Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/GnuPg"
Differenze tra le versioni 66 e 67
Versione 66 del 02/07/2026 09.42.45
Dimensione: 27628
Autore: ivantu
Commento: correzioni
Versione 67 del 06/07/2026 10.44.45
Dimensione: 30361
Autore: ivantu
Commento: +Agente gpg;
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 6: Linea 6:
<<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=385070"; rilasci="25.04 24.04 22.04 20.04 18.04")>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=385070"; rilasci="26.04 25.04 24.04 22.04 20.04 18.04")>>
Linea 38: Linea 38:

= Prerequisiti =

 0. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto GPG Agent (gpg-agent) idoneo compatibile con l'ambiente desktop:
  * [[AmbienteGrafico/Kde|KDE]] / [[AmbienteGrafico/Lxqt|LXQt]]:{{{
  sudo apt install pinentry-qt
  }}}
  * [[AmbienteGrafico/Gnome|GNOME]]:{{{
  sudo apt install pinentry-gnome3
  }}}
Linea 122: Linea 132:

= Certificato di revoca =

Un certificato di revoca deve essere generato per consentire la revoca della propria chiave pubblica nel caso in cui la chiave privata sia stata compromessa.

Per creare un certificato di revoca, digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
gpg --output revoke.asc --gen-revoke ID_CHIAVE
}}}

Al posto di `ID_CHIAVE` inserire l'ID effettivo della propria chiave.

{{{#!wiki important
Il certificato deve essere conservato con estrema cura, preferibilmente in più luoghi offline e sicuri (ad esempio, su una chiavetta USB crittografata o stampato e custodito in un luogo fisico sicuro). Chiunque abbia accesso a questo certificato può rendere la chiave pubblica inutilizzabile.
}}}

= Importare una chiave =

'''GnuPG''' consente di aggiungere al proprio portachiavi anche chiavi non generate dall'utente, sia pubbliche che private.

{{{#!wiki important
Per importare una qualsiasi chiave con gpg, è fondamentale essere già in possesso di una copia salvata in locale. Quindi, se si vuole importare la chiave `D8FC66D2` salvata su "www.example.org/key.asc", bisogna prima copiarla o scaricarla sul proprio PC.}}}

== Importare una chiave pubblica ==

Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando: {{{
gpg --import file_chiave_pubblica.gpg
}}}
dove `file_chiave_pubblica` è il percorso del file contenente i dati della chiave pubblica da importare. L'output sarà simile al seguente:{{{
gpg: chiave <ID>: chiave pubblica "Nome Cognome (utente) <email>" importata
}}}
Ciò significa che la chiave pubblica è stata importata con successo e che è utilizzabile.

== Importare una chiave privata ==

Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
gpg --allow-secret-key-import --import file_chiave_privata.gpg
}}}
dove `file_chiave_privata` è il percorso del file che contiene i dati della chiave privata da importare.

Nel caso l'importazione della chiave segreta si concluda correttamente, l'output sarà simile al seguente::{{{
gpg: chiave <ID>: chiave segreta importata
}}}

= Esportare una chiave in un server =

{{{#!wiki important
È indispensabile esportare le proprie chiavi private e pubbliche, conservarle in un luogo sicuro (preferibilmente offline e cifrato).
}}}

Questa sezione contiene le istruzioni per inviare la propria chiave a un server di chiavi in modo che tutti possano scaricarla. Una volta caricata su un server, dopo un breve periodo di tempo, tutti gli altri server di chiavi avranno la propria firma. È possibile velocizzare questo procedimento spedendo la propria chiave a più server.

== Esportare una chiave da riga di comando ==

 0. [[#Visualizzare_la_lista_delle_chiavi_GnuPG|Identificazione]] della chiave.
 0. Esportare la propria chiave privata e quella pubblica per conservarle in un luogo sicuro, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:
  * '''chiave privata''':{{{
  gpg --export-secret-keys --armor «id_chiave» > chiave_privata.asc
  }}}
  * '''chiave pubblica''':{{{
  gpg --export --armor «id_chiave» > chiave_pubblica.asc
  }}}
 0. Per spedire le chiavi pubbliche e private in un server, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
 gpg --send-keys --keyserver «indirizzo.server» «id_chiave»
 }}} sostituendo `«indirizzo.server»` con l'indirizzo del server. `«id_chiave»` con l'ID della propria chiave.

== Esportare una chiave in un browser web ==

 0. [[#Visualizzare_la_lista_delle_chiavi_GnuPG|Identificazione]] della chiave.
 0. [[https://wiki.ubuntu-it.org/Sicurezza/GnuPg#Esportare_una_chiave_da_riga_di_comando|Esportazione]] della chiave.
 0. Aprire una [[InternetRete/Navigazione#Browser_per_navigare|browser]] e andare al seguente indirizzo: [[http://keyserver.ubuntu.com:11371/]].
 0. Copiare il contenuto dei file `chiave_privata.asc` e `chiave_pubblica.asc` e incollarli nella casella sotto la scritta '''Submit a key''', quindi fare clic su '''Submit this key to the keyserver!'''.

= Firmare una chiave =

Il sistema di firma delle chiavi di '''gpg''' è fondamentale per la costruzione della ''rete di fiducia'', in quanto la firma di una chiave altrui attesta la verifica dell'identità del proprietario e del suo controllo sulla chiave privata.<<BR>>
Per agevolare questo processo, si raccomanda l'utilizzo del programma '''caff''', che automatizza la firma della chiave pubblica di un interlocutore e gestisce l'invio del risultato, cifrato con la sua chiave pubblica, all'indirizzo e-mail associato. Questo protocollo non solo conferma il possesso della chiave, ma ne convalida anche l'accesso all'indirizzo e-mail corrispondente, rafforzando l'attendibilità tra l'identità dichiarata e il controllo effettivo della chiave crittografica.

Per procedere con la firma di una chiave, è necessario seguire i seguenti passaggi:

{{{#!wiki important
Il procedimento di firma di una chiave è __sempre__ svolto dopo aver incontrato la persona.
}}}

 0. Durante l'incontro è necessario scambiarsi i ''fingerprint'' delle rispettive chiavi e almeno un documento identificativo (con una fotografia all'interno). È possibile ottenere il fingerprint della propria chiave con il comando:{{{
gpg --fingerprint ID_CHIAVE
}}} Tali ''fingerprint'' vengono solitamente distribuiti su dei foglietti, creati da script come `gpg-key2ps`, fornito dal pacchetto ''[[apt://signing-party|signing-party]]'' (il cui accesso potrebbe richiedere l'abilitazione di repository specifici in alcune distribuzioni).
 0. Controllare che il nome nella chiave corrisponda con quello del documento identificativo.
 0. Dopo aver verificato l'identità, si prepara il processo di firma utilizzando lo strumento '''caff'''.
 0. È necessario creare un file `.caff` nella propria directory '''Home''' con i seguenti valori:{{{
$CONFIG{owner} = q{Nome e cognome};
$CONFIG{email} = q{L'indirizzo email della chiave};
}}}
 Eseguire ora il seguente comando:{{{
caff ID_CHIAVE
}}}
 sostituendo la dicitura `ID_CHIAVE` con l'ID della chiave che si vuole verificare e firmare.
 0. Quando si ricevono chiavi firmate come allegati, salvarle e importarle con '''gpg'''. Sarà quindi possibile inviare queste chiavi a un keyserver.

