Guida rapida creazione chiavi PGP

Continuiamo con la serie di articoli che riguardano la privacy e su come tentare di difendersi dalla sorveglianza in rete; senza aver troppe pretese e senza averne la certezza, in quanto, si sa, la sicurezza non esiste!! Dopo questa introduzione leggermente paranoide passiamo subito alla pratica!

Per prima cosa installiamo il plugin per Thunderbird  chiamato enigmail, dal menu selezioniamo Strumenti > Componenti aggiuntivi e cerchiamo Enigmail, installiamolo, riavviamo Thunderbird e siamo pronti.

1Troveremo tra i menu una nuova voce chiamata OpenPGP, da li clicchiamo su gestione chiavi.

 

 

 

 

 

2Ci verrà aperta una nuova finestra, clicchiamo Genera > Nuova coppia di chiavi.

 

 

 

 

 

3In questa finestra dobbiamo scegliere le impostazioni della nostra chiave, la scadenza ( in questo caso 1 anno, è comunque possibile rinnovarla e/o modificarla di volta in volta) la dimensione e il tipo della chiave, 4096 RSA.

La cosa a cui invece bisogna prestare più attenzione è la Frase segreta, sceglietene una “strong”, è questa che vi verrà chiesta ogni volta che dovrete utilizzare la vostra chiave! Attenzione, non confondete questa passphrase con la chiave pubblica/privata che state generando! Se avete configurato Thunderbird con più account di posta fate attenzione ad aver selezionato quello giusto, io per fare questa guida ho creato un “alias” della mia mail “ufficiale”.

4Ora che abbiamo configurato per bene la chiave, possiamo cliccare su genera chiave, ci viene chiesta la conferma e noi confermiamo!

 

 

 

 

5Alla fine della generazione delle chiavi pubblica/privata, ci viene chiesto se vogliamo creare un certificato di revoca. Tale certificato è utile nel caso venga smarrita la chiave privata, o comunque si voglia invalidare la chiave pubblica. E’ sempre una buona cosa crearlo, e bisogna fare molta attenzione conservandolo in posto sicuro lontano da tutti, ben nascosto, per esempio nel sottofondo di “Truecrypt”.

 

 

 

6Bene, ora che abbiamo generato le nostre chiavi e il certificato di revoca abbiamo ancora qualche passaggio da fare. Vediamo ora di firmare la chiave, va detto che in automatico si autofirma, ma se come me avete più account c’è la possibilità di firmarla con altre chiavi! Per raggiungere il menu, ci basta selezionare la chiave e premere il tasto destro del mouse.

 

 

 

6aE’ buona cosa ricordasi di non spuntare “Firma localmente“, in questo modo quando caricheremo la chiave sul server compariranno le nostre firme!

Alla domanda “quanto accuratamente hai controllato” è in questo caso ovvia la risposta “Ho controllato con grande accuratezza“, almeno che non si stia attraversando una crisi d’identità informatica :/

 

 

7Le stesse considerazioni fatte per la firma possiamo farle anche per la fiducia!

Anche qui ci basta selezionare la chiave e premere il tasto destro del mouse.

 

 

 

 

7aImpostiamo dunque la fiducia alla chiave!

 

 

 

 

 

8Per controllare le firme, selezioniamo la nostra chiave, premiamo il tasto destro e clicchiamo su mostra firme.

 

 

 

 

8aCome si può vedere compaiono ben 3 firme, una “autocertificazione” e le altre 2 delle altre chiavi presenti sul mio sistema.

 

 

 

 

9Perchè i nostri amici/colleghi/compagni possano scriverci in modo sicuro dobbiamo fare in modo che la nostra chiave pubblica sia appunto “Pubblica” e quindi accessibile e raggiungibile da tutti. Per fare questo il modo più semplice è affidarci ai “server delle chiavi” , che nient’ altro fanno che raccogliere le chiavi pubbliche per poi farle scaricare a chiunque le richieda!.

