Revision as of 16:52, 13 July 2014

Mantenere aggiornati i defaults di ~/.gnupg/gpg.conf

Ad ogni cambio di versione, fare il merge delle modifiche del file di configurazione standard. Per generarlo, è suffciente avviare ed interrompere subito gpg, dopo aver rinominato la directory contenete la configurazione

mv ~/.gnupg/ ~/.gnupg.ori

 gpg --list-keys

gpg: directory `/home/diesis/.gnupg' created
gpg: new configuration file `/home/diesis/.gnupg/gpg.conf' created
...

Spostare il vecchio files personalizzo, spostare il nuovo files coi defaults, rimuovere la nuova directory, e ripristinare la vecchia

mv  ~/.gnupg.ori/gpgp.conf /tmp
mv ~/.gnupg/gpg.conf ~/.gnupg.ori
rm -rf ~/.gnupg
mv ~/.gnupg.ori ~/.gnupg/

vimdiff /tmp/gpg.cong ~/.gnupg/gpgp.conf

Si utilizzeranno i server del pool sks, e per colloquiare in modalità protetta hkps, installare

sudo apt-get install gnupg-curl

cd ~/.gnupg/ && wget https://sks-keyservers.net/sks-keyservers.netCA.pem

vi ~/.gnupg/gpg.conf

keyserver hkps://hkps.pool.sks-keyservers.net
# keyserver-options ca-cert-file=sks-keyservers.netCA.pem # viene cercato nella direcory corrente

gpg --refresh-keys -v

keyserver-options no-honor-keyserver-url 
# oltre alle altre già settate

Impostare la visualizzazione degli ID delle key in formato lungo e col fingerprint, per poterle verificare con il propietario, ed evitare possibili collisioni:

vi ~/.gnupg/gpg.conf

keyid-format 0xlong
with-fingerprint

gpg   --list-secret-keys

...
ssb   2048g/0xE0F60A38E4E9035C 2009-03-02
      Key fingerprint = DBA2 29BD 1DA3 8032 DBA4  DBC6 E0F6 0A38 E4E9 035C
...

NON:

ssb   2048g/E4E9035C 2009-03-02

utilizzare una struttura a mster key a 4096 bit, SOLO per la generazione di altre chiavi. Questa chiave andrà tenuta separata da quelle per il daily use, tenuta offline e stampata su carta, con la password scrita a a matita

Le child keys dovranno avere lunghezza almeno a 2048 bit. Non scegliere dimensioni esagerate, in quanto si impiegherebbero minuti per decifrare un messaggio, soprattutto su dispositivi mobili. Queste chiavi saranno usate sui propri dispositivi per la firma/cifratura

Le chiavi NON dovranno avere commenti. Sono inutili.
Le chiavi dovranno essere possibilemente una per ogni identità, anche se è tecnicamente possibile aggiungere altre identità o indirizzi email, ma non è auspicabile in terminid i privacy/immagine
Le chiavi dovranno avere per forza una scadenza, in modo da avere una via di uscita in caso di perdita. La scadenza può essere rinnovata in qualsiasi momento, ANCHE quando la chiave è già scaduta.

'TODO: Verificare per enigmail [Enigmail Documentation needs Update / Error Message]

Verificare la propria chiave: se la primary key è una DSA/1024, oggi non è più sufficiente.

@@ Line 62: / Line 62: @@
 ssb   2048g/E4E9035C 2009-03-02
 </pre>
+* Se la chiave è vulnerabile, generarne una nuova.
+* I requisti della nuova chiave dovrano essere:
+:*utilizzare una struttura a mster key a 4096 bit, SOLO per la generazione di altre chiavi. Questa chiave andrà tenuta separata da quelle per il daily use, tenuta offline e stampata su carta, con la password scrita a a matita
+:* Le child keys dovranno avere lunghezza almeno a 2048 bit. Non scegliere dimensioni esagerate, in quanto si impiegherebbero minuti per decifrare un messaggio, soprattutto su dispositivi mobili. Queste chiavi saranno usate sui propri dispositivi per la firma/cifratura
+:* Le chiavi NON dovranno avere commenti. Sono inutili.
+:* Le chiavi dovranno essere possibilemente una per ogni identità, anche se è tecnicamente possibile aggiungere altre identità o indirizzi email, ma non è auspicabile in terminid i privacy/immagine
+:* Le chiavi dovranno avere per forza una scadenza, in modo da avere una via di uscita in caso di perdita. La scadenza può essere rinnovata in qualsiasi momento, ANCHE quando la chiave è già scaduta.
 * '''TODO:'' Verificare per enigmail [http://permalink.gmane.org/gmane.comp.mozilla.enigmail.general/18746 [Enigmail] Documentation needs Update / Error Message]