[Nota: questa è la documentazione originale della versione 2.6.2 del MIT, inclusa qui senza modifiche. Per una spiegazione delle differenze tra PGP 2.6.3i e 2.6.2 si legga il file readme.1st. incluso nel pacchetto di distribuzione]
Pretty Good(tm) Privacy (PGP), di Phil's Pretty Good Software, è un applicativo software di crittografia di elevata sicurezza per MSDOS, Unix, VAX/VMS e altri computers. PGP permette alle persone di scambiare files e messaggi con riservatezza, sicurezza di autenticità e comodità. Riservatezza significa che solo le persone a cui è diretto il messaggio possono leggerlo. Sicurezza di autenticità significa che il messaggio che sembra provenire da una particolare persona può solo essere stato inviato da quella persona. Comodità significa che riservatezza e sicurezza di auten- ticità sono raggiunte senza il fastidio di dover gestire le chiavi associate al software di crittografia convenzionale. Non è richiesto nessun canale sicuro per lo scambio delle chiavi fra gli utenti, per cui PGP è molto più facile da usare. La ragione è che PGP è basato su di una nuova potente tecnologia chiamata crittografia "a chiave pubblica".
PGP non prevede nessuna funzione interna per la gestione di modems. Dovrete usare per questo un prodotto software separato.
pgp -h
Ritorno all'Indice
pgp -e filetesto dest_ID
Questo comando produce un file cifrato chiamato filetesto.pgp. Per esempio:
pgp -e lettera.txt Alice
or:
pgp -e lettera.txt "Alice S"
Il primo esempio cerca nel vostro portachiavi pubblico "pubring.pgp" un certificato di chiave che contenga la stringa "Alice" nella sezione degli ID. Il secondo esempio cercherà "Alice S". Non è possibile usare spazi nelle stringhe, a meno che non le chiudiate fra virgolette. La ricerca non tiene conto di maiuscole/minuscole. Se viene trovata una chiave che corrisponda all'ID, PGP la usa per cifrare il file "lettera.txt" e produrre il file "lettera.pgp".
PGP tenta di comprimere il file in chiaro prima di cifrarlo, migliorando la resistenza alla criptoanalisi. Quindi è probabile che il file cifrato sia più corto di quello in chiaro.
Se volete inviare questo messaggio cifrato per e-mail, convertitelo in formato ASCII "radix-64" aggiungendo l'opzione -a, come descritto più avanti.
Ritorno all'Indice
pgp -e lettera.txt Alice Bob Carol
Questo creerà il file cifrato lettera.pgp che potrà essere letto da Alice o Bob o Carol. Può essere indicato un numero qualunque di destinatari.
Ritorno all'Indice
pgp -s filetesto [-u mio_ID]
Si noti che le [parentesi] indicano che un parametro è opzionale, quindi non inseritele nel comando.
Questo comando genera un file firmato chiamato filetesto.pgp. Esempio:
pgp -s lettera.txt -u Bob
PGP cercherà un certificato di chiave nel vostro portachiavi segreto che contenga la stringa Bob nel campo ID. Naturalmente vi dovete chiamare Bob... La ricerca non tiene conto di maiuscole/minuscole. Se una chiave segreta corrispondente è trovata, la si usa per firmare "lettera.txt" e produrre un file firmato "lettera.pgp".
Se non mettete il vostro ID, verrà usata la prima chiave del vostro portachiavi segreto.
PGP tenta di comprimere il messaggio dopo averlo firmato. È quindi probabile che il file firmato sia più piccolo dell'originale, il che è utile per le applicazioni di archivio. Però, questo rende il file illeggibile anche se il messaggio originale era in chiaro. Sarebbe bello poter generare un file firmato, ma leggibile. Soprattutto se volete spedire un messaggio firmato via e-mail.