Come sempre: selezionare la chiave, premere tasto destro, cliccare “invia chiavi pubbliche al server”.

 

 

10Il server impostato di default “pool.sks” va benissimo, ad ogni modo i vari servers si scambiano le chiavi diffondendole.

 

 

 

 

11Il passaggio che andremo ad eseguire ora è facoltativo, per un discorso di “prevenzione” sono abituato a fare una copia delle chiavi sia pubblica che privata e di metterle anche queste in un luogo assolutamente sicuro, abbiamo visto prima per i certificati di revoca il sottofondo di Truecrypt…

 

 

 

12Ci viene chiesto se vogliamo esportare anche la chiave privata oltre che la pubblica…. Ripeto è facoltativo, e dovete avere un posto veramente sicuro dove depositare le chiavi, con estrema attenzione alla chiave privata, se qualcuno dovesse entrarne in possesso sarebbe la fine del mondo con scenari apocalittici e via dicendo….

 

 

 

13Diamo un’occhiata alla proprietà della chiave!

selezionare la chiave > tasto destro > proprietà della chiave

 

 

 

 

14Questo pannello ci mostra tutte proprietà della nostra chiave. E’ utile ricordare che la stessa cosa ci viene mostrata per le chiavi dei nostri amici.

 

 

 

 

15Andiamo ancora avanti! Ora andiamo a mettere le mani nelle impostazioni dell’account, quindi

Modifica > Impostazioni account.

 

 

 

 

16Se state configurando un alias dovete cliccare su “gestione identità“, se invece è il vostro account principale sul pannello laterale di sinistra trovate tutti campi che andremo a configurare.

 

 

 

 

17Il primo campo che incontriamo è il nome, quello che verrà visualizzato ai nostri destinatari, l’indirizzo email, e poi c’è la firma, qui potete aggiungere quello che volete avendo ovviamente il buon senso di non esagerare, non scrivere poemi o la divina commedia, se partecipiamo a ML è sempre uno strazio vedere 10 righe di firma per 2 righe di contenuto.

Visto che stiamo comunicando con persone “lontane”, può essere utile inserire nella nostra firma il fingerprint della nostra chiave, il fingerprint lo troviamo nelle “proprietà della chiave” che abbiamo visto prima.

 

abilita_supporto_pgpPassiamo poi al campo “Sicurezza OpenPGP” oppure se non state configurando un alias nel pannello laterale trovate “OpenPGP”. Spuntiamo “Abilita il supporto OpenPGP per questa identità”, selezioniamo “Usa la chiave OpenPGPcon questo ID” clicchiamo “Seleziona chiave” ci si aprirà una finestra con le nostre chiavi quindi selezioniamo la chiave che corrisponde alla nostra mail. Appena sotto vediamo un altra sezione, per il mio comportamento ho selezionato di firmare sempre le mail mentre siccome non tutti i miei destinatari hanno una chiave, non posso spuntare “Cifra i messaggi” se l’avessi fatto ogni mail che scriverei avrebbe impostata la cifratura, sarebbe bello, ma non è “reale”.

 

abilita_supporto_pgp_avanzatePassiamo all’altro campo “Avanzate”,  ci si aprirà una finestra con poche impostazioni, sono tutte facoltative.

Io spunto solo “Invia ID chiave”. Fino a poco tempo fa avevo impostato di default di “Allegare la mia chiave pubblica ai messaggi” in questo modo ogni volta che componiamo un messaggio viene allegato in automatico la nostra chiave pubblica in modo che il nostro destinatario non la debba scaricare dai keyserver ma semplicemente importarla… Sono diversi modi per diffondere la nostra chiave pubblica, non c’è un modo più corretto dell’ altro, solo è diverso il modo, sta a voi decidere!

Salviamo tutto e chiudiamo tutte le impostazioni, abbiamo finito di configurare il client… Ora facciamo una prova e scriviamo una mail criptata.

