Best practices per gpg: Difference between revisions
Jump to navigation
Jump to search
Created page with "=Mantenere aggiornati i defaults di ~/.gnupg/gpg.conf= * Ad ogni cambio di versione, fare il merge delle modifiche del file di configurazione standard. Per generarlo, è suff..." |
mNo edit summary |
||
| Line 33: | Line 33: | ||
keyserver hkps://hkps.pool.sks-keyservers.net | keyserver hkps://hkps.pool.sks-keyservers.net | ||
keyserver-options ca-cert-file=sks-keyservers.netCA.pem # viene cercato nella | # keyserver-options ca-cert-file=sks-keyservers.netCA.pem # viene cercato nella direcory corrente | ||
* Testare un refresh delle chiavi pubbliche: | * Testare un refresh delle chiavi pubbliche: | ||
| Line 41: | Line 41: | ||
keyserver-options no-honor-keyserver-url | keyserver-options no-honor-keyserver-url | ||
# oltre alle altre già settate | # oltre alle altre già settate | ||
* Impostare la visualizzazione degli ID delle key in formato lungo e col fingerprint, per poterle verificare con il propietario, ed evitare possibili collisioni: | * Impostare la visualizzazione degli ID delle key in formato lungo e col fingerprint, per poterle verificare con il propietario, ed evitare possibili collisioni: | ||
| Line 65: | Line 63: | ||
</pre> | </pre> | ||
* '''TODO:'' Verificare per enigmail [http://permalink.gmane.org/gmane.comp.mozilla.enigmail.general/18746 [Enigmail] Documentation needs Update / Error Message] | |||
=Generazione chiave= | |||
* Verificare la propria chiave: se la primary key è una DSA/1024, oggi non è più sufficiente. | |||
=Riferimenti= | =Riferimenti= | ||
*[https://help.riseup.net/en/security/message-security/openpgp/best-practices OpenPGP Best Practices - help.riseup.net] | *[https://help.riseup.net/en/security/message-security/openpgp/best-practices OpenPGP Best Practices - help.riseup.net] | ||
Revision as of 16:18, 13 July 2014
Mantenere aggiornati i defaults di ~/.gnupg/gpg.conf
- Ad ogni cambio di versione, fare il merge delle modifiche del file di configurazione standard. Per generarlo, è suffciente avviare ed interrompere subito gpg, dopo aver rinominato la directory contenete la configurazione
mv ~/.gnupg/ ~/.gnupg.ori
- Creare il nuovo config file:
gpg --list-keys
gpg: directory `/home/diesis/.gnupg' created gpg: new configuration file `/home/diesis/.gnupg/gpg.conf' created ...
- Spostare il vecchio files personalizzo, spostare il nuovo files coi defaults, rimuovere la nuova directory, e ripristinare la vecchia
mv ~/.gnupg.ori/gpgp.conf /tmp mv ~/.gnupg/gpg.conf ~/.gnupg.ori rm -rf ~/.gnupg mv ~/.gnupg.ori ~/.gnupg/
- Fare il merge delle proprie personalizzazioni nel nuovo files coi defaults
vimdiff /tmp/gpg.cong ~/.gnupg/gpgp.conf
Configurazione keyserver
- Si utilizzeranno i server del pool sks, e per colloquiare in modalità protetta hkps, installare
sudo apt-get install gnupg-curl
- Per poter collegarsi, è necessario utlizzare il certificato CA apposito:
cd ~/.gnupg/ && wget https://sks-keyservers.net/sks-keyservers.netCA.pem
- Impostare il keyserver, ed il percorso del certificato:
vi ~/.gnupg/gpg.conf
keyserver hkps://hkps.pool.sks-keyservers.net # keyserver-options ca-cert-file=sks-keyservers.netCA.pem # viene cercato nella direcory corrente
- Testare un refresh delle chiavi pubbliche:
gpg --refresh-keys -v
- Aggiungere l'opzione per forzare il refresh delle key SOLO dal pool sks
keyserver-options no-honor-keyserver-url # oltre alle altre già settate
- Impostare la visualizzazione degli ID delle key in formato lungo e col fingerprint, per poterle verificare con il propietario, ed evitare possibili collisioni:
vi ~/.gnupg/gpg.conf
keyid-format 0xlong with-fingerprint
- Verificare che vengano mostrati:
gpg --list-secret-keys
...
ssb 2048g/0xE0F60A38E4E9035C 2009-03-02
Key fingerprint = DBA2 29BD 1DA3 8032 DBA4 DBC6 E0F6 0A38 E4E9 035C
...
NON:
ssb 2048g/E4E9035C 2009-03-02
- 'TODO: Verificare per enigmail [Enigmail Documentation needs Update / Error Message]
Generazione chiave
- Verificare la propria chiave: se la primary key è una DSA/1024, oggi non è più sufficiente.