Articolo Successiva
Download Express

GnuPG - WinPT - OE Plug-in

Naviga SWZ: Home Page » Articoli
Articolo del 04 Marzo 02 Autore: Alberto - 25079 letture
Categoria: sicurezza
Inserisci un commento sul forum Commenta la News sul Forum



Una panoramica su GnuPG


GnuPG è uno strumento per comunicare in modo sicuro.


A differenza di altri sistemi di cifratura, GnuPG utilizza la crittografia a chiave pubblica per permettere a coloro che lo utilizzano di comunicare in sicurezza. In un sistema a chiave pubblica ogni utente ha una coppia di chiavi consistenti in una chiave privata e una chiave pubblica. La chiave privata di una persona viene tenuta segreta; non deve mai essere rivelata. La chiave pubblica può essere data a tutti coloro con i quali l´utente vuole comunicare.


Quali sono i passi per generare una chiave? Vediamoli qui di seguito.


Per prima cosa è necessario scegliere la dimensione della chiave. Più lunga è la chiave maggiore è la sicurezza contro attacchi a forza bruta, anche se in pratica per un utilizzo comune la dimensione di default della chiave è adeguata. Con una chiave lunga, infatti, diventa più economico aggirare la cifratura piuttosto che provare a romperla. Inoltre cifratura e decifratura sono più lente e una dimensione maggiore della chiave può influenzare negativamente la lunghezza della firma. Una volta scelta, la dimensione della chiave non può più essere modificata.


Poi è necessario scegliere una data di scadenza. Per la maggior parte degli utenti una chiave che non scade risulta adeguata. Il tempo di scadenza, in caso contrario, dovrebbe essere scelto con cura in quanto, anche se è possibile cambiare la data di scadenza dopo che la chiave è stata creata, potrebbe risultare difficile comunicare un cambiamento alle persone che possiedono quella chiave pubblica.


È necessario fornire un identificativo utente in aggiunta ai parametri della chiave. Lo User ID viene utilizzato per associare la chiave che si sta creando ad una persona reale. GnuPG necessita infine di una ``frase d´ordine´´, la passphrase, per proteggere le chiavi primarie e subordinate che si possiedono. Non ci sono limiti alla lunghezza della passphrase, la quale dovrebbe essere scelta con attenzione. Dal punto di vista della sicurezza, la passphrase usata per sbloccare la chiave privata è uno dei punti più deboli di GnuPG (così come di altri sistema di crittografia a chiave pubblica), in quanto è l´unica protezione che si possiede nel caso in cui un´altra persona entri in possesso della propria chiave privata. Idealmente la passphrase non dovrebbe utilizzare parole prese da un dizionario e dovrebbe usare tanto caratteri minuscoli e minuscoli quanto caratteri non-alfabetici. Una buona passphrase è cruciale per un uso sicuro di GnuPG.


Una volta creata la nostra chiave (privata e pubblica), per comunicare con altre persone è necessario scambiarsi le chiavi pubbliche. Solo quella pubblica perchè, ricordiamo, quella privata va custodita gelosamente.


Per spedire una chiave pubblica ad un corrispondente è necessario prima esportarla.


Al contrario ricevendo da un altro utente la sua chiave pubblica, questa può essere aggiunta al proprio elenco o mazzo di chiavi.Una volta che la chiave è stata importata deve venir convalidata. GnuPG utilizza un potente e flessibile modello basato sulla fiducia che non richiede all´utente di convalidare personalmente ogni chiave che viene importata.


Una chiave viene convalidata verificando l´impronta digitale della chiave stessa e successivamente firmando la chiave per certificarla come chiave valida. L´impronta digitale di una chiave va verificata con il possessore di quella chiave. Ciò può essere fatto di persona, per telefono o attraverso un qualsiasi altro mezzo con il quale sia possibile garantire che si sta comunicando con il vero possessore della chiave. Se l´impronta digitale che si riceve è la stessa impronta digitale che il possessore della chiave detiene, allora si può essere sicuri di possedere una corretta copia della chiave. Dopo aver controllato l´impronta digitale, si può procedere alla firma in modo da convalidarla. Poiché la verifica di una chiave rappresenta un punto debole nella crittografia a chiave pubblica, è necessario essere estremamente attenti è controllare sempre un´impronta digitale di una chiave con il possessore prima di firmare la chiave stessa.


Controllando personalmente l´impronta digitale si può essere certi che la chiave appartiene realmente a quella persona e, poiché la chiave viene poi firmata, si può essere sicuri di riuscire a rilevare ogni tentativo di manomissione futuro. Sfortunatamente questa procedura risulta antipatica quando, per qualche motivo, si debba convalidare un gran numero di chiavi o comunicare con persone che non si conoscono direttamente GnuPG risolve questo problema con un meccanismo comunemente conosciuto come rete della fiducia.


Il modello della rete della fiducia tiene in cosiderazione questo carattere soggettivo associando ad ogni chiave pubblica presente nel proprio mazzo un´indicazione di quanto ci si fidi del possessore di quella chiave. Ci sono quattro livelli di fiducia.

  • sconosciuto : non c´è nessuna informazione sul giudizio del possessore nella chiave di firma. Le chiavi del proprio mazzo che non siano le proprie hanno inizialmente questo livello di fiducia.
  • nessuna: si sa che il possessore non firma opportunamente le chiavi degli altri.
  • marginale: il possessore capisce le implicazioni che comporta firmare una chiave ed è capace di convalidare le chiavi propriamente prima di firmarle.
  • piena: il possessore ha un´eccellente comprensione di ciò che comporta firmare una chiave e la sua firma su una chiave è tanto valida quanto la propria.

Un livello di fiducia per la chiave è qualcosa che si assegna da soli alla chiave ed è considerata un´informazione privata. Non viene inclusa con la chiave quando questa è esportata; viene perfino salvata separatamente dal proprio mazzo di chiavi in un elenco a sé stante.


Per la gestione gestire le chiavi con GnuPG utilizzeremo il programma WinPT, un front-end per GnuPG che è essenzialmente un programma DOS.


Per chi desidera approfondire questi argomenti qui ovviamente riportanti per grandi linee, si rimanda a:


GnuPG: http://www.gnupg.org/gnupg.html
Manuale GnuPG in italiano: http://www.gnupg.org/gph/it/html/index.html
Programma WinPT e OE plug-in di Timo Schulz: http://www.winpt.org/

Download Diretto Versione Ottimizzata QUI - 544 Kb




[  [1] 2  3  4  5     Successiva »   ]

Pagine Totali: 5

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate