Pubblica una chiave pubblica [duplicato]

Naviga le tue risposte
0

Sto iniziando a utilizzare la crittografia e-mail con un paio di chiavi (private e public). Finora e dopo diversi giorni di test, sono stato in grado di inviare un messaggio crittografato / firmato. Tuttavia, il destinatario mi ha detto "Non riesco a verificare la firma perché sembra che tu non abbia pubblicato la tua chiave pubblica".

Questo è, in effetti, il primo messaggio crittografato che ho inviato nella mia vita e non so esattamente cosa devo fare per soddisfare il requisito. L'unica cosa che posso pensare è pubblicare la mia chiave pubblica su un server delle chiavi ma non sono sicuro che questa sia la soluzione.

    
posta JORGE 31.01.2017 - 21:27
fonte

2 risposte

2

Suppongo che tu stia utilizzando PGP (come in, qualsiasi programma che implementa lo standard OpenPGP, come GnuPG ). Questo è lo standard di fatto per lo scambio di e-mail crittografate o firmate tra persone che non fanno parte della stessa organizzazione.

Quando un'e-mail ha una firma valida, verificata rispetto a una chiave pubblica, ciò dimostra che il messaggio è stato inviato da qualcuno che ha la chiave privata corrispondente a questa chiave pubblica. Questa è solo metà della battaglia per sapere chi ha inviato l'e-mail: l'altra metà è sapere a chi appartiene la chiave pubblica.

Se invii la tua chiave pubblica al tuo corrispondente, possono verificare che corrisponda alla chiave utilizzata per firmare l'email. Devi farlo. È possibile inviarlo come allegato a un'e-mail e il software di posta elettronica che supporta PGP ha spesso un'opzione per rendere questo conveniente (qualcosa come "Allega la mia chiave pubblica"). Se il tuo software di posta elettronica non ha questa opzione, puoi utilizzare il tuo software PGP per esportare la tua chiave pubblica, ad esempio copia-incolla l'output di gpg --export [email protected] (sostituendo [email protected] dalla tua email usato nella tua chiave).

Ciò consente al tuo corrispondente di verificare la firma, ma può o non può soddisfarli che tu sei chi dici di essere. Per soddisfare questo, devi permettere loro di mettere in relazione quella chiave pubblica con ciò che già sanno su di te. Ad esempio, se hanno il tuo numero di telefono, potresti dire loro di squillarti e quindi confrontare le impronte digitali della tua chiave pubblica: si tratta di una breve sequenza di cifre e lettere che è unica per una chiave pubblica. Il tuo software PGP può visualizzare l'impronta digitale della tua chiave (ad esempio gpg --fingerprint [email protected] ). Un altro metodo è quello di avere qualcuno che ti fidi di firmare la tua chiave. Cioè, Charlie (qualcuno di cui entrambi ti fidi) arriva e verifica che la chiave sia tua (con qualunque mezzo), e poi usa PGP per emettere un "certificato" che dice "questa chiave appartiene a Jorge". Tali certificati formano una rete di fiducia .

È possibile caricare la chiave su un server delle chiavi per comodità, ma a meno che non si faccia parte di un'organizzazione che utilizza un server delle chiavi, ciò non farà molto bene. Mettere una chiave su un server delle chiavi fa sapere a tutti "c'è questa chiave, e c'è la pretesa che la chiave appartenga a Jorge". Ma non dimostra che l'affermazione è vera: chiunque potrebbe caricare qualsiasi chiave sul server delle chiavi. Hai ancora bisogno di un modo per mettere in relazione la chiave con una tua identità, ad esempio di includere la tua chiave in una rete di fiducia.

    
risposta data 01.02.2017 - 01:36
fonte
1

Poiché ti riferisci ai server chiave, sono indovinando di cui stai parlando OpenPGP qui. Si noti, tuttavia, che esiste almeno uno schema di crittografia delle email ampiamente utilizzato, vale a dire S / MIME , ma non utilizzare i server delle chiavi, ma affidarsi a terze parti affidabili (autorità di certificazione, autorità di certificazione).

Sul lato OpenPGP delle cose ci sono molte diverse implementazioni. In questi giorni GnuPG è probabilmente il più conosciuto (almeno sulle piattaforme Unix).

Per caricare la tua chiave su un server delle chiavi devi fare quanto segue:

1.) Trova l'ID della chiave: 

gpg --search [email protected]

L'output conterrà l'ID della chiave, che assomiglierà a questo: B4B887C3479F3215

2.) Carica la chiave su un server delle chiavi (in questo caso hkp://keys.gnupg.net ): 

gpg --keyserver hkp://keys.gnupg.net --send-keys B4B887C3479F3215

La maggior parte dei server di chiavi pubblici sono interconnessi e si sincronizzeranno, quindi caricare la tua chiave su uno di essi (GnuPG, MIT, ecc.) dovrebbe essere sufficiente.

Suggerimento per i professionisti: prima di caricare la tua chiave e quindi renderla pubblicamente nota, dovresti ottenere una migliore comprensione di OpenPGP. Alcuni aspetti della tua chiave (scadenza della chiave, lunghezza della chiave, sottotitoli, ecc.) Non possono essere facilmente modificati in seguito, quindi è importante prendere la decisione giusta. Altrimenti finirai con un mazzo di chiavi, che in generale confonde molto le persone.

    
risposta data 01.02.2017 - 00:22
fonte

Leggi altre domande sui tag

Quale sistema operativo / fornitore smartfone è sicuro quando si tratta di exploit? [chiuso] C'è qualche seria vulnerabilità o pericolo se l'hard disk si disconnette spesso?