Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:tux:gpg [2009/09/16 11:21] – niccolo
+++ doc:appunti:linux:tux:gpg [2021/08/29 09:14] (current) – [Creazione della coppia chiavi pubblica/privata] niccolo
@@ Line 6: / Line 6: @@
 <code>
-gpg --gen-key
+gpg --full-generate-key
 </code>
 <code>
-DSA keypair will have 1024 bits.
+Please select what kind of key you want:
-ELG-E keys may be between 1024 and 4096 bits long.
+RSA and RSA
+RSA keys may be between 1024 and 4096 bits long.
 Requested keysize is 2048 bits
-Key is valid for? (0) 2y
+Key is valid for? (0) 3y
-Key expires at Fri 13 Jul 2007 02:42:12 PM CEST
+Real name: Niccolo Rigacci
-You selected this USER-ID:
+Email address: niccolo@rigacci.org
-    "Niccolo Rigacci <niccolo@rigacci.org>"
 </code>
 La chiave privata (protetta dalla passphrase) viene memorizzata in ''**~/.gnupg/secring.gpg**'', le chiavi pubbliche  in ''**~/.gnupg/pubring.gpg**''.
+Per pubblicare la propria chiave (la parte pubblica) su un server pubblico:
+<code>
+gpg --keyserver pgp.key-server.io --send-keys 58F28BB5
+</code>
 Questi i comandi per:
@@ Line 32: / Line 38: @@
 gpg --list-secret-keys
 </code>
+===== Pubblicazione su keys.openpgp.org =====
+Sul server **[[https://keys.openpgp.org/|keys.openpgp.org]]** è possibile pubblicare e cercare chiavi pubbliche. Esiste una procedura web che consente di caricare il file ASCII della chiave pubblica. Per impostazione predefinita non viene pubblicato l'indirizzo di posta elettronica associato, nel caso si voglia rendere trovabile la propria chiave cercandola per email, è necessario eseguire la procedura di verifica con invio di conferma allo stesso indirizzo email.
 ===== Firmare o criptare un documento =====
@@ Line 101: / Line 112: @@
 Importante lo switch **''%%-i%%''** che mostra le informazioni contenute nella chiave e chiede conferma prima di inserirla nel portachiavi.
-Esistono dei server pubblici dedicati allo scambio delle chiavi (pubbliche). Ad esempio con **[[http://wwwkeys.eu.pgp.net/|wwwkeys.eu.pgp.net]]** oppure **[[http://keyserver.veridis.com:11371/|keyserver.veridis.com]]** l'upload della chiave ASCII-armored viene fatta via web, poi si può fare la ricerca per parola chiave (nome, cognome, dominio mail, ...).
+Esistono dei server pubblici dedicati allo scambio delle chiavi (pubbliche). Ad esempio con **[[http://pgp.key-server.io/|pgp.key-server.io]]** oppure **[[https://pgp.mit.edu/|pgp.mit.edu]]** l'upload della chiave ASCII-armored viene fatta via web, poi si può fare la ricerca per parola chiave (nome, cognome, dominio mail, ...).
 Per installare nel proprio portachiavi una chiave presa dal server in questione si può prelevare il file ASCII-armored ed effettuare l'''**%%--import%%**'', uppure usare l'opzione ''**%%--recv-keys%%**'' vista in precedenza per prelevare la chiave direttamente via rete. Non è necessario neanche specificare l'opzione ''**%%--keyserver%%**'', forse perché si tratta dello stesso circuito **pgp.net**?
@@ Line 109: / Line 120: @@
 <code>
 gpg --keyserver minsky.surfnet.nl --recv-keys 111FA57C
+</code>
+===== Copia di una chiave privata =====
+Con questa procedura si può copiare una chiave privata da un host ad un altro. Per prima cosa si elencano le chiavi private e si prende nota dell'ID della chiave da esportare:
+<code>
+gpg --list-secret-keys
+</code>
+Quindi si salva in un file il **PRIVATE KEY BLOCK** (quasi certamente la chiave privata è protetta da password, che viene chiesta durante la procedura di esportazione):
+<code>
+touch private.key
+chmod 640 private.key
+gpg --armor --export-secret-keys 8364FCC486877E37A39B7D5D01526646275E281D > private.key
+</code>
+Dopo aver copiato il file sul nuovo host, si esegue (viene chiesta nuovamente la password che protegge la chiave):
+<code>
+gpg --import private.key
+</code>
+La chiave privata viene salvata nel keyring, si può verificare con **%%gpg --list-secret-keys%%**. La chiave resta **cifrata** con la password che aveva in origine.
+===== Cifrare/decifrare un file da riga di comando =====
+<code>
+gpg --encrypt <filename>
+gpg --decrypt <filename>.gpg
+</code>
+Vengono chiesti gli ID dei destinatari. Per ogni destinatario aggiunto il file cresce di pochi byte.
+Per produrre un file criptato, ma in formato ASCII:
+<code>
+gpg --armor --encrypt <filename>
+gpg --decrypt <filename>.asc
 </code>
@@ Line 126: / Line 176: @@
 Il messaggio di warning significa che la chiave è stata ottenuta senza seguire una //trust path// opportuna, infatti è stata direttamente scaricata dal web e messa nel portachiavi.
+===== Firmare una chiave =====
+Firmare la chiave di qualcuno (**[[http://www.gnupg.org/howtos/it/gpg-party.html|GnuPG Keysigning Party HOWTO]]**) significa anzitutto firmarla e quindi pubblicare il fatto di averla firmata:
+<code>
+gpg --sign-key <Key_ID>
+gpg --keyserver <keyserver> --send-key <Key_ID>
+</code>
+Durante i Keysigning Party si prende nota della //key ID// e della //public key fingerprint// che ci comunica una persona fidata, questo perché la fingerprint è più mageggevole della chiave intera.
+Con altri mezzi si recupera l'intera chiave pubblica, ad esempio cercandola per key ID da un key server e salvandola in un file. Quindi si verifica che la fingerprint sia davvero quella e se è il caso si importa nel portachiavi:
+<code>
+gpg --with-fingerprint <filename_pub.key>
+gpg -i --import <filename_pub.key>
+</code>
+Per vedere la fingerprint delle chiavi in nostro possesso:
+<code>
+gpg --fingerprint
+</code>
+===== Ricerca di una chiave pubblica =====
+Si dovrebbe poter interrogare dei server pubblici per cercare la chiave pubblica di una persona, ad esempio **[[http://pgp.key-server.io/]]** oppure **[[http://hkps.pool.sks-keyservers.net/]]**. Nel risultato vengono mostrate tutte le chiavi, anche quelle eventualmente scadute o revocate.
+{{pgp.key-server.io.png?600|Search result on pgp.key-server.io}}
+Nella schermata sopra si vede ad esempio che esiste la chiave **275E281D** scaduta il **2018-09-17**, la chiave più recente invece è la **58F28BB5** che scade il **2021-09-16**.