Posts Tagged ‘fingerprint’

Come usare il software GNUpg per cifrare i testi

Monday, August 15th, 2011

1. Introduzione

Se si possiedono dati confidenziali come password o altro da comunicare senza che nessun altro oltre al destinatario venga a conoscenza del contenuto della missiva, una maniera per farlo è cifrare il messaggio e fare in modo che solo il destinatario possa decifrarlo.

Il sistema più efficiente adottato è quello della generazione di una coppia di chiavi che mittente e destinatario devono possedere, una pubblica tranquillamente distribuita a tutti e una privata conosciuta solo dal proprietario.  Dalla chiave pubblica non si può risalire a quella privata.

Il sistema funziona così:

  1. Il mittente cifra il testo con la chiave pubblica del destinatario e gliela spedisce (la chiave pubblica serve quindi a scrivere)
  2. Il destinatario riceve il testo e lo decodifica con la sua chiave privata (la chiave privata serve quindi a leggere ciò che è stato scritto con la chiave pubblica)

 

2. Firme digitali

Con la cifratura a doppia chiave si garantisce che il testo sia letto solo dal destinatario giusto, in quanto il testo è stato cifrato con la sua chiave pubblica e può essere letto solo con la chiave privata e quindi segreta del proprietario.

Quello che però non può essere garantita è l’identità del mittente, in quanto per esempio un programma può spedire un messaggio contenente un virus cifrato con la chiave pubblica del destinatario e questi potrebbe essere tratto in inganno.

E’ per questo che è stato inventato il concetto di firma digitale che si ottiene dalla combinazione tra la chiave privata e il testo. In questo modo è risolto il sia il problema della confidenza del messaggio sia l’identità di chi l’ha spedito.

 

3. Fiducia della firma digitale

C’è ancora un problema che rimane fuori: il problema della fiducia riposta in chi spedisce il messaggio. Anche se il testo risulta essere firmato e quindi associato al mittente giusto, sorge il problema della fiducia nel mittente, perchè il mittente potrebbe spacciarsi per qualcun altro con una firma associata giustamente a lui.

Il discorso è simile alla vita reale: se una persona sconosciuta si presenta a noi spacciandosi per qualcun altro, questo potrebbe arrecarci un qualche danno derivante da un cattivo comportamento.

Vi ricordate per esempio i ladri che spacciandosi per esattori del gas riuscivano ad ingannare le persone facendosi pagare degli importi? Bastava telefonare alla compagnia che avrebbe svelato l’inganno.

Diverso quindi è se la persona ci viene presentata da un amico o da un’autorità che garantisca per lui.

Nel caso delle chiavi PGP si è pensato di far firmare le chiavi pubbliche ad altre persone in cui si ha fiducia (il concetto di amico o autorità che presenta la persona) certificando così che la chiave appartenga veramente alla persona che sostiene di esserne il proprietario.

Nasce quindi la fingerprint (impronta digitale della chiave) che certifica che la firma appartiene veramente a quella persona.

 

4. Sintesi

Riepilogando:

  1. La cifratura con la coppia di chiavi garantisce al destinatario di essere l’unico a decifrare il testo.
  2. La firma digitale del testo permette al destinatario di conoscere l’identità del mittente
  3. La fingerprint garantisce che l’identità del mittente sia proprio quella che egli dichiara

Nei prossimi paragrafi vedremo l’applicazione di tali concetti al software di GNUgp.

(more…)