Esportare una chiave su file

Per prima cosa ci conviene listare le chiavi in nostro possesso per individuare quella che ci interessa. Quindi lanciamo il comando

gpg –list-keys

Una volta individuata la chiave che ci interessa, possiamo esportarla. Per fare questo la racchiuderemo in un’armatura (opzione -a), ovvero la renderemo ’stampabile’ convertendola in un formato leggibile anche a occhio (ma vi sfido a comprenderlo ) e fornendolo di un’intestazione che ci comunica la versione di gpg/pgp usata. Dunque, supponendo di voler esportare la chiave per klez@autistici.org nel file miachiave.asc lanceremo il seguente comando

gpg –export -a klez@autistici.org > miachiave.asc

Fatto questo possiamo liberamente condividere la nostra chiave coi nostri contatti, ad esempio inviandola come allegato via email.

Una strada alternativa consiste nel caricare la nostra chiave su un keyserver, ovvero un host che si occupa di collezionare le chiavi pubbliche degli utenti.

Caricare le chiavi su un keyserver

Con una rapida ricerca su internet potete trovare un sacco di keyserver gratuiti. Per in nostri scopi useremo quello del PLUG (Prato Linux User Group).

Per prima cosa otteniamo l’ID della nostra chiave. Lo otterrete esaminando l’output di gpg –list-keys . Una volta individuata la vostra chiave vedrete qualcosa del genere.

pub   1024D/1D346F27 2007-11-13
uid                  ********** (klez) <klez@autistici.org>
sub   1024g/2CE04490 2007-11-13

In questo caso l’ID della chiave è 1D346F27.

Dato l’indirizzo del keyserver (keyserver.linux.it) e il nostro ID per, esportare la nostra chiave sul server digitiamo il comando

gpg –keyserver keyserver.linux.it –send-key 0×1D346F27

Ricordatevi di anteporre 0x (zero x) prima dell’ID.

Importare la chiave da un file

Mettiamo ora che un vostro contatto vi abbia mandato via email la sua chiave gpg in allegato ad un’email. Mettiamo che la chiave si trovi nel file miachiave.asc . Niente di più semplice importarla, usando il comando

gpg –import miachiave.asc

Importare la chiave da un keyserver

Per importare una chiave da un keyserver abbiamo bisogno dell’ID. Possiamo chiederlo direttamente all’utente oppure utilizzare la funzione di ricerca del keyserver (nel nostro caso quello del PLUG). Via web visitate http://keyserver.linux.it/#extract e nella casella di testo scrivete l’indirizzo del contatto. Otterrete un output simile a quello generato da gpg –list-keys, solo che stavolta l’ID è evidenziato (in quanto è un link alla chiave vera e propria). Ora abbaimo l’ID. Facciamo finta che vogliate importare il mio (1D346F27) . Basta digitare

gpg –keyserver keyserver.linux.it –recv-key 0×1D346F27

Ancora una volta ricordatevi lo 0x prima dell’ID.

Nella prossima puntata

Metteremo le mani in pasta crittando e decrittando messaggi.

Buona crittografia

Scaricare gpg

Se, come me, preferite compilare da sorgenti, potrete trovare qui i .tar.gz da spacchettare e compilare con le solite procedure.

Se siete utenti Linux pigri, sicuramente il vostro gestore di pacchetti (atp, yum, yast ecc.) metteranno a disposizione il pacchetto precompilato da installare (di solito lo trovate sotto il nome gnupg).

Per gli utenti mac, l’alternativa all’installazione manuale da sorgente è l’uso di MacPorts, che provvederà a scaricare e compilare anche le varie dipendenze del pacchetto.

Gli utenti Windows possono scaricare da qui. Alternativamente potete installare Cygwin e procedere all’installazione da sorgente. Mi raccomando, questo tutorial presuppone che usiate i tool da riga di comando, quindi per seguirlo lasciate perdere (almeno per ora) le interfacce grafiche.

Generare la coppia di chiavi

PGP (e la versione GNU che usiamo noi, gpg) usa la crittografia asimmetrica, ovvero produce una chiave pubblica (che useranno gli altri utenti per crittare i file a voi indirizzati) e una chiave privata (quella che userete voi per decrittare i messaggi). Il gioco è questo: una volta creata la vosta coppia di chiavi, darete tranquillamente in giro la vostra chiave pubblica, che può essere usata solo per crittare i file. I vostri corrispondenti la useranno per crittare i file a voi destinati e, quando li riceverete, userete la vostra chiave privata per decrittare i file. Ovviamente la chiave privata va mantenuta tale e non va comunicata a terzi.

Dunque al lavoro. Aprite una shell e lanciate gpg come segue

gpg --gen-key

A questo punto il programma vi chiedera di scegliere tra tre tipi di chiave: DSA e Elgamal, DSA, RSA. Scegliete la prima digitando 1 e poi invio, in quanto le altre due servono solo per le firma digitale dei documenti (ne parleremo in un altro momento).

Ora vi viene chiesto la lunghezza in bit della chiave ELG-E. Questo è a vostra scelta. Ovviamente più la chiave è lunga, più difficile sarà per un malintenzionato decrittare i vostri messaggi. Inserite un numero compreso tra 1024 e 4096 (per questo esempio userò 2048, il default, che è una buona via di mezzo).

Il passo successivo comporta nel decidere quando scadrà la chiave. Per indicare che la chiave non ha scadenza digitate 0 (zero) seguito da invio, altrimenti scrivete un numero e aggiungete davanti al numero (senza spazi) w per un numero di settimane, m per un numero di mesi, y per un numero di anni. Se invece volete indicare un numero di giorni scrivete semplicemente un numero. Per semplicità indicherò una durata infinita. Poi confermate la vostra scelta.

Vi vengono ora chiesti nome e cognome, indirizzo email e un commento per generare il vostro UserID. Per esempio:

Nome e Cognome: federico *******
Indirizzo di Email: klez@autistici.org
Commento: chiave di klez

Vi verrà chiesta conferma. Se avete digitato correttamente scrivete O (lettera o) e premete invio. Altrimenti selezionate il campo da modificare scrivendo la lettera corrispondente al campo (quella indicata tra parentesi).

Ora è il momento di scegliere una passphrase. Qui i consigli sarebbero innumerevoli, e vi rimando qui per maggiori informazioni. Una volta scelta la passphrase confermatela.

Adesso viene il bello. Mentre gpg genera la vostra coppia di chiavi, vi chiederà di intraprendee azioni casuali, tipo muovere il mouse, digitare sulla tastiera ecc. Questo per garantire una migliore generazione dei numeri casuali. Quindi, finché le chiavi non sono generate, datevi alla pazza gioia .

Signori e signore, avete appena generato la vostra chiave gpg!

Nella prossima lezione impareremo a mandarla in giro e a crittare e decrittare messaggi.

Buona crittografia a tutti!