= Cifrare i dati =

La cifratura dei dati è un'operazione molto importante per garantirne la sicurezza. '''GnuPG''' mette a disposizione due metodi:

 * [[https://it.wikipedia.org/wiki/Crittografia_asimmetrica|asimmetrico]] (usato per impostazione predefinita);
 * [[https://it.wikipedia.org/wiki/Crittografia_simmetrica|simmetrico]].

== Cifratura asimmetrica ==

{{{#!wiki important
Per poter cifrare un file con la propria chiave __è necessario essere già in possesso di una coppia di chiavi__. In caso contrario bisogna [[#generarechiave | generarla]].
}}}

 0. Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando: {{{
gpg -o file_cifrato -ea file_da_cifrare
}}}
 dove `file_cifrato` è il percorso del file che conterrà i dati cifrati e `file_da_cifrare` il percorso del file che contiene i dati da cifrare.
 0. A questo punto dovrebbe apparire una schermata simile alla seguente:{{{
Non è stato specificato un ID utente (è possibile usare "-r").

Destinatari attuali:

Inserire l'ID utente, termina con una riga vuota:

}}}
 Inserire il nome del possessore della chiave pubblica con cui si intende cifrare (il destinatario del messaggio), oppure la sua email, quindi cliccare '''Invio'''. È possibile specificare anche altri destinatari con la stessa modalità, previo sempre il possesso delle loro chiavi pubbliche. Una volta specificati tutti gli utenti, premere '''Invio''' con una riga vuota.

Se l'operazione si conclude senza ulteriori messaggi nel [[AmministrazioneSistema/Terminale|terminale]], allora vuol dire che la cifratura dei dati selezionati è riuscita correttamente.

== Cifratura simmetrica ==

 0. Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
gpg -o file_cifrato -ca file_da_cifrare
}}}
 dove `file_cifrato` è il percorso del file che conterrà i dati cifrati, mentre `file_da_cifrare` il percorso del file contenente i dati originali.
 0. Inserire la passphrase scelta nella finestra che apparirà e premere '''Invio''' sulla tastiera o cliccare sul pulsante '''Sblocca'''.
 0. A questo punto apparirà una schermata che chiederà di ripetere la ''passphrase''. Ripetere il passaggio precedente.

 {{{#!wiki note
Se si clicca su '''Annulla''' nella schermata per inserire la passphrase, verrà chiesto di inserire quest'ultima nel terminale. Farlo senza preoccuparsi del fatto che sembri non venire digitata.}}}

Se l'operazione si conclude senza ulteriori messaggi nel [[AmministrazioneSistema/Terminale|terminale]], allora vuol dire che la cifratura è andata a buon fine.

{{{#!wiki important
La perdita della passphrase comporta la perdita definitiva della possibilità di decifrare il file cifrato.
}}}

= Decifrare i dati =

Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando: {{{
gpg --decrypt percorso_del_file
}}}
 sostituendp `percorso_del_file` con il percorso del file contenente i dati da decifrare.

A seconda dei casi:
  * Se il file è stato cifrato asimmetricamente e non si è in possesso della chiave privata apparirà il seguente messaggio: {{{
gpg: de-cifratura non riuscita: la chiave segreta non è disponibile
}}}
  * Se il file è stato cifrato simmetricamente, verrà richiesta la passphrase per decifrarlo e, nel caso in cui essa sia errata, verrà stampato questo messaggio: {{{
gpg: de-cifratura non riuscita: chiave errata
}}}
  * Qualora l'operazione si concluda senza errori, il comando visualizzerà a schermo il messaggio decifrato

= Firmare i dati =

La firma dei dati è utile per verificare l'identità del mittente.

<<Anchor(codicecondotta)>>
== Firma del Codice di condotta di Ubuntu ==

Prima di firmare il '''Codice di condotta''' di Ubuntu è necessario aggiornare il proprio account inserendovi, fra le varie informazioni, la chiave '''gpg''' che si desidera utilizzare per tale operazione.

=== Caricare la chiave in Launchpad ===

 0. Eseguire l'accesso in [[https://launchpad.net/|Launchpad]].
 0. Fare clic sul proprio nome in alto a destra e poi su '''Edit OpenPGP keys'''.
 0. Copiare il ''fingerprint'' della propria chiave all'interno della casella di testo '''Key Fingerprint'''.<<BR>>Launchpad spedirà all'indirizzo specificato un'email contenente del testo cifrato con la nuova chiave.
 0. Per procedere con l'operazione di decifratura è sufficiente salvare il testo in un file all'interno della propria '''Home''', quindi digitare in un terminale il seguente comando: {{{
gpg --decrypt nome_file.txt
}}}
 sostituendo `nome_file.txt` con quello effettivo.
 0. Una volta inserita la passphrase comparirà in chiaro il testo del messaggio, il quale conterrà un collegamento da inserire nella barra degli indirizzi del proprio browser per convalidare la chiave.

=== Firmare il Codice di condotta ===

Per firmare il '''Codice di condotta''' di Ubuntu bastano tre semplici passaggi:
 0. Scaricare il '''Codice di condotta''' da questo indirizzo : [[https://launchpad.net/codeofconduct/2.0/+download]]
 0. Se necessario, [[AmministrazioneSistema/ComandiBase#cd|spostarsi]] nella cartella dove è stato scaricato il file, quindi digitare il seguente comando: {{{
gpg --clearsign UbuntuCodeofConduct-2.0.txt
}}}
 0. Copiare il contenuto del file appena creato `UbuntuCodeofConduct-2.0.txt.asc` nel relativo campo presente a [[https://launchpad.net/codeofconduct/2.0/+sign|questo indirizzo]].

Se l'operazione si è conclusa correttamente, sul proprio profilo Launchpad comparirà la voce '''Yes''' nella sezione '''Signed Ubuntu Code of Conduct:'''.

== Firmare e cifrare email ==

Di seguito sono riportate istruzioni utili a configurare i principali client per firmare e cifrare le email.

=== Evolution ===

 0. [[AmbienteGrafico/AvviareProgrammi|Avviare]] '''Evolution'''.
 0. Selezionare il menù '''''Modifica → Preferenze'''''.
 0. Fare clic su '''Account di posta''' sulla sinistra.
 0. Selezionare l'account di posta per il quale abilitare la crittografia PGP, poi fare clic sul pulsante '''Modifica''' per aprire le impostazioni dell'account.
 0. All'interno della scheda '''Sicurezza''', cliccare sulla scheda '''Sicurezza''' nella finestra delle impostazioni dell'account.
 0. Nel campo '''ID chiave OpenPGP''' inserire l'ID di 8 caratteri della chiave GPG.
 {{{#!wiki tip
Qualora non si conosca il proprio ID chiave, può essere recuperato tramite un'applicazione di gestione delle chiavi come ad esempio '''Seahorse''' (basterà andare nella sezione Chiavi GnuPG, selezionando la propria chiave, facendo clic con il pulsante destro del mouse e scegliendo Proprietà per trovare l'ID chiave.
}}}
 0. Configurare le opzioni desiderate per la firma automatica dei messaggi in uscita.
 0. Per confermare fare clic su '''OK''' per salvare le impostazioni, quindi su '''Chiudi''' per uscire dalla finestra '''Preferenze'''.

