/usr/share/doc/gnupg-doc/mini-HOWTO/it/GPGMiniHowto-3.html is in gnupg-doc 2003.04.06+dak1-1ubuntu1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.69">
<TITLE>GNU Privacy Guard (GnuPG) Mini Howto (italiano): Uso delle chiavi</TITLE>
<LINK HREF="GPGMiniHowto-4.html" REL=next>
<LINK HREF="GPGMiniHowto-2.html" REL=previous>
<LINK HREF="GPGMiniHowto.html#toc3" REL=contents>
</HEAD>
<BODY>
<A HREF="GPGMiniHowto-4.html">Next</A>
<A HREF="GPGMiniHowto-2.html">Previous</A>
<A HREF="GPGMiniHowto.html#toc3">Contents</A>
<HR>
<H2><A NAME="GPG-Minihowto-Key"></A> <A NAME="s3">3.</A> <A HREF="GPGMiniHowto.html#toc3">Uso delle chiavi</A></H2>
<H2><A NAME="ss3.1">3.1</A> <A HREF="GPGMiniHowto.html#toc3.1">Creare una chiave</A>
</H2>
<P>Con
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-key
</PRE>
</CODE></BLOCKQUOTE>
verrà creata una nuova coppia di chiavi (una pubblica e una privata).
Il primo problema è quale algoritmo usare: maggiori informazioni sugli
algoritmi si trovano nella
<A HREF="http://www.scramdisk.clara.net/pgpfaqfs.html">PGP DH vs. RSA FAQ</A> o in
<A HREF="GPGMiniHowto-7.html#BSchneier">Applied Cryptography</A>.
La scelta predefinita (e la più usata) è quella di usare l'algoritmo
DSA/ElGamal, che non è brevettato.</P>
<P>Il secondo problema è la lunghezza della chiave. In questo caso la scelta
dipende dalle preferenze dell'utente tra sicurezza e tempo di calcolo: se
una chiave è lunga, diminuisce il rischio di decifrare abusivamente un messaggio
intercettato, ma aumenta il tempo di calcolo per cifrare e decifrare.
Se si è preoccupati per il tempo di calcolo, ma si ha intenzione di usare la
chiave per un periodo di tempo abbastanza lungo, si tenga conto dell'aumento di
prestazioni dei processori, che diventano sempre più veloci.
La lunghezza minima per una chiave GnuPG è di 768 bit; la lunghezza standard
per le chiavi DSA è di 1024 bit, anche se molti raccomandano di usare chiavi
da 2048 bit (che al momento è anche la lunghezza massima supportata da
GnuPG). Se la sicurezza è il fattore di gran lunga più importante, è
consigliabile scegliere la massima lunghezza di chiave disponibile.</P>
<P>Successivamente, il sistema chiederà di inserire nomi, commenti e indirizzi
e-mail, che verranno usati per la costruzione della chiave; questi potranno
essere modificati in parte anche successivamente, si veda la sezione
<A HREF="#GPG-Minihowto-KPAdministration">Amministrazione delle chiavi</A>.</P>
<P>Infine, occorre scegliere una password (di solito si usa il termine
"passphrase", frase segreta, visto che sono ammessi gli spazi), che andrà
immessa ogni volta che si useranno funzionalità che richiedono la chiave
privata. Una buona passphrase ha le seguenti caratteristiche:
<UL>
<LI>è lunga</LI>
<LI>contiene caratteri speciali (non alfanumerici)</LI>
<LI>è una "parola" speciale (non un nome)</LI>
<LI>è molto difficile da indovinare (quindi niente nomi, date di nascita,
numeri di telefono o di carta di credito, nomi di bambini, ecc.)</LI>
</UL>
Si può migliorare la sicurezza anche usando Le MAiusCOLe aLTernATe allE
mInusCOLe. Nello scegliere la passphrase, assicurarsi di NON DIMENTICARLA:
se succedesse, non sarebbe più possibile usare la propria
chiave privata, ad esempio per leggere i messaggi ricevuti.
È cosa saggia anche generare un certificato che contiene queste informazioni
(e conservarlo con cura in un luogo sicuro). Si veda la sezione
<A HREF="#GPG-Minihowto-Revoke">Revocare una chiave</A>.</P>
<P>Dopo aver immesso tutti i dati, il sistema inizerà a generare le chiavi.
