[ubuntu-it] PGP o GnuPG

[Filippo Biondi]

Il giorno ven, 06/05/2005 alle 16.09 +0200, ALLANON ha scritto:
> Ho installago gnuPg, ho letto il manuale e il mini-how-to e ho alcuni dubbi:
> 
> 1)genero il paio di chiavi, do quella pubblica al mio amico, il quale
> la importa e la verifica controllando le "impronte digitali" o
> fingerprint.
> 
> Cioe', io do' solo la mia chiave pubblica al mio amico o anche il
> fingerprint??

Come ho avuto modo di dire non sono un esperto pero':

Il fingerprint permette di capire se la chiave pubblica e' stata o meno
compromessa. Se il fg coincide allora sono sicuro che quella e'
effettivamente la tua chiave e che la tua chiave gode di buona salute e
quindi te la firmo, ergo l'accetto come valida.
Detto questo se tu sei un mio amico e tu sei certo che la chiave che mi
hai dato sta bene te la posso firmare anche senza aver controllato il
fingerprint. Se io ti ritengo valido di fiducia te la firmo, altrimenti
controllo e se tutto corrisponde te la firmo.
Cmq il fatto di ritenere una chiave pubblica "fidata" o meno non
impedisce il suo utilizzo (ad esempio per farti mandare messaggi
criptati)

> 2) Riguardo il certificato di revoca, è consigliato generarlo subito
> dopo la creazione delle chiavi.
> 
> Ma come si usa questo certificato? 

questo certificato permette al keyserver di revocare la validita' della
tua chiave. Quindi se io tento di scaricare la tua pubblic key da un
keyserver questo mi risponde picche. Ad es. se tu smarrisci la tua
secret key o viene inavvertitamente cancellata, o ancora peggio te la
rubano, con il file di revoke puoi dire al keyserver di non distribuire
piu' quella chiave.

Non credo che il certificato di revoca vada ad inficiare la secret key,
anche perche' ci sono comandi ben piu' potenti per farlo (es. gpg
--delete-key||--delete-secret-key|| --delete-secret-and-public-key)

HTH

Ciao Filo