=== Thunderbird ===

{{{#!wiki note
A partire dalla versione 78 è incluso il supporto a '''PGP/GnuPG'''. Perciò non è necessario installare alcun add-on aggiuntivo.
}}}
 
 0. Seguire da menù il percorso '''''Modifica → Impostazioni account''''' e selezionare l'account email di proprio interesse.
 0. Alla voce '''Crittografia end-to-end''' fare clic sulla scheda '''OpenPGP'''.<<BR>>Se non è già stata associata una chiave, sarà presente il pulsante '''Aggiungi chiave...''' che consente di importare una chiave esistente o di generarne una nuova. Fare clic su '''Continua'''.
 0. Seguire le istruzioni a schermo per selezionare e importare il file della chiave, quindi per completare l'operazione.
Linea 380: Linea 171:
= Assegnazione del GPG Agent =

Il '''GPG Agent''' (`gpg-agent`) è un demone di background che gestisce le chiavi private e memorizza temporaneamente le passphrase in cache, evitando la necessità di digitarle a ogni operazione di firma o decifratura.

== Configurazione del file gpg-agent.conf ==

Le preferenze dell'agente si definiscono all'interno del file di configurazione `~/.gnupg/gpg-agent.conf` situato nella directory utente di GPG.
 0. [[AmministrazioneSistema/ComandiBase#mkdir|Creare]] la cartella, digitando nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
 mkdir -p ~/.gnupg
 }}}
 0. Aprire con un [[Ufficio/EditorDiTesto|editor di testo]] il seguente file `~/.gnupg/gpg-agent.conf`:{{{
 nano ~/.gnupg/gpg-agent.conf
 }}} All'interno del file, si possono definire i tempi di conservazione della passphrase in cache (espressi in secondi) e il programma da utilizzare per l'inserimento della password (pinentry):{{{
 # Tempo di memorizzazione della password nella cache (es. 1 ora)
 default-cache-ttl 3600

 # Tempo massimo di conservazione prima della richiesta forzata (es. 24 ore)
 max-cache-ttl 86400

 # Associazione del programma pinentry per l'interfaccia grafica o terminale
 pinentry-program /usr/bin/pinentry-curses
 }}}
 {{{#!wiki note
 Su '''Ubuntu Desktop''' è possibile sostituire `pinentry-curses` con `pinentry-gnome3` per mostrare una finestra di dialogo nativa dell'ambiente grafico.
 }}}

== Assegnazione delle Variabili d'Ambiente ==

Affinché l'agente GPG comunichi correttamente con il [[AmministrazioneSistema/Terminale|terminale attivo]], è necessario configurare la variabile d'ambiente `GPG_TTY`.

 0. Aggiungere le seguenti righe al file di configurazione della propria shell (ad esempio `~/.bashrc` o `~/.zshrc`):{{{
 export GPG_TTY=$(tty)
 gpg-connect-agent updatestartuptty /bye >/dev/null
 }}}
 0. Applicare le modifiche alla sessione corrente della shell:{{{
 source ~/.bashrc
 }}}

== Riavvio dell'Agente ==

In caso di modifiche alla configurazione, l'agente può essere ricaricato o riavviato senza interrompere la sessione utente, digitando nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
gpg-connect-agent reloadagent /bye
}}}

Per verificare che l'agente sia attivo ed in esecuzione:{{{
gpg-connect-agent /bye
}}}

= Certificato di revoca =

Un certificato di revoca deve essere generato per consentire la revoca della propria chiave pubblica nel caso in cui la chiave privata sia stata compromessa.

Per creare un certificato di revoca, digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
gpg --output revoke.asc --gen-revoke ID_CHIAVE
}}}

Al posto di `ID_CHIAVE` inserire l'ID effettivo della propria chiave.

{{{#!wiki important
Il certificato deve essere conservato con estrema cura, preferibilmente in più luoghi offline e sicuri (ad esempio, su una chiavetta USB crittografata o stampato e custodito in un luogo fisico sicuro). Chiunque abbia accesso a questo certificato può rendere la chiave pubblica inutilizzabile.
}}}

= Importare una chiave =

'''GnuPG''' consente di aggiungere al proprio portachiavi anche chiavi non generate dall'utente, sia pubbliche che private.

{{{#!wiki important
Per importare una qualsiasi chiave con gpg, è fondamentale essere già in possesso di una copia salvata in locale. Quindi, se si vuole importare la chiave `D8FC66D2` salvata su "www.example.org/key.asc", bisogna prima copiarla o scaricarla sul proprio PC.}}}

== Importare una chiave pubblica ==

Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando: {{{
gpg --import file_chiave_pubblica.gpg
}}}
dove `file_chiave_pubblica` è il percorso del file contenente i dati della chiave pubblica da importare. L'output sarà simile al seguente:{{{
gpg: chiave <ID>: chiave pubblica "Nome Cognome (utente) <email>" importata
}}}
Ciò significa che la chiave pubblica è stata importata con successo e che è utilizzabile.

== Importare una chiave privata ==

Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
gpg --allow-secret-key-import --import file_chiave_privata.gpg
}}}
dove `file_chiave_privata` è il percorso del file che contiene i dati della chiave privata da importare.

Nel caso l'importazione della chiave segreta si concluda correttamente, l'output sarà simile al seguente::{{{
gpg: chiave <ID>: chiave segreta importata
}}}

= Esportare una chiave in un server =

{{{#!wiki important
È indispensabile esportare le proprie chiavi private e pubbliche, conservarle in un luogo sicuro (preferibilmente offline e cifrato).
}}}

Questa sezione contiene le istruzioni per inviare la propria chiave a un server di chiavi in modo che tutti possano scaricarla. Una volta caricata su un server, dopo un breve periodo di tempo, tutti gli altri server di chiavi avranno la propria firma. È possibile velocizzare questo procedimento spedendo la propria chiave a più server.

== Esportare una chiave da riga di comando ==

 0. [[#Visualizzare_la_lista_delle_chiavi_GnuPG|Identificazione]] della chiave.
 0. Esportare la propria chiave privata e quella pubblica per conservarle in un luogo sicuro, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:
  * '''chiave privata''':{{{
  gpg --export-secret-keys --armor «id_chiave» > chiave_privata.asc
  }}}
  * '''chiave pubblica''':{{{
  gpg --export --armor «id_chiave» > chiave_pubblica.asc
  }}}
 0. Per spedire le chiavi pubbliche e private in un server, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
 gpg --send-keys --keyserver «indirizzo.server» «id_chiave»
 }}} sostituendo `«indirizzo.server»` con l'indirizzo del server. `«id_chiave»` con l'ID della propria chiave.

== Esportare una chiave in un browser web ==

 0. [[#Visualizzare_la_lista_delle_chiavi_GnuPG|Identificazione]] della chiave.
 0. [[https://wiki.ubuntu-it.org/Sicurezza/GnuPg#Esportare_una_chiave_da_riga_di_comando|Esportazione]] della chiave.
 0. Aprire una [[InternetRete/Navigazione#Browser_per_navigare|browser]] e andare al seguente indirizzo: [[http://keyserver.ubuntu.com:11371/]].
 0. Copiare il contenuto dei file `chiave_privata.asc` e `chiave_pubblica.asc` e incollarli nella casella sotto la scritta '''Submit a key''', quindi fare clic su '''Submit this key to the keyserver!'''.