Questa operazione richiederà un po' di tempo, durante il quale il sistema
deve raccogliere molti dati casuali. Si può aiutare a generare dati casuali
ad esempio lavorando su un'altra finestra. Ogni chiave generata è diversa
dalle altre: se si genera una chiave e dopo cinque minuti se ne genera
un'altra fornendo gli stessi dati (nome, email, passphrase, ecc.), si otterrà
una chiave diversa. Ecco perchè è importante non dimenticarsi la passphrase.</P>
<H2><A NAME="ss3.2">3.2</A> <A HREF="GPGMiniHowto.html#toc3.2">Esportare le chiavi</A>
</H2>
<P>Il comando per esportare la chiave di un utente è:
<BLOCKQUOTE><CODE>
<PRE>
gpg --export [UID]
</PRE>
</CODE></BLOCKQUOTE>
Se non si indica un UID (User ID), verranno esportate tutte le chiavi
presenti nel portachiavi. L'output predefinito è lo <CODE>stdout</CODE>, ma è
possibile dirigere l'output su un file usando l'opzione <CODE>-o</CODE>.
In molti casi è consigliabile usare l'opzione <CODE>-a</CODE> per scrivere la
chiave in un file ASCII a 7 bit, invece che in un file binario.</P>
<P>Per allargare il proprio orizzonte e permettere ad altri di inviare
messaggi in modo sicuro, occorre esportare la propria chiave pubblica e
pubblicarla sulla propria home page, o tramite finger, oppure caricarla su
un key server come http://www.pca.dfn.de/dfnpca/pgpkserv/, o ancora usando
altri metodi.</P>
<H2><A NAME="ss3.3">3.3</A> <A HREF="GPGMiniHowto.html#toc3.3">Importare le chiavi</A>
</H2>
<P>Quando si riceve la chiave pubblica di qualcuno, prima di usarla occorre
importarla nel proprio portachiavi (si può farlo anche per più di una chiave
alla volta). Il comando è il seguente:
<BLOCKQUOTE><CODE>
<PRE>
gpg --import [nomefile]
</PRE>
</CODE></BLOCKQUOTE>
se si omette il nome del file, i dati verranno letti dallo <CODE>stdin</CODE>.</P>
<H2><A NAME="GPG-Minihowto-Revoke"></A> <A NAME="ss3.4">3.4</A> <A HREF="GPGMiniHowto.html#toc3.4">Revocare una chiave</A>
</H2>
<P>Ci sono vari motivi per voler revocare una chiave esistente, ad esempio se
la chiave privata è stata smarrita o è caduta nelle mani sbagliate, oppure se
non si vuole più usare lo stesso UID, oppure se la lunghezza della chiave non è
più sufficiente, ecc.
In tutti questi casi, il comando per revocare la chiave è:
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-revoke
</PRE>
</CODE></BLOCKQUOTE>
che genera un certificato di revoca.
<EM>Per poter fare questo occorre la chiave privata</EM>, altrimenti
chiunque potrebbe revocare la chiave. Questo ha uno svantaggio: se si
dimentica la passphrase, la chiave diventa inutilizzabile e non è neanche
possibile revocarla! Per evitare questo inconveniente, è buona norma creare
un certificato di revoca non appena si genera la chiave; esso andrà
conservato in un luogo sicuro (può essere salvato su disco, su carta, ecc.),
badando che non cada nelle mani sbagliate, altrimenti qualcun altro potrebbe
revocare la chiave rendendola inutilizzabile.</P>
<H2><A NAME="GPG-Minihowto-KPAdministration"></A> <A NAME="ss3.5">3.5</A> <A HREF="GPGMiniHowto.html#toc3.5">Amministrazione delle chiavi</A>
</H2>
<P>Il sistema GnuPG comprende dei file che servono per immagazzinare tutte le
informazioni che accompagnano le chiavi (tutte tranne i valori di fiducia nel
proprietario della chiave: per maggiori informazioni in proposito si veda la
sezione
<A HREF="#GPG-Minihowto-KSigning">Firmare le chiavi</A>).
