diff --git a/docs/GnuPG/GPG(GnuPG)-main-commands.md b/docs/GnuPG/GPG(GnuPG)-main-commands.md index 9d033e2..fc1486b 100644 --- a/docs/GnuPG/GPG(GnuPG)-main-commands.md +++ b/docs/GnuPG/GPG(GnuPG)-main-commands.md @@ -15,7 +15,8 @@ -------- | | - + + ## - I N D I C E - 1 - Premessa @@ -75,13 +76,13 @@ Basta che sostituiamo... cassetta_B con chiave pubblica (pub) di Barbara chiave_A con chiave privata (sec) di Alice chiave_B con chiave privata (sec) di Barbara - Claudia con e-mail service provider + Claudia con email service provider ... ed abbiamo un sistema di crittografia a chiave pubblica, ovvero: -Alice e Barbara si scambiano le chiavi pubbliche (che è molto più comodo che scambiarsi delle cassette) -Quando Alice invia una e-mail a Barbara la crittografa con la chiave pubblica di Barbara -Quando Barbara riceve la e-mail la può decrittografare con la sua chiave privata +Alice e Barbara si scambiano le chiavi pubbliche (che è molto più comodo che scambiarsi delle cassette). +Quando Alice invia una e-mail a Barbara la crittografa con la chiave pubblica di Barbara. +Quando Barbara riceve la e-mail la può decrittografare con la sua chiave privata. Chiunque stia nel mezzo del percorso che fa la mail tra Alice e Barbara (normalmente uno o più service provider) non può, non avendo la chiave privata di Barbara, leggerne il contenuto. Boh, così dovrebbe essere abbastanza chiaro, eh. @@ -89,7 +90,7 @@ Se non bastasse... [5] -//--- [ 3 - Consigli generali ] ---\\ +## 3 - Consigli generali - Utilizza sempre PASSWORD ROBUSTE [6] per gli account di posta (e non solo) e passphrases altrettanto robuste per proteggere le chiavi. - Ricordati che se usate le funzioni qui descritte su una rete telnet [7], per un malintenzionato sarà relativamente facile spiare i tuoi messaggi! @@ -100,46 +101,49 @@ Una buona regola è avere più copie del file cifrato del password manager archi -//--- [ 4 - Generazione e gestione delle nostre chiavi GnuPG ] ---\\ +## 4 - Generazione e gestione delle chiavi GnuPG Apriamo il Terminale della nostra distro Linux ed iniziamo con un pò di pratica - ˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍ - | | - | >_ | - | | - ˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉ -Negli esempi che seguono, immagina che la tua mail sia e che hai un'amica che si chiama Lea con la quale vuoi comunicare in modo riservato. La mail di Lea è lea@mail.org. Lea, che è una tosta (e sta sempre un passo avanti a noi!) ha già una chiave GnuGP collegata alla sua mail, la cui fingerprint (cioè l'impronta digitale della sua chiave) è <5678EFGH5678EFGH5678EFGH5678EFGH5678EFGH>. -I comandi che seguono quindi sono basati su questo esempio, tu dovrai sostituire tutte le parti contenute tra < > con i tuoi dati reali, per esempio il comando: -"gpg --output -revoke.asc --gen-revoke " poterbbe diventare "gpg --output maria-revoke.asc --gen-revoke maria@bruttocarattere.org" + + >_ + +Negli esempi che seguono, immagina che la tua mail sia "mia@mail.org" e che hai un'amica che si chiama Lea con la quale vuoi comunicare in modo riservato. La mail di Lea è lea@mail.org. +Lea, che è una tosta (e sta sempre un passo avanti a noi!) ha già una chiave GnuGP collegata alla sua mail, la cui fingerprint (cioè l'impronta digitale della sua chiave) è "5678EFGH5678EFGH5678EFGH5678EFGH5678EFGH". +I comandi che seguono quindi sono basati su questo esempio, tu dovrai sostituire tutte le parti contenute tra " " con i tuoi dati reali, per esempio +il comando: + gpg --output "mia"-revoke.asc --gen-revoke "mia@mail.org" +poterbbe diventare: + gpg --output alice-revoke.asc --gen-revoke alice@bruttocarattere.org -4.1) Generiamo la nostra chiave GPG completa +### 4.1 - Generiamo la nostra chiave GPG completa [completa significa: chiave pubblica (pub) + chiave privata (sec) + certificato di