= Firmare una chiave =

Il sistema di firma delle chiavi di '''gpg''' è fondamentale per la costruzione della ''rete di fiducia'', in quanto la firma di una chiave altrui attesta la verifica dell'identità del proprietario e del suo controllo sulla chiave privata.<<BR>>
Per agevolare questo processo, si raccomanda l'utilizzo del programma '''caff''', che automatizza la firma della chiave pubblica di un interlocutore e gestisce l'invio del risultato, cifrato con la sua chiave pubblica, all'indirizzo e-mail associato. Questo protocollo non solo conferma il possesso della chiave, ma ne convalida anche l'accesso all'indirizzo e-mail corrispondente, rafforzando l'attendibilità tra l'identità dichiarata e il controllo effettivo della chiave crittografica.

Per procedere con la firma di una chiave, è necessario seguire i seguenti passaggi:

{{{#!wiki important
Il procedimento di firma di una chiave è __sempre__ svolto dopo aver incontrato la persona.
}}}

 0. Durante l'incontro è necessario scambiarsi i ''fingerprint'' delle rispettive chiavi e almeno un documento identificativo (con una fotografia all'interno). È possibile ottenere il fingerprint della propria chiave con il comando:{{{
gpg --fingerprint ID_CHIAVE
}}} Tali ''fingerprint'' vengono solitamente distribuiti su dei foglietti, creati da script come `gpg-key2ps`, fornito dal pacchetto ''[[apt://signing-party|signing-party]]'' (il cui accesso potrebbe richiedere l'abilitazione di repository specifici in alcune distribuzioni).
 0. Controllare che il nome nella chiave corrisponda con quello del documento identificativo.
 0. Dopo aver verificato l'identità, si prepara il processo di firma utilizzando lo strumento '''caff'''.
 0. È necessario creare un file `.caff` nella propria directory '''Home''' con i seguenti valori:{{{
$CONFIG{owner} = q{Nome e cognome};
$CONFIG{email} = q{L'indirizzo email della chiave};
}}}
 Eseguire ora il seguente comando:{{{
caff ID_CHIAVE
}}}
 sostituendo la dicitura `ID_CHIAVE` con l'ID della chiave che si vuole verificare e firmare.
 0. Quando si ricevono chiavi firmate come allegati, salvarle e importarle con '''gpg'''. Sarà quindi possibile inviare queste chiavi a un keyserver.

= Cifrare i dati =

La cifratura dei dati è un'operazione molto importante per garantirne la sicurezza. '''GnuPG''' mette a disposizione due metodi:

 * [[https://it.wikipedia.org/wiki/Crittografia_asimmetrica|asimmetrico]] (usato per impostazione predefinita);
 * [[https://it.wikipedia.org/wiki/Crittografia_simmetrica|simmetrico]].

== Cifratura asimmetrica ==

{{{#!wiki important
Per poter cifrare un file con la propria chiave __è necessario essere già in possesso di una coppia di chiavi__. In caso contrario bisogna [[#generarechiave | generarla]].
}}}

 0. Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando: {{{
gpg -o file_cifrato -ea file_da_cifrare
}}}
 dove `file_cifrato` è il percorso del file che conterrà i dati cifrati e `file_da_cifrare` il percorso del file che contiene i dati da cifrare.
 0. A questo punto dovrebbe apparire una schermata simile alla seguente:{{{
Non è stato specificato un ID utente (è possibile usare "-r").

Destinatari attuali:

Inserire l'ID utente, termina con una riga vuota:

}}}
 Inserire il nome del possessore della chiave pubblica con cui si intende cifrare (il destinatario del messaggio), oppure la sua email, quindi cliccare '''Invio'''. È possibile specificare anche altri destinatari con la stessa modalità, previo sempre il possesso delle loro chiavi pubbliche. Una volta specificati tutti gli utenti, premere '''Invio''' con una riga vuota.

Se l'operazione si conclude senza ulteriori messaggi nel [[AmministrazioneSistema/Terminale|terminale]], allora vuol dire che la cifratura dei dati selezionati è riuscita correttamente.

== Cifratura simmetrica ==

 0. Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
gpg -o file_cifrato -ca file_da_cifrare
}}}
 dove `file_cifrato` è il percorso del file che conterrà i dati cifrati, mentre `file_da_cifrare` il percorso del file contenente i dati originali.
 0. Inserire la passphrase scelta nella finestra che apparirà e premere '''Invio''' sulla tastiera o cliccare sul pulsante '''Sblocca'''.
 0. A questo punto apparirà una schermata che chiederà di ripetere la ''passphrase''. Ripetere il passaggio precedente.

 {{{#!wiki note
Se si clicca su '''Annulla''' nella schermata per inserire la passphrase, verrà chiesto di inserire quest'ultima nel terminale. Farlo senza preoccuparsi del fatto che sembri non venire digitata.}}}

Se l'operazione si conclude senza ulteriori messaggi nel [[AmministrazioneSistema/Terminale|terminale]], allora vuol dire che la cifratura è andata a buon fine.

{{{#!wiki important
La perdita della passphrase comporta la perdita definitiva della possibilità di decifrare il file cifrato.
}}}

= Decifrare i dati =

Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando: {{{
gpg --decrypt percorso_del_file
}}}
 sostituendp `percorso_del_file` con il percorso del file contenente i dati da decifrare.

A seconda dei casi:
  * Se il file è stato cifrato asimmetricamente e non si è in possesso della chiave privata apparirà il seguente messaggio: {{{
gpg: de-cifratura non riuscita: la chiave segreta non è disponibile
}}}
  * Se il file è stato cifrato simmetricamente, verrà richiesta la passphrase per decifrarlo e, nel caso in cui essa sia errata, verrà stampato questo messaggio: {{{
gpg: de-cifratura non riuscita: chiave errata
}}}
  * Qualora l'operazione si concluda senza errori, il comando visualizzerà a schermo il messaggio decifrato

= Firmare i dati =

La firma dei dati è utile per verificare l'identità del mittente.

<<Anchor(codicecondotta)>>
== Firma del Codice di condotta di Ubuntu ==

Prima di firmare il '''Codice di condotta''' di Ubuntu è necessario aggiornare il proprio account inserendovi, fra le varie informazioni, la chiave '''gpg''' che si desidera utilizzare per tale operazione.

=== Caricare la chiave in Launchpad ===

 0. Eseguire l'accesso in [[https://launchpad.net/|Launchpad]].
 0. Fare clic sul proprio nome in alto a destra e poi su '''Edit OpenPGP keys'''.
 0. Copiare il ''fingerprint'' della propria chiave all'interno della casella di testo '''Key Fingerprint'''.<<BR>>Launchpad spedirà all'indirizzo specificato un'email contenente del testo cifrato con la nuova chiave.
 0. Per procedere con l'operazione di decifratura è sufficiente salvare il testo in un file all'interno della propria '''Home''', quindi digitare in un terminale il seguente comando: {{{
gpg --decrypt nome_file.txt
}}}
 sostituendo `nome_file.txt` con quello effettivo.
 0. Una volta inserita la passphrase comparirà in chiaro il testo del messaggio, il quale conterrà un collegamento da inserire nella barra degli indirizzi del proprio browser per convalidare la chiave.

=== Firmare il Codice di condotta ===

Per firmare il '''Codice di condotta''' di Ubuntu bastano tre semplici passaggi:
 0. Scaricare il '''Codice di condotta''' da questo indirizzo : [[https://launchpad.net/codeofconduct/2.0/+download]]
 0. Se necessario, [[AmministrazioneSistema/ComandiBase#cd|spostarsi]] nella cartella dove è stato scaricato il file, quindi digitare il seguente comando: {{{
gpg --clearsign UbuntuCodeofConduct-2.0.txt
}}}
 0. Copiare il contenuto del file appena creato `UbuntuCodeofConduct-2.0.txt.asc` nel relativo campo presente a [[https://launchpad.net/codeofconduct/2.0/+sign|questo indirizzo]].