Con
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-keys
</PRE>
</CODE></BLOCKQUOTE>
verranno mostrate tutte le chiavi esistenti. Per vedere anche le firme, si
usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-sigs
</PRE>
</CODE></BLOCKQUOTE>
(si veda la sezione
<A HREF="#GPG-Minihowto-KSigning">Firmare le chiavi</A> per maggiori informazioni).
Per vedere le impronte digitali si usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --fingerprint
</PRE>
</CODE></BLOCKQUOTE>
Vedere le impronte digitali ("Fingerprint") serve ad assicurarsi
che la chiave appartenga davvero alla persona che sostiene di esserne il
proprietario (ad esempio al telefono). L'output di questo comando è una
breve lista di numeri.</P>
<P>Per vedere la lista delle chiavi private si usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-secret-keys
</PRE>
</CODE></BLOCKQUOTE>
Si noti che non ha alcuna utilità vedere firme o impronte digitali di chiavi
private.</P>
<P>Per cancellare una chiave pubblica si usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --delete-key UID
</PRE>
</CODE></BLOCKQUOTE>
Per cancellare una chiave privata si usi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --delete-secret-key
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>C'è un altro comando importante per la gestione delle chiavi:
<BLOCKQUOTE><CODE>
<PRE>
gpg --edit-key UID
</PRE>
</CODE></BLOCKQUOTE>
Usando questo comando è possibile modificare (tra le altre cose) la data di
scadenza di una chiave, aggiungere UID o firmare una chiave (ovviamente per
questo è necessaria la propria passphrase). Dopo aver eseguito il comando
--edit-key si otterrà un prompt interattivo da cui digitare i comandi
successivi.</P>
<H2><A NAME="GPG-Minihowto-KSigning"></A> <A NAME="ss3.6">3.6</A> <A HREF="GPGMiniHowto.html#toc3.6">Firmare le chiavi</A>
</H2>
<P>Come accennato nell'introduzione, il principale tallone d'Achille del
sistema è l'autenticità delle chiavi pubbliche: se si usa una chiave
pubblica contraffatta si può dire addio alla crittografia sicura.
Per evitare questo rischio, c'è la possibilità di firmare le chiavi, ossia
di porre la propria firma digitale sulla chiave, certificandone la validità.
In pratica, la firma certifica che lo user ID menzionato nella chiave
corrisponde alla persona che possiede la chiave. Una volta che si è
certi di questo, si può usare la chiave in tutta sicurezza.</P>
<P>Per firmare una chiave, si usi il comando <CODE>gpg --edit-key UID</CODE> e
successivamente il comando <CODE>sign</CODE>.</P>
<P><EM>Bisogna firmare una chiave solo quando si è ASSOLUTAMENTE CERTI della
sua autenticità!!!</EM>
Questa condizione può verificarsi quando si è ricevuta la chiave direttamente
da una persona (ad esempio durante un "key signing party", un raduno per la
firma delle chiavi) o quando la si è ricevuta per altri mezzi e se ne è
controllata l'autenticità col metodo dell'impronta digitale (ad esempio al
telefono). Non si dovrebbe mai firmare una chiave a priori.</P>
<P>GnuPG calcola la validità delle chiavi basandosi sulle firme disponibili e
sui valori di fiducia nel proprietario ("ownertrust").
La fiducia nel proprietario di una chiave rappresenta la fiducia che si ripone
nella capacità del proprietario di firmare correttamente altre chiavi.
I valori possibili sono:
<UL>
<LI> 1 = Indefinito</LI>
<LI> 2 = Nessuna fiducia</LI>
<LI> 3 = Fiducia marginale</LI>
<LI> 4 = Fiducia completa</LI>
</UL>
Così, se non si ha fiducia nel proprietario di una chiave, le eventuali
firme apposte da quest'ultimo su un'altra chiave veranno ignorate durante
il calcolo del valore di validità della chiave.
Le informazioni sulla fiducia non sono immagazzinate negli stessi file che
contengono le chiavi, ma in un file separato.</P>
<HR>
<A HREF="GPGMiniHowto-4.html">Next</A>
<A HREF="GPGMiniHowto-2.html">Previous</A>
<A HREF="GPGMiniHowto.html#toc3">Contents</A>
</BODY>
</HTML>
|