18Componiamo la mail e come destinatario inseriamo la mail della quale abbiamo appena configurato OpenPGP.

Scriviamo quello che vogliamo e poi da menu di OpenPGP spuntiamo “Cifra messaggio”.

 

 

 

19Premiamo “Invia” e ci si aprirà una finestra dove inserire la famosa “frase segreta” che abbiamo configurato all’inizio. Ricordatevi che io sto scrivendo con un altro account, non con quello che ho configurato in questa guida, in questo modo riesco a controllare che la chiave pubblica che ho generato per l’alias funzioni, infatti la chiave segreta che mi viene richiesta è dell’account principale!

Ma andiamo avanti!

 

 

20Ecco come si presenta la nostra mail una volta criptata!

 

 

 

 

 

21Qui vediamo la mail già giunta a destinazione, all’alias configurato in questa guida.

Ovviamente criptata, ora non ci resta che decriptarla per poterne leggere il contenuto!

 

 

 

 

22Cliccando sul tasto “Decifra” ci si apre una finestrella con la richiesta di inserimento della frase segreta, ora devo inserire la frase che ho configurato in questa guida, in modo che possa utilizzare la chiave privata dell’alias per decriptare la mail che è stata cifrata con la mia chiave pubblica!

 

 

 

 

23Ed ecco la nostra mail in “chiaro”.

 

 

 

 

 

 

Il principio di funzionamento è molto semplice: Se devo scrivere una mail a noyse userò la sua chiave pubblica presente sui key server e lui userà la sua chiave privata per decifrare il messaggio. Per questo è importante far girare la chiave pubblica il più possibile!

Finito! Spero di aver spiegato in modo semplice e comprensibile… Ho voluto fare parecchie schermate per evitare fraintendimenti. Se trovate qualche errore e/o non vi torna qualche passaggio scrivete!

 

 



Tags: , , , , ,
This entry was posted on domenica, Novembre 17th, 2013 at 21:32 and is filed under Howto. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

8 Responses to “Guida rapida creazione chiavi PGP”

  1. pota

    come si esportano le chiavi nel caso volessimo ad esempio formattare e reinstallare tutto?
    grazie e complimenti per la guida!

  2. noyse

    Ciao,
    se guardi alla quattordicesima immagine viene spiegato come esportare in un file sia la chiave pubblica sia quella privata.
    Vai in gestione chiavi, clicca sulla tua chiave, file > esporta chiavi in un file.

    Ciao ciao

  3. pota

    è normale che ad ogni mail che tento di inviare mi chieda di settare le impostazioni del destinatario?

    [URL=http://uptiki.altervista.org/viewer.php?file=9jins80vg6l5z52rz537.png][IMG]http://uptiki.altervista.org/_altervista_ht/9jins80vg6l5z52rz537_thumb.png[/IMG][/URL]

  4. noyse

    Ciao!
    Scusami, ad ogni mail??? mmmm no… non è normale….

  5. pota

    ad ogni nuovo indirizzo mail.lo chiede una tantum per ogni destinatario

  6. hacklabunder

    Hai provato se nelle impostazioni hai messo la spunta a qualcosa?? Sinceramente non saprei che dirti, non mi è mai capitato!
    Magari qualcuno che legge può darci qualche dritta utile!
    Oltre a consigliarti di controllare tra le impostazioni non saprei che altro dirti!!
    Su che sistema sei?

  7. KAG!

    uso crunchbang/debian.in OpenPGP/preferenze, nella scheda “Selezione chiave” avevo impostato come devono essere scelte le chiavi in “solo in base alle regole preimpostate”.era forse questo l’errore?ora ho spuntato “nessuna scelta manuale delle chiavi” e ovviamente non mi da più questo problema ma non so se ho fatto la cosa giusta.

  8. noyse

    Ciao!
    Bella la crunch, la usavo anche io!
    Tornando al problema, penso che sia quello… Si si non hai sbagliato!