Se l'operazione si è conclusa correttamente, sul proprio profilo Launchpad comparirà la voce '''Yes''' nella sezione '''Signed Ubuntu Code of Conduct:'''.

== Firmare e cifrare email ==

Di seguito sono riportate istruzioni utili a configurare i principali client per firmare e cifrare le email.

=== Evolution ===

 0. [[AmbienteGrafico/AvviareProgrammi|Avviare]] '''Evolution'''.
 0. Selezionare il menù '''''Modifica → Preferenze'''''.
 0. Fare clic su '''Account di posta''' sulla sinistra.
 0. Selezionare l'account di posta per il quale abilitare la crittografia PGP, poi fare clic sul pulsante '''Modifica''' per aprire le impostazioni dell'account.
 0. All'interno della scheda '''Sicurezza''', cliccare sulla scheda '''Sicurezza''' nella finestra delle impostazioni dell'account.
 0. Nel campo '''ID chiave OpenPGP''' inserire l'ID di 8 caratteri della chiave GPG.
 {{{#!wiki tip
Qualora non si conosca il proprio ID chiave, può essere recuperato tramite un'applicazione di gestione delle chiavi come ad esempio '''Seahorse''' (basterà andare nella sezione Chiavi GnuPG, selezionando la propria chiave, facendo clic con il pulsante destro del mouse e scegliendo Proprietà per trovare l'ID chiave.
}}}
 0. Configurare le opzioni desiderate per la firma automatica dei messaggi in uscita.
 0. Per confermare fare clic su '''OK''' per salvare le impostazioni, quindi su '''Chiudi''' per uscire dalla finestra '''Preferenze'''.

=== Thunderbird ===

{{{#!wiki note
A partire dalla versione 78 è incluso il supporto a '''PGP/GnuPG'''. Perciò non è necessario installare alcun add-on aggiuntivo.
}}}
 
 0. Seguire da menù il percorso '''''Modifica → Impostazioni account''''' e selezionare l'account email di proprio interesse.
 0. Alla voce '''Crittografia end-to-end''' fare clic sulla scheda '''OpenPGP'''.<<BR>>Se non è già stata associata una chiave, sarà presente il pulsante '''Aggiungi chiave...''' che consente di importare una chiave esistente o di generarne una nuova. Fare clic su '''Continua'''.
 0. Seguire le istruzioni a schermo per selezionare e importare il file della chiave, quindi per completare l'operazione.


Guida verificata con Ubuntu: 22.04 24.04 26.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

In questa guida viene introdotto GNU Privacy Guard (di seguito GnuPG o GPG), il sistema di crittografia a riga di comando predefinito di Ubuntu.
Verranno di seguito esposti le nozioni basilari, le principali procedure d'impiego, la generazione e la gestione delle chiavi, nonché le metodologie di cifratura, decifratura e firma digitale.


GnuPG utilizza la crittografia a chiave pubblica per permettere a coloro che lo utilizzano di comunicare in sicurezza. In un sistema a chiave pubblica ogni utente ha una coppia di chiavi consistenti in una chiave privata e una pubblica. La chiave privata di una persona viene tenuta segreta; non deve mai essere rivelata. La chiave pubblica può essere data a tutti coloro con i quali l'utente vuole comunicare.

(Estratto dal Manuale di GNUPG)


Concetti Fondamentali

I concetti fondamentali della crittografia asimmetrica in GnuPG, qui di seguito esposti più dettagliatamente, costituiscono il pilastro fondamentale per una comprensione approfondita e, di conseguenza, per una corretta e sicura operatività del sistema. Una padronanza meticolosa di tali principi non solo facilita l'implementazione pratica ma è altresì cruciale per discernere le implicazioni di sicurezza associate a ciascuna operazione, garantendo la protezione dei dati e la validità delle interazioni digitali.

  • Coppia di Chiavi: Il sistema GnuPG impiega una coppia di chiavi univoca per ogni utente.

    • La chiave privata è destinata alla custodia segreta, protetta da una passphrase robusta, ed è utilizzata per decifrare i messaggi ricevuti e per generare firme digitali sui messaggi inviati.
    • La chiave pubblica, invece, può essere liberamente distribuita e consente a terzi di cifrare comunicazioni indirizzate al possessore della chiave privata, oltre a verificare le firme digitali da queste apposte.
  • Cifratura: Il processo di cifratura rende un messaggio indecifrabile applicando la chiave pubblica del destinatario. Solamente il possessore della chiave privata corrispondente può decifrare tale messaggio, garantendo la riservatezza delle comunicazioni e impedendo accessi non autorizzati.

  • Firma Digitale: La firma digitale assicura l'autenticità e l'integrità di un messaggio. Questa procedura genera un hash crittografico del messaggio, che viene poi cifrato con la chiave privata del mittente. La verifica della firma, eseguita con la chiave pubblica del mittente, permette di convalidare l'origine del messaggio e di confermare che non abbia subito alterazioni.

  • Certificato di Chiave: Un certificato di chiave è un documento digitale che include la chiave pubblica, informazioni identificative del proprietario (come nome e indirizzo email) e le firme di altre entità che ne attestano la validità e l'affidabilità. Questo certificato è fondamentale per stabilire la fiducia e convalidare le identità.

  • Anello delle Chiavi (Keyring): L'Anello delle Chiavi, o Keyring, è il database locale di GnuPG che archivia tutte le chiavi conosciute. È suddiviso in un anello per le chiavi pubbliche, usate per cifrare e verificare firme altrui, e un anello per le chiavi private, essenziali per decifrare i propri messaggi e generare le proprie firme digitali.

  • Rete di Fiducia (Web of Trust): A differenza dei modelli basati su autorità centralizzate, GnuPG implementa un paradigma decentralizzato noto come rete di fiducia. In questo sistema, la fiducia si costruisce attraverso la firma delle chiavi pubbliche di individui la cui identità è stata personalmente verificata. La probabilità che una chiave sia autentica aumenta in proporzione al numero e all'affidabilità delle firme ricevute.

Programmi

Esistono diversi programmi per interagire con il sottosistema gpg, sia con interfaccia grafica sia a riga di comando. I seguenti programmi possono essere utilizzati per generare e gestire le chiavi GPG, oltre che per eseguire operazioni di cifratura e firma:

  • Password e chiavi (Seahorse): È lo strumento di gestione delle chiavi predefinito dell'ambiente desktop GNOME, integrato nativamente in Ubuntu. Offre una gestione intuitiva delle chiavi GPG, inclusa la generazione, l'importazione, l'esportazione e la gestione dei certificati di revoca.

  • kgpg: Rappresenta l'interfaccia grafica standard per la gestione delle chiavi GPG nell'ambiente desktop KDE, risultando particolarmente utile su Kubuntu. Il programma consente di eseguire tutte le operazioni fondamentali, dalla creazione di nuove chiavi all'importazione e firma. Per ottenere il programma, è sufficiente installare il pacchetto kgpg.

  • GPA (GNU Privacy Assistant): È un'interfaccia grafica per GnuPG, multipiattaforma e indipendente dall'ambiente desktop. GPA fornisce un set completo di funzionalità per la gestione delle chiavi, la cifratura, la decifratura e la firma dei file, con una particolare attenzione alla chiarezza e alla facilità d'uso per operazioni complesse.

