PostgreSQL Day, scopri il più avanzato database libero

Keysigning Party

Dove?

Durante il PgDay 2007 presso il Monash University Prato Centre 

Quando?

Sabato 7 luglio 2007 alle ore 12,30 Sala Veneziana

Il 'party' inizierà alle 12,30 e continuerà almeno fino alle 13,00 circa. Il keysigng inizierà il prima possibile e nel caso di ritardo potrebbe darsi che alcune persone abbiano gia terminato e se ne siano gia andate.

Cos'è e a cosa serve

Un key-signing party è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GPG) durante il quale ognuno ha la possibilità verificare le identità e le chiavi degli altri partecipanti allo scopo di firmarne le chiavi crittografiche e di farsi firmare la propria chiave.

Ciò consente di espandere il "web of trust" (rete della fiducia). E più questa diventa profonda e interconnessa, più risulta difficile comprometterla.

Questo è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per proteggere crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.

Come partecipare

Prima del key-signing party

1. Avere (o creare) una propria chiave.
2. Rendere disponibile la propria chiave pubblica:
   • inviandola ad un keyserver (scelta consigliata). Noi per questo keysigning consigliamo keyserver.linux.it che ospitiamo sui nostri server
   • pubblicandola sul proprio sito web.
3. Entro la mezzanotte di martedì 3 luglio 2007 registrarsi comunicando all'indirizzo keysigning@pgday.it i seguenti dati:
   • nome e cognome,
   • key ID della chiave (esempio: 0xF17110BE),
   • dimensione e tipo della chiave (esempio: 1024 DSA),
   • fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171 10BE),
   • dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
   • se si desidera che chi firma la vostra chiave la spedisca ad un keyserver (scelta consigliata) o ve la mandi via e-mail.

ATTENZIONE: i dati inviati saranno divulgati a tutti i partecipanti al key-signing party.
Un'email di conferma sarà inviata entro 24 ore.

Il giorno del key-signing party

Ricordarsi di:

• essere presenti :-)
• portare un documento d'identità valido,
• portare un foglio con key ID, dimensione, tipo, fingerprint della propria chiave,
• portare una penna.
• NON portare un computer.

Come si svolge

Durante il party

1. Gli organizzatori distribuiscono ad ognuno un elenco. Ogni riga dell'elenco conteiene:
   • nome e cognome di un partecipante
   • dati della sua chiave (key ID, dimensione, tipo e fingerprint)
   • dove è reperibile la chiave (keyserver o URL)
   • se la chiave firmata va inviata ad un keyserver od al proprietario
   • due caselle: esse andranno sbarrate quando si siano verificati:
     • l'esattezza dei dati della chiave (prima casella)
     • l'identità del proprietario (seconda casella)
2. Tutti i partecipanti si mettono in fila
   • Il primo della fila:
   • legge ad alta voce i dati della propria chiave (ID, tipo, dimensione e fingerprint) dal proprio foglio e non dall'elenco
   • ognuno controlla che i dati siano corretti e mette il primo segno di spunta di fianco alle chiavi che intende verificare.
   • la persona cammina lungo la fila mostrando ai partecipanti il proprio documento d'identità
   • ognuno controlla il documento e mette il secondo segno di spunta
   • l'ex primo prende posto all'ultimo posto della fila
3. la seconda persona segue la prima appena possibile e fa le stesse cose.
4. Quando la prima persona torna a essere la prima della riga ognuno ha controllato ogni altro.

Dopo il party

1. I partecipanti scaricheranno le chiavi che intendono firmare
2. controlleranno il fingerprint delle chiavi
3. firmeranno le chiavi verificate (con tutte e due le caselle spuntate)
4. invieranno le chiavi firmate secondo le modalità indicate dal proprietario della chiave (keyserver o via e-mail)

Perché non occorre portare un computer

Non occorre portare un computer al party perché è molto facile compromettere
un sistema OpenPGP sostituiendo un programma o facendo modifiche al sistema
operativo.

Se i partecipanti usassero un computer portato da qualcuno per firmare le
altre chiavi, nessuno saprebbe se sul computer c'è un programma che registra i
tasti premuti, o una versione modificata di GPG o del kernel Linux, o una
tastiera modificata in modo speciale, tutti modi che possono essere usati per
catturare la chiave privata delle persone che hanno usato il computer.

Usare un computer al party vi renderebbe anche vulnerabili ad attacchi
semplici, come lo spiare da dietro le spalle, o complessi, come la generazione
di chiavi private deboli, la modifica di chiavi private, o perfino l'infezione
con virus che modificano gli eseguibili di GPG in modo da catturare
silenziosamente le chiavi private.

Ulteriori informazioni

È consigliatissima la lettura del Manuale GNU sulla privacy (GnuPG Handbook) ed in particolare di:

• come creare una propria chiave
• come importare, firmare, esportare una chiave
• come pubblicare e/o scaricare una chiave da un keyserver
• cos'è il web of trust (rete della fiducia)

Altra lettura consigliata: il GnuPG Keysigning Party HOWTO

Molta altra documentazione in italiano ed in inglese è disponibile sul sito http://www.gnupg.org

Non riesco a trovare l'informazione che cerco

Se permangono dubbi sul keysigning party puoi chedere spiegazioni al coordinatore dell'evento, Marco Nenciarini via email all'indirizzo mnencia@prato.linux.it .

Si ringrazia il LugRoma per il testo da cui questo documento trae ispirazione.