[ubuntu-it] PGP o GnuPG

Giovanni g.vizzini a giur.uniroma3.it
Lun 9 Maggio 2005 12:48:15 UTC 

On 11:38, lunedì 9 maggio 2005, M4nG0 wrote:
> Alle 10:48, lunedì 9 maggio 2005, Giovanni ha scritto:
> > ps. non facciamo l'errore di fidarci del fingerprint appiccicato sotto
> > alla e-mail come certi fanno :-) altrimenti non serve a nulla (se ti
> > compromettono la chiave fuguriamoci la e-mail)
>
> Scusa ma... mi sento chiamato in causa ;-)

capisco.. :-) ho visto la signature

> Se dici: "allegare il fingerprint ad una mail per confermare una chiave,
> data anch'essa magari per email o altro canale insicuro, non serve a
> nulla", allora ti do perfettamente ragione, non ci vuole niente a fare lo
> spoofing. 

si infatti è quello che ho detto.
C'è diversa gente che non se lo calcola proprio il fingerprint, "tanto sta 
scritto sotto" e tempo fa ebbi proprio una discussione su newsgroup su questo 
argomento. L'idea è di non fidarsi passivamente del fingerprint scritto sotto 
l'email, e usare il telefono/incontro prima di dar fiducia ad una chiave.. 
Solo che molti non sanno neanche che si fa così, lo danno per scontato e 
basta.

> Il senso di allegare il fingerprint ad ogni email non è quello di 
> confermare, ma se mai di smentire!! Se qualcuno vuole fingere di essere me
> e fornisce una chiave a Tizio, e se Tizio calcola il fingerprint sulla
> chiave fornita dallo spoofer e poi si imbatte in una mail con il mio
> ("vero") fingerprint, si rende conto che le cose non combaciano e gli viene
> il dubbio.

si certo, questo può essere utile (lo avevo pure io prima un fingerprint nella 
firma, poi a forza di reinstallare s.o. e cambiare chiavi che non mi 
reimportavo mi sono stufato e l'ho levato..)
ma non penso che tutti interpretino la cosa in questo modo, la gente tende 
invece molto a fidarsi del fingerprint scritto sotto, che "identifica" il 
personaggio. 

Finchè si gioca, si sta nei forum ecc.. (mio punto di vista) si può anche non 
usare la crittografia, in ambienti rilassati, tra amici e tutte le situazioni 
dove la mail non è critica, allora va bene. 
Ma quando le mail sono importanti, le situazioni sono tese, commerciali ecc.. 
allora è un altro discorso. Ma gente che ho sentito sembra non distinguere la 
cosa, "tanto è firmato" e quindi sicuro. Il senso di falsa sicurezza è in 
genere il problema più grande, purtoppo ho visto anche tra professionisti.

A questo punto dico, o non usiamo la crittografia ed è una soluzione, mi fido 
mediamente un po di tutti o non mi interessa granchè.. (quello che sto 
facendo io al momento :) , oppure se la cosa è seria la usiamo cercando di 
convalidare le chiavi delle persone di cui ci fidiamo e controllando ogni 
tanto l'albero delle "fiducie" non concedendo più della dovuta a chi non 
abbiamo certificato. Sono due cose diverse e bisogna distinguerle, ma non 
sempre succede così e allora sorgono i problemi.


Ciao
Giovanni

>
> Ciao,
>  Massimo
>
> --
>   .~. __M4nG0__
>   /V\ -> GNU/Linux is PoW3r! <-
>  // \\ http://m4ng0.lilik.it
> /(   )\ GPG Key fgpr = E1E6 447E 67FF 2E57 B43F  7033 5DEC 3FFE EDE0 7DDC
>  ^`~'^

Maggiori informazioni sulla lista ubuntu-it