Per firmare un messaggio e-mail, dove è probabile che vogliate sia leggibile, è probabilmente meglio usare la funzione CLEARSIG, spiegata più avanti. Questo permette che la firma sia apposta in forma leggibile alla fine del testo, e disabilita la compressione. Il testo è quindi leggibile anche se il destinatario non usa PGP per controllare la firma. Questa funzione è spiegata in dettaglio nella sezione "CLEARSIG - Messaggi firmati inseriti come testo in chiaro" nel "Volume II - Funzioni avanzate". Se non potete attendere di aver letto quella sezione, potete vedere il risultato con questo esempio:
pgp -sta lettera.txt
PGP creerà un messaggio cifrato nel file "lettera.asc" con il testo originale leggibile ed un certificato di firma ASCII. Il messaggio potrà essere spedito per e-mail. Questo esempio suppone che usiate le impostazioni normali per abilitare il flag CLEARSIG nel file di configurazione.
Ritorno all'Indice
pgp -es filetesto dest_ID [-u mio_ID]
Si noti che le [parentesi] indicano che un parametro è opzionale, quindi non inseritele nel comando.
Questo esempio produce un file annidato chiamato filetesto.pgp. La vostra chiave segreta per firmare è trovata automaticamente nel portachiavi segreto. La chiave pubblica del destinatario è trovata automaticamente nel portachiavi pubblico. Se non inserite il dest_ID nel comando, vi sarà richiesto.
Se non inserite il vostro ID, verrà usata la prima chiave del vostro portachiavi segreto.
Si noti che PGP tenterà di comprimere il testo prima di cifrarlo.
Se volete inviare questo messaggio cifrato via e-mail, convertitelo in formato ASCII "radix-64" aggiungendo l'opzione -a, come descritto più avanti.
Se volete spedire lo stesso messaggio a più persone, potete indicare diversi destinatari, ognuno dei quali potrà decifrare lo stesso testo.
Ritorno all'Indice
Per cifrare un file in chiaro con il sistema convenzionale, battere:
pgp -c filetesto
PGP creerà un file cifrato chiamato filetesto.pgp, senza usare crittografia a chiave pubblica, portachiavi, ID, o altre cose simili. Vi chiederà una frase chiave da usare come chiave convenzionale. Non è necessario che questa frase chiave sia la stessa che protegge la vostra chiave segreta (in effetti dovrebbe essere diversa). Si noti che PGP tenterà di comprimere il testo prima di cifrarlo.
PGP non cifrerà lo stesso testo due volte nello stesso modo, anche se userete sempre la stessa frase chiave.
Ritorno all'Indice
pgp filecifrato [-o filechiaro]
Si noti che le [parentesi] indicano che un parametro è opzionale, quindi non inseritele nel comando.
PGP assume che il file cifrato abbia estensione di default ".pgp". Il nome opzionale del file di uscita, specifica dove salvare il risultato decifrato. Se non è specificato un nome, verrà usato il nome del file cifrato senza estensione. Se all'interno del file esiste una firma, questa è decifrata e verificata, e viene visualizzato l'ID completo del mittente.
Si noti che l'"apertura" del file cifrato è completamente automatica, sia che il file sia firmato, o cifrato, o ambedue le cose. PGP usa l'id di chiave che precede il testo cifrato per trovare la chiave segreta nel vostro portachiavi. Se c'è una firma annidata, PGP usa l'id di chiave per trovare la chiave corrispondente nel vostro portachiavi pubblico. Se vengono trovate tutte le chiavi non è richiesto nessun intervento, eccetto per l'inserimento della vostra frase chiave. Se il file è cifrato convenzionalmente PGP richiede la frase chiave per decifrarlo convenzionalmente.
Ritorno all'Indice
Ritorno all'Indice
pgp -kg
PGP vi presenta una scelta dei formati principali (sicurezza commerciale di basso livello, commerciale di alto livello, "militare") e vi chiede di scegliere il vostro formato, fino a 1024 bits. Più lunga è la chiave, più siete al sicuro, ma pagate in velocità.
Quindi vi chiede un ID, il vostro nome. È buona norma usare il vostro nome completo, perchè ci sono meno rischi che altre persone usino una chiave pubblica errata nel cifrare messaggi per voi. Si possono usare spazi e punteggiatura. Sarebbe utile che voi inseriste il vostro indirizzo e-mail fra <parentesi "spigolose"> dopo il vostro nome, così:
Luigi Verdi <luigi.verdi@ttp.it>
Se non avete un indirizzo e-mail, usate il vostro numero di telefono, o qualunque altra informazione che renda il vostro ID unico.
PGP vi chiede quindi una "frase chiave" che proteggerà la vostra chiave segreta se cadrà nelle mani sbagliate. Nessuno può usare la vostra chiave segreta senza frase chiave. La frase chiave è come una parola chiave, solo che può essere una frase completa di spazi, punteggiatura o qualunque altra cosa. Non perdete la frase chiave, perchè non c'è nessun modo di recuperarla. Questa frase vi servirà ogni volta che dovrete usare la vostra chiave segreta. La frase tiene conto di maiuscole/minuscole, e non dovrebbe essere troppo corta o facile da indovinare. Non è mai mostrata sullo schermo. Non lasciatela scritta in posti dove altri potrebbero vederla, e non memorizzatela nel vostro computer. Se non volete una frase chiave (pazzi!) premete solo enter quando vi viene richiesta.
La coppia di chiavi pubblica/segreta è derivata da numeri molto casuali generati principalmente misurando l'intervallo fra le vostre battute con un timer veloce. PGP vi chiederà di battere dei tasti a caso per permettergli di accumulare dei bits casuali per le chiavi. Quando vi verrà richiesto, dovrete battere alcuni tasti, ad intervalli ragionevolmente casuali, e non guasterebbe scegliere i caratteri irregolarmente. Parte della casualità proviene dall'imprevedibilità di ciò che batterete. Quindi non ripetete sequenze fisse di caratteri.
Si noti che la generazione di chiavi RSA è un processo lento. Potrà richiedere pochi secondi per una chiave piccola su di un processore veloce, o alcuni minuti per una chiave lunga su di un IBM PC/XT. PGP vi indicherà la situazione della generazione in corso.
La coppia di chiavi generata sarà inserita nei vostri portachiavi pubblico e segreto. Voi potrete poi utilizzare il comando -kx per estrarre (copiare) la vostra nuova chiave pubblica dal portachiavi e piazzarla in un file per distribuirla ai vostri corrispondenti, che la inseriranno nei loro portachiavi. Naturalmente terrete la chiave segreta per voi e la dovreste inserire nel vostro portachiavi segreto. Ogni chiave segreta in un portachiavi è protetta dalla sua specifica frase chiave.
Non date a nessuno la vostra frase segreta, e per lo stesso motivo non generate coppie di chiavi per i vostri amici. Ognuno dovrebbe generare le proprie. Mantenete sempre il controllo materiale della vostra chiave segreta e non rischiate di esporla mettendola in un computer remoto con più utilizzatori contemporanei. Tenetela nel vostro personal computer.
Se PGP non trova questa guida sul vostro computer e rifiuta di generare le chiavi, non agitatevi. Leggete la spiegazione del parametro NOMANUAL nella sezione "Preparare i parametri di configurazione" nel "Volume II - Funzioni avanzate".
Ritorno all'Indice
Per aggiungere il contenuto di un file di chiavi al vostro portachiavi pubblico o segreto (le [parentesi] indicano campi opzionali):
pgp -ka filechiavi [portachiavi]
L'estensione di default per il file di chiavi è ".pgp". Il nome di default del portachiavi è "pubring.pgp" o "secring.pgp", secondo il contenuto del file di chiavi. Voi potete specificare un portachiavi diverso, con estensione di default ".pgp"
Se la chiave è già nel vostro portachiavi, PGP non la aggiungerà di nuovo. Tutte le chiavi presenti nel file saranno aggiunte, eccetto i duplicati.
Più avanti nel manuale verrà spiegato il concetto di certificazione di chiavi con le firme. Se la chiave da aggiungere ha delle firme collegate che la certificano, queste verranno aggiunte al portachiavi. Se la chiave è già presente nel portachiavi, PGP aggiungerà le eventuali firme di certificazione che ancora non avete.
PGP è stato progettato originalmente per maneggiare piccoli portachiavi. Se volete maneggiare quelli molto grandi, leggete la sezione "Maneggiare portachiavi molto grandi" del "Volume II - Funzioni avanzate"
Ritorno all'Indice
pgp -kr ID [portachiavi]
PGP cerca l'ID specificato nel vostro portachiavi e lo rimuove. Ricordatevi che è sufficiente anche solo una parte dell'ID per trovarlo. Si assume che il nome del portachiavi sia "pubring.pgp". Può essere omesso, potete inserire "secring.pgp" se volete eliminare una chiave segreta, o potete inserire il nome di un altro portachiavi. L'estensione di default è ".pgp".
Sè esiste più di un ID per la chiave specificata, vi verrà richiesto se volete rimuovere solo quell'ID e lasciare gli altri e la chiave.
Ritorno all'Indice
pgp -kx ID filechiavi [portachiavi]
PGP copia, senza distruggerle, le chiavi specificate dall'ID dal vostro portachiavi pubblico/segreto al file di chiavi specificato. È particolarmente utile quando volete dare ad altri copia della vostra chiave pubblica.
Se la chiave ha delle firme di certificazione allegate, queste sono copiate assieme alla chiave.
Se volete che la chiave sia estratta in caratteri ASCII adatti ad essere spediti via e-mail, usate l'opzione -kxa.
Ritorno all'Indice
pgp -kv[v] [ID] [portachiavi]
PGP mostra qualunque chiave del vostro portachiavi che contenga la stringa specificata nel campo ID. Se omettete l'ID, le mostra tutte. Si assume che il nome del portachiavi sia "pubring.pgp". Può essere omesso, potete inserire "secring.pgp" se volete vedere una chiave segreta, o potete inserire il nome di un altro portachiavi. L'estensione di default è ".pgp".
Più avanti nel manuale verrà spiegato il concetto di certificazione delle chiavi con le firme. Per vedere tutte le firme di certificazione, usate l'opzione -kvv:
pgp -kvv [ID] [portachiavi]
Se volete specificare un nome di portachiavi, ma vedere tutte le chiavi contenute, provate questa alternativa:
pgp filechiavi
Senza specificare opzioni, PGP mostra tutte le chiavi in filechiavi.pgp, e cerca di aggiungerle al vostro portachiavi, se non sono già presenti.
Ritorno all'Indice
Supponiamo che vogliate mandare un messaggio ad Alice. Vi procurate la sua chiave pubblica da una BBS. Cifrate la vostra lettera e la inviate via e-mail.
Sfortunatamente, senza che voi od Alice lo sapeste, un altro utente di nome Charlie si è infiltrato nella BBS ed ha generato una sua chiave pubblica usando l'ID di Alice. Di nascosto ha sostituito la sua chiave a quella di Alice. Quindi voi avete la chiave generata da Charlie e pensate sia di Alice. Tutto sembra normale, poichè la chiave fasulla ha l'ID di Alice. Ora Charlie può decifrare il messaggio diretto ad Alice perchè ha la chiave segreta associata. Potrebbe anche ricifrarlo con la vera chiave pubblica di Alice e rimandarglielo. Nessuno potrebbe sospettare alcunchè. Ancora peggio, Charlie potrebbe produrre delle firme di Alice apparentemente valide, perchè tutti userebbero la chiave pubblica fasulla per verificarle.
L'unico modo per prevenire questo disastro, è quello di impedire a chiunque di manomettere le chiavi pubbliche. Se voi ricevete la chiave pubblica di Alice direttamente da Alice, nessun problema. Potrebbe però essere complicato se Alice abitasse a 1000 km di distanza, o non fosse comunque raggiungibile subito.
Forse potreste ricevere la chiave pubblica di Alice da un comune amico fidato, David, che sa di averne una copia autentica. David potrebbe firmare la chiave di Alice, garantendone l'integrità. David creerebbe la firma con la propria chiave segreta.
Questo creerebbe un certificato di chiave pubblica firmato, e mostrerebbe che la chiave di Alice non è stata manomessa. Naturalmente voi dovete avere una copia valida della chiave di David per controllare la sua firma. Forse David può anche fornire ad Alice una copia firmata della vostra chiave pubblica. David è il "presentatore" tra voi ed Alice.
Il certificato di chiave pubblica firmato di Alice può essere caricato da David o da Alice nella BBS, e voi potete ritrovarlo più tardi. Poi potete controllare la firma con la chiave pubblica di David ed essere sicuro che sia veramente la chiave pubblica di Alice. Nessun impostore può indurvi ad accettare una chiave fasulla di Alice, perchè nessuno può falsificare la firma di David.
Una persona notoriamente fidata potrebbe perfino specializzarsi in questo servizio di "presentazione" tramite certificati di chiave pubblica firmati. Questa persona sarebbe un "gestore di chiavi", o un'"Autorità di Certificazione". Ogni certificato di chiave pubblica recante la firma del gestore di chiavi potrebbe essere considerato come veramente appartenente al proprietario dichiarato. Tutti gli utilizzatori interessati avrebbero solo bisogno di una copia autentica della chiave pubblica del gestore di chiavi, per poter verificare la sua firma.
Un gestore di chiavi fidato centralizzato o un'Autorità di Certificazione è particolarmente appropriato per grandi, impersonali organizzazioni controllate dal centro, o per le istituzioni governative. Alcuni ambienti istituzionali usano delle gerarchie di Autorità di Certificazione.
Per ambienti più decentralizzati e terra terra, stile "guerriglia", probabilmente funzionerebbe meglio permettere a qualunque utente di garantire per i propri amici. PGP tende ad enfatizzare questo approccio organico non istituzionale e decentralizzato. Riflette maggiormente il modo in cui gli esseri umani interagiscono fra loro nei normali rapporti sociali, e permette alle persone di scegliere quali sono le persone di cui si fidano per la gestione delle chiavi.
Questo grosso problema della protezione delle chiavi pubbliche dalle manomissioni è il problema più importante nell'applicazione pratica del sistema. È il tallone di Achille della crittografia a chiave pubblica, e buona parte della complessità del software è dovuta alla necessità di affrontarlo.
Bisognerebbe usare una chiave pubblica solo quando si è sicuri che sia originale e non manomessa, ed appartenga veramente al proprietario dichiarato. Potete essere sicuri di questo se ricevete la chiave direttamente dal proprietario, o se porta la firma di qualcuno di cui vi fidate e di cui già possedete una chiave pubblica sicura. Inoltre l'ID dovrebbe contenere il nome completo del proprietario della chiave, e non solo il nome di battesimo.
Non importa quanto siate tentati-- e sarete tentati-- : mai, MAI cedere e fidarvi di una chiave pubblica ricevuta da una BBS se non è firmata da qualcuno di cui vi fidate. Una chiave pubblica non certificata può essere stata manomessa da chiunque, forse perfino dall'amministratore della BBS.
Se vi viene chiesto di firmare la chiave pubblica di qualcuno, assicuratevi che appartenga veramente al proprietario dichiarato nell'ID. Questo perchè con la vostra firma garantite personalmente che la chiave è genuina. Altre persone che si fidano di voi accetteranno quella chiave perchè porta la vostra firma. Sarebbe sbagliato fidarvi di un "sentito dire". Non firmate quella chiave fino a quando non avrete prove indipendenti e di prima mano che sia genuina. Possibilmente dovreste firmarla solo se l'avete ricevuta direttamente dal proprietario.
Per firmare una chiave pubblica, dovete essere molto più sicuri della sua autenticità di quando volete solo