revoca] - ˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍ - | | - | >_ gpg --full-generate-key | - | | - ˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉ -Verrà richiesto di selezionare un tipo di crittografia da un menu. A meno che non si abbia una buona ragione per non farlo, digitare 1 e premere Invio. L'opzione 1 di default, attiva la generazione di sottochiavi RSA che permettono non solo di firmare/crittografare le e-mail, ma anche files. -È necessario inoltre, scegliere una lunghezza in bit (tra 1024 e 4096) per le chiavi di crittografia, o premendo "Invio" si accetta l'impostazione predefinita visualizzata. Più la chiave è lunga, più è difficile da decifrare in caso di tentativo di attacco. -È necessario indicare la durata della chiave. Se si imposta "0" avrà durata illimitata. Se si imposta ad es. "1y" durerà un anno. Leggere le indicazioni e scegliere la durata che si desidera. Confermare la scelta con "Y". -Digitare quindi il nome che vogliamo dare alla chiave (es. il nostro nick) e l'indirizzo e-mail a cui la chiave sarà associata. È possibile aggiungere un commento (facoltativo). -Verrà richiesto di immettere (2 volte) la passphrase. Avremo bisogno della passphrase ogni volta che lavoriamo con le chiavi, quindi assicuriamoci di !!! NON DIMENTICARLA !!!. -Dopo aver inserito la passphrase che avremo scelto, clicchiamo sul pulsante OK. + + >_ gpg --full-generate-key | + +Verrà richiesto di selezionare un tipo di crittografia da un menu. A meno che non si abbia una buona ragione per non farlo, digitare 1 e premere Invio. +L'opzione 1 di default, attiva la generazione di sottochiavi RSA che permettono non solo di firmare/crittografare le e-mail, ma anche files. +È necessario inoltre, scegliere una lunghezza in bit (tra 1024 e 4096) per le chiavi di crittografia, o premendo "Invio" si accetta l'impostazione predefinita visualizzata. Più la chiave è lunga, più è difficile da decifrare in caso di tentativo di attacco. +È necessario indicare la durata della chiave. Se si imposta "0" avrà durata illimitata. Se si imposta ad es. "1y" durerà un anno. Leggere le indicazioni e scegliere la durata che si desidera. Confermare la scelta con "Y". +Digitare quindi il nome che vogliamo dare alla chiave (es. il nostro nome o nickname) e l'indirizzo e-mail a cui la chiave sarà associata. +È possibile aggiungere un commento (facoltativo). +Verrà richiesto di immettere (2 volte) la passphrase. +Avremo bisogno della passphrase ogni volta che lavoriamo con le chiavi, quindi assicuriamoci di **!!! NON DIMENTICARLA !!!**. +Dopo aver inserito la passphrase che avremo scelto, clicchiamo sul pulsante OK. La chiave sarà generata, salvata nel keyring (portachiavi) e verrà restituito il prompt dei comandi. - -4.2) Generiamo il certificato di revoca (utile per archiviazione): - ˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍˍ - | | - | >_ gpg --output -revoke.asc --gen-revoke | - | | - ˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉ -Verrà chiesto il motivo della richiesta del certificato di revoca, se non c'è uno dei motivi elencati scegli "0" e prosegui. -Sarà così creato il file + >_ -4.2.1) Mettiamo in sicurezza il certificato di revoca +### 4.2 - Generiamo una copia del certificato di revoca (utile per archiviazione) + + >_ gpg --output -revoke.asc --gen-revoke | + +Verrà chiesto il motivo della richiesta del certificato di revoca, se non c'è uno dei motivi elencati scegli "0" e prosegui. +Sarà così generato il file "mia-revoke.asc" + + +#### 4.2.1 - Mettiamo in sicurezza il certificato di revoca Se condividiamo il pc con altre persone o semplicemente perché questo ci fa dormire più tranquilli, possiamo cambiare i permessi di accesso al file del certificato di revoca impedendone, di fatto, l'utilizzo ad altri utenti mediante il comando chmod [16] Rimuoviamo dal certificato tutte le autorizzazioni oltre alle nostre.