successivamente il comando <CODE>sign</CODE>.</P>

<P><EM>Bisogna firmare una chiave solo quando si è ASSOLUTAMENTE CERTI della
sua autenticità!!!</EM>
Questa condizione può verificarsi quando si è ricevuta la chiave direttamente 
da una persona (ad esempio durante un "key signing party", un raduno per la
firma delle chiavi) o quando la si è ricevuta per altri mezzi e se ne è
controllata l'autenticità col metodo dell'impronta digitale (ad esempio al
telefono). Non si dovrebbe mai firmare una chiave a priori.</P>

<P>GnuPG calcola la validità delle chiavi basandosi sulle firme disponibili e
sui valori di fiducia nel proprietario (&#34;ownertrust&#34;).
La fiducia nel proprietario di una chiave rappresenta la fiducia che si ripone 
nella capacità del proprietario di firmare correttamente altre chiavi. 
I valori possibili sono:
<UL>
<LI> 1 = Indefinito</LI>
<LI> 2 = Nessuna fiducia</LI>
<LI> 3 = Fiducia marginale</LI>
<LI> 4 = Fiducia completa</LI>
</UL>

Così, se non si ha fiducia nel proprietario di una chiave, le eventuali
firme apposte da quest'ultimo su un'altra chiave veranno ignorate durante
il calcolo del valore di validità della chiave.
Le informazioni sulla fiducia non sono immagazzinate negli stessi file che
contengono le chiavi, ma in un file separato.</P>

<HR>
<A HREF="GPGMiniHowto-4.html">Next</A>
<A HREF="GPGMiniHowto-2.html">Previous</A>
<A HREF="GPGMiniHowto.html#toc3">Contents</A>
</BODY>
</HTML>

APT Browse - Built by Thomas Orozco.