  • CLI (Command Line Interface) - gpg: L'interfaccia a riga di comando gpg è il cuore di GnuPG e offre il controllo più granulare su tutte le operazioni. Sebbene richieda familiarità con i comandi del terminale, permette di automatizzare processi e di eseguire operazioni avanzate non sempre disponibili nelle GUI. È l'opzione preferita per utenti esperti e per scripting.

  • pass (Password Store): Sebbene non sia un'interfaccia GPG diretta, pass è un gestore di password che utilizza GnuPG per cifrare e decifrare le credenziali. Permette agli utenti di archiviare password e altre informazioni sensibili in modo sicuro, sfruttando le chiavi GPG esistenti per la protezione dei dati. È un eccellente esempio di integrazione di GnuPG in altre utilità.

Prerequisiti

  1. Installare il pacchetto GPG Agent (gpg-agent) idoneo compatibile con l'ambiente desktop:

    • KDE / LXQt:

        sudo apt install pinentry-qt
    • GNOME:

        sudo apt install pinentry-gnome3

Generare una chiave

  1. Digitare nel terminale il comando seguente:

    gpg --full-gen-key
  2. Apparirà una schermata di selezione con le seguenti opzioni:

    Selezionare il tipo di chiave:
       (1) RSA e RSA
       (2) DSA ed Elgamal
       (3) DSA (solo segno)
       (4) RSA (solo segno)
       (9) ECC (firmare e crittografare) *predefinito*
      (10) DSA (firma solo)
      (14) Chiave esistente dalla carta
    Selezione?

    La scelta predefinita (1) è la migliore, in quanto fornisce una maggiore robustezza della chiave.

  3. Verrà chiesto di scegliere una dimensione per la chiave:

    Le chiavi RSA possono essere lunghe tra 1024 e 4096 bit.
    Che chiave vuoi? (3072)
    È possibile lasciare l'impostazione predefinita.

    Nel caso si necessiti di una chiave per firmare dei pacchetti Debian, o se si ha intenzione di far parte del GruppoSviluppo in futuro, considerare di creare una chiave da 4096 bit.

  4. Verrà chiesto di impostare una data di scadenza:

    Specificare la durata di validità della chiave.
             0 = la chiave non scade
          <N>  = la chiave scade dopo N giorni
          <N>w = la chiave scade dopo N settimane
          <N>m = la chiave scade dopo N mesi
          <N>y = la chiave scade dopo N anni
    Per quanto tempo deve essere valida la chiave? (0)

    Se si creano le proprie chiavi senza scadenza, in tal caso ricordarsi di revocare la chiave quando non la si usa più. Premere Y per continuare con il processo di configurazione.

  5. Il passaggio successivo riguarda la creazione dell'identificativo:
    • Inserire il proprio nome reale
    • Inserire il proprio indirizzo email
    • Inserire a scelta un commento per qualificare la chiave.

    Successivamente sarà possibile aggiungere ulteriori indirizzi email alla propria firma.

  6. Una volta verificata la correttezza delle informazioni inserite, premere o per generare la chiave. Verrà chiesto di inserire una passphrase:

    È necessaria una passphrase per proteggere la propria chiave segreta.
    L'ideale sarebbe scegliere una breve frase difficile da indovinare. A differenza di una password, una passphrase può contenere anche degli spazi bianchi.

    Dimenticare la propria passphrase comporta la perdita della chiave.

  7. Una volta inserita la passphrase verrà avviato il processo di creazione della chiave. Questo verrà annunciato dal seguente messaggio:

    Dobbiamo generare un mucchio di byte casuali. È una buona idea eseguire
    qualche altra azione (scrivere sulla tastiera, muovere il mouse, usare i
    dischi) durante la generazione dei numeri primi; questo da al generatore di
    numeri casuali migliori possibilità di raccogliere abbastanza entropia.
  8. Al termine, si raggiungerà una schermata simile alla seguente:

    gpg: key D8FC66D2 marked as ultimately trusted
    chiavi pubbliche e segrete create e firmate.
    
    pub   1024D/D8FC66D2 2011-04-07
          Key fingerprint = 95BD 8377 2644 DD4F 28B5  2C37 0F6E 4CA6 D8FC 66D2
    uid                  Mario Rossi <mario@rossi.it>
    sub    2048g/389AA63E 2011-04-07
    
    gpg: key D8FC66D2 marked as ultimately trusted
    public and secret key created and signed.

    L' ID della chiave nell'esempio è D8FC66D2.

  9. È buona norma configurare questa chiave come predefinita all'interno del file ~/.bashrc, in modo tale da specificare come automatico il suo utilizzo con le altre applicazioni che fanno uso del sistema GnuPG. Per fare ciò basta inserire nel file ~/.bashrc la riga:

    export GPGKEY=D8FC66D2

    sostituendo D8FC66D2 con il proprio ID effettivo.

  10. Ora è necessario riavviare il servizio per la cifratura. A seconda del sistema in uso potrebbe essere necessario terminare uno dei due seguenti processi:
    • seahorse-agent:

      killall -q seahorse-agent
      eval $(seahorse-agent --daemon)
    • gpg-agent:

      killall -q gpg-agent
      eval $(gpg-agent --daemon)
  11. Infine, eseguire questo comando:

    source ~/.bashrc

Visualizzare la lista delle chiavi GnuPG

Per verificare le chiavi presenti nel sistema:

  1. Digitare nel terminale uno dei seguenti comandi:

    • Per chiavi pubbliche (quelle utilizzate per crittografare file per altri):

        gpg --list-keys --keyid-format LONG
    • Per chiavi private (quelle necessarie per decrittografare i propri dati):

        gpg --list-secret-keys --keyid-format LONG

Nello standard GnuPG, una chiave può essere identificata in tre modi diversi a seconda della lunghezza dei caratteri visualizzati:

  • Formato Corto (Short ID)

    • Lunghezza: 8 caratteri esadecimali.

    • Esempio: AABBCCDD

    • Caratteristiche: È la versione più breve, composta dagli ultimi 8 caratteri dell'impronta digitale (fingerprint).

    • Rischio: È considerato poco sicuro poiché è suscettibile a "collisioni" (è possibile generare intenzionalmente una chiave diversa che abbia lo stesso Short ID di un'altra).

  • Formato Lungo (Long ID)

    • Lunghezza: 16 caratteri esadecimali.

    • Esempio: AABBCCDDEEFFGGHH

    • Caratteristiche: È composto dagli ultimi 16 caratteri della fingerprint.

    • Utilizzo: È il formato richiesto nella guida per identificare la chiave in modo univoco e sicuro. L'utilizzo del formato LONG garantisce che la chiave associata a QtPass sia esattamente quella desiderata, riducendo drasticamente il rischio di ambiguità o attacchi basati sulla clonazione dell'ID.

  • Impronta Digitale (Fingerprint)

    • Lunghezza: 40 caratteri esadecimali.

    • Esempio: AABB CCDD EEFF GGHH aabb ccdd eeff gghh (spesso visualizzata a gruppi di 4).

    • Caratteristiche: Rappresenta l'identità completa della chiave. Sebbene sia il metodo più sicuro in assoluto, risulta meno pratico per la digitazione manuale nei file di configurazione.

Stati della chiave

Accanto alla data di creazione o nell'intestazione, possono apparire indicatori sullo stato di validità:

  • [scaduta] o [expired]: la chiave non è più valida e deve essere rinnovata.

  • [revocata] o [revoked]: la chiave è stata annullata dal proprietario e non deve più essere utilizzata.

Assegnazione del GPG Agent

Il GPG Agent (gpg-agent) è un demone di background che gestisce le chiavi private e memorizza temporaneamente le passphrase in cache, evitando la necessità di digitarle a ogni operazione di firma o decifratura.

Configurazione del file gpg-agent.conf

Le preferenze dell'agente si definiscono all'interno del file di configurazione ~/.gnupg/gpg-agent.conf situato nella directory utente di GPG.

  1. Creare la cartella, digitando nel terminale il seguente comando:

     mkdir -p ~/.gnupg
  2. Aprire con un editor di testo il seguente file ~/.gnupg/gpg-agent.conf:

     nano ~/.gnupg/gpg-agent.conf

    All'interno del file, si possono definire i tempi di conservazione della passphrase in cache (espressi in secondi) e il programma da utilizzare per l'inserimento della password (pinentry):

     # Tempo di memorizzazione della password nella cache (es. 1 ora)
     default-cache-ttl 3600
    
     # Tempo massimo di conservazione prima della richiesta forzata (es. 24 ore)
     max-cache-ttl 86400
    
     # Associazione del programma pinentry per l'interfaccia grafica o terminale
     pinentry-program /usr/bin/pinentry-curses
    • Su Ubuntu Desktop è possibile sostituire pinentry-curses con pinentry-gnome3 per mostrare una finestra di dialogo nativa dell'ambiente grafico.

Assegnazione delle Variabili d'Ambiente

Affinché l'agente GPG comunichi correttamente con il terminale attivo, è necessario configurare la variabile d'ambiente GPG_TTY.

  1. Aggiungere le seguenti righe al file di configurazione della propria shell (ad esempio ~/.bashrc o ~/.zshrc):

     export GPG_TTY=$(tty)
     gpg-connect-agent updatestartuptty /bye >/dev/null
  2. Applicare le modifiche alla sessione corrente della shell:

     source ~/.bashrc

Riavvio dell'Agente

In caso di modifiche alla configurazione, l'agente può essere ricaricato o riavviato senza interrompere la sessione utente, digitando nel terminale il seguente comando:

gpg-connect-agent reloadagent /bye

Per verificare che l'agente sia attivo ed in esecuzione:

gpg-connect-agent /bye

Certificato di revoca

Un certificato di revoca deve essere generato per consentire la revoca della propria chiave pubblica nel caso in cui la chiave privata sia stata compromessa.

Per creare un certificato di revoca, digitare nel terminale:

gpg --output revoke.asc --gen-revoke ID_CHIAVE

Al posto di ID_CHIAVE inserire l'ID effettivo della propria chiave.

Il certificato deve essere conservato con estrema cura, preferibilmente in più luoghi offline e sicuri (ad esempio, su una chiavetta USB crittografata o stampato e custodito in un luogo fisico sicuro). Chiunque abbia accesso a questo certificato può rendere la chiave pubblica inutilizzabile.

Importare una chiave

GnuPG consente di aggiungere al proprio portachiavi anche chiavi non generate dall'utente, sia pubbliche che private.

Per importare una qualsiasi chiave con gpg, è fondamentale essere già in possesso di una copia salvata in locale. Quindi, se si vuole importare la chiave D8FC66D2 salvata su "www.example.org/key.asc", bisogna prima copiarla o scaricarla sul proprio PC.

Importare una chiave pubblica

Digitare nel terminale il seguente comando:

gpg --import file_chiave_pubblica.gpg

dove file_chiave_pubblica è il percorso del file contenente i dati della chiave pubblica da importare. L'output sarà simile al seguente:

gpg: chiave <ID>: chiave pubblica "Nome Cognome (utente) <email>" importata

Ciò significa che la chiave pubblica è stata importata con successo e che è utilizzabile.

Importare una chiave privata

Digitare nel terminale il seguente comando:

gpg --allow-secret-key-import --import file_chiave_privata.gpg

dove file_chiave_privata è il percorso del file che contiene i dati della chiave privata da importare.

Nel caso l'importazione della chiave segreta si concluda correttamente, l'output sarà simile al seguente::

gpg: chiave <ID>: chiave segreta importata

Esportare una chiave in un server

È indispensabile esportare le proprie chiavi private e pubbliche, conservarle in un luogo sicuro (preferibilmente offline e cifrato).

Questa sezione contiene le istruzioni per inviare la propria chiave a un server di chiavi in modo che tutti possano scaricarla. Una volta caricata su un server, dopo un breve periodo di tempo, tutti gli altri server di chiavi avranno la propria firma. È possibile velocizzare questo procedimento spedendo la propria chiave a più server.

Esportare una chiave da riga di comando

  1. Identificazione della chiave.

  2. Esportare la propria chiave privata e quella pubblica per conservarle in un luogo sicuro, digitare nel terminale il seguente comando:

    • chiave privata:

        gpg --export-secret-keys --armor «id_chiave» > chiave_privata.asc
    • chiave pubblica:

        gpg --export --armor «id_chiave» > chiave_pubblica.asc
  3. Per spedire le chiavi pubbliche e private in un server, digitare nel terminale il seguente comando:

     gpg --send-keys --keyserver «indirizzo.server» «id_chiave»

    sostituendo «indirizzo.server» con l'indirizzo del server. «id_chiave» con l'ID della propria chiave.

Esportare una chiave in un browser web

  1. Identificazione della chiave.

  2. Esportazione della chiave.

  3. Aprire una browser e andare al seguente indirizzo: http://keyserver.ubuntu.com:11371/.

  4. Copiare il contenuto dei file chiave_privata.asc e chiave_pubblica.asc e incollarli nella casella sotto la scritta Submit a key, quindi fare clic su Submit this key to the keyserver!.

Firmare una chiave

Il sistema di firma delle chiavi di gpg è fondamentale per la costruzione della rete di fiducia, in quanto la firma di una chiave altrui attesta la verifica dell'identità del proprietario e del suo controllo sulla chiave privata.
Per agevolare questo processo, si raccomanda l'utilizzo del programma caff, che automatizza la firma della chiave pubblica di un interlocutore e gestisce l'invio del risultato, cifrato con la sua chiave pubblica, all'indirizzo e-mail associato. Questo protocollo non solo conferma il possesso della chiave, ma ne convalida anche l'accesso all'indirizzo e-mail corrispondente, rafforzando l'attendibilità tra l'identità dichiarata e il controllo effettivo della chiave crittografica.

Per procedere con la firma di una chiave, è necessario seguire i seguenti passaggi:

Il procedimento di firma di una chiave è sempre svolto dopo aver incontrato la persona.

  1. Durante l'incontro è necessario scambiarsi i fingerprint delle rispettive chiavi e almeno un documento identificativo (con una fotografia all'interno). È possibile ottenere il fingerprint della propria chiave con il comando:

    gpg --fingerprint ID_CHIAVE

    Tali fingerprint vengono solitamente distribuiti su dei foglietti, creati da script come gpg-key2ps, fornito dal pacchetto signing-party (il cui accesso potrebbe richiedere l'abilitazione di repository specifici in alcune distribuzioni).

  2. Controllare che il nome nella chiave corrisponda con quello del documento identificativo.
  3. Dopo aver verificato l'identità, si prepara il processo di firma utilizzando lo strumento caff.

  4. È necessario creare un file .caff nella propria directory Home con i seguenti valori:

    $CONFIG{owner} = q{Nome e cognome};
    $CONFIG{email} = q{L'indirizzo email della chiave};

    Eseguire ora il seguente comando:

    caff ID_CHIAVE

    sostituendo la dicitura ID_CHIAVE con l'ID della chiave che si vuole verificare e firmare.

  5. Quando si ricevono chiavi firmate come allegati, salvarle e importarle con gpg. Sarà quindi possibile inviare queste chiavi a un keyserver.

Cifrare i dati

La cifratura dei dati è un'operazione molto importante per garantirne la sicurezza. GnuPG mette a disposizione due metodi:

Cifratura asimmetrica

Per poter cifrare un file con la propria chiave è necessario essere già in possesso di una coppia di chiavi. In caso contrario bisogna generarla.

  1. Digitare nel terminale il seguente comando:

    gpg -o file_cifrato -ea file_da_cifrare

    dove file_cifrato è il percorso del file che conterrà i dati cifrati e file_da_cifrare il percorso del file che contiene i dati da cifrare.

  2. A questo punto dovrebbe apparire una schermata simile alla seguente:

    Non è stato specificato un ID utente (è possibile usare "-r").
    
    Destinatari attuali:
    
    Inserire l'ID utente, termina con una riga vuota: 

    Inserire il nome del possessore della chiave pubblica con cui si intende cifrare (il destinatario del messaggio), oppure la sua email, quindi cliccare Invio. È possibile specificare anche altri destinatari con la stessa modalità, previo sempre il possesso delle loro chiavi pubbliche. Una volta specificati tutti gli utenti, premere Invio con una riga vuota.

Se l'operazione si conclude senza ulteriori messaggi nel terminale, allora vuol dire che la cifratura dei dati selezionati è riuscita correttamente.

Cifratura simmetrica

  1. Digitare nel terminale il seguente comando:

    gpg -o file_cifrato -ca file_da_cifrare

    dove file_cifrato è il percorso del file che conterrà i dati cifrati, mentre file_da_cifrare il percorso del file contenente i dati originali.

  2. Inserire la passphrase scelta nella finestra che apparirà e premere Invio sulla tastiera o cliccare sul pulsante Sblocca.

  3. A questo punto apparirà una schermata che chiederà di ripetere la passphrase. Ripetere il passaggio precedente.

    Se si clicca su Annulla nella schermata per inserire la passphrase, verrà chiesto di inserire quest'ultima nel terminale. Farlo senza preoccuparsi del fatto che sembri non venire digitata.

Se l'operazione si conclude senza ulteriori messaggi nel terminale, allora vuol dire che la cifratura è andata a buon fine.

La perdita della passphrase comporta la perdita definitiva della possibilità di decifrare il file cifrato.

Decifrare i dati

Digitare nel terminale il seguente comando:

gpg --decrypt percorso_del_file

  • sostituendp percorso_del_file con il percorso del file contenente i dati da decifrare.

A seconda dei casi:

  • Se il file è stato cifrato asimmetricamente e non si è in possesso della chiave privata apparirà il seguente messaggio:

    gpg: de-cifratura non riuscita: la chiave segreta non è disponibile
  • Se il file è stato cifrato simmetricamente, verrà richiesta la passphrase per decifrarlo e, nel caso in cui essa sia errata, verrà stampato questo messaggio:

    gpg: de-cifratura non riuscita: chiave errata
  • Qualora l'operazione si concluda senza errori, il comando visualizzerà a schermo il messaggio decifrato

Firmare i dati

La firma dei dati è utile per verificare l'identità del mittente.

Firma del Codice di condotta di Ubuntu

Prima di firmare il Codice di condotta di Ubuntu è necessario aggiornare il proprio account inserendovi, fra le varie informazioni, la chiave gpg che si desidera utilizzare per tale operazione.

Caricare la chiave in Launchpad

  1. Eseguire l'accesso in Launchpad.

  2. Fare clic sul proprio nome in alto a destra e poi su Edit OpenPGP keys.

  3. Copiare il fingerprint della propria chiave all'interno della casella di testo Key Fingerprint.
    Launchpad spedirà all'indirizzo specificato un'email contenente del testo cifrato con la nuova chiave.

  4. Per procedere con l'operazione di decifratura è sufficiente salvare il testo in un file all'interno della propria Home, quindi digitare in un terminale il seguente comando:

    gpg --decrypt nome_file.txt

    sostituendo nome_file.txt con quello effettivo.

  5. Una volta inserita la passphrase comparirà in chiaro il testo del messaggio, il quale conterrà un collegamento da inserire nella barra degli indirizzi del proprio browser per convalidare la chiave.

Firmare il Codice di condotta

Per firmare il Codice di condotta di Ubuntu bastano tre semplici passaggi:

  1. Scaricare il Codice di condotta da questo indirizzo : https://launchpad.net/codeofconduct/2.0/+download

  2. Se necessario, spostarsi nella cartella dove è stato scaricato il file, quindi digitare il seguente comando:

    gpg --clearsign UbuntuCodeofConduct-2.0.txt
  3. Copiare il contenuto del file appena creato UbuntuCodeofConduct-2.0.txt.asc nel relativo campo presente a questo indirizzo.

Se l'operazione si è conclusa correttamente, sul proprio profilo Launchpad comparirà la voce Yes nella sezione Signed Ubuntu Code of Conduct:.

Firmare e cifrare email

Di seguito sono riportate istruzioni utili a configurare i principali client per firmare e cifrare le email.

Evolution

  1. Avviare Evolution.

  2. Selezionare il menù Modifica → Preferenze.

  3. Fare clic su Account di posta sulla sinistra.

  4. Selezionare l'account di posta per il quale abilitare la crittografia PGP, poi fare clic sul pulsante Modifica per aprire le impostazioni dell'account.

  5. All'interno della scheda Sicurezza, cliccare sulla scheda Sicurezza nella finestra delle impostazioni dell'account.

  6. Nel campo ID chiave OpenPGP inserire l'ID di 8 caratteri della chiave GPG.

    Qualora non si conosca il proprio ID chiave, può essere recuperato tramite un'applicazione di gestione delle chiavi come ad esempio Seahorse (basterà andare nella sezione Chiavi GnuPG, selezionando la propria chiave, facendo clic con il pulsante destro del mouse e scegliendo Proprietà per trovare l'ID chiave.

  7. Configurare le opzioni desiderate per la firma automatica dei messaggi in uscita.
  8. Per confermare fare clic su OK per salvare le impostazioni, quindi su Chiudi per uscire dalla finestra Preferenze.

Thunderbird

A partire dalla versione 78 è incluso il supporto a PGP/GnuPG. Perciò non è necessario installare alcun add-on aggiuntivo.

  1. Seguire da menù il percorso Modifica → Impostazioni account e selezionare l'account email di proprio interesse.

  2. Alla voce Crittografia end-to-end fare clic sulla scheda OpenPGP.
    Se non è già stata associata una chiave, sarà presente il pulsante Aggiungi chiave... che consente di importare una chiave esistente o di generarne una nuova. Fare clic su Continua.

  3. Seguire le istruzioni a schermo per selezionare e importare il file della chiave, quindi per completare l'operazione.

Ulteriori risorse


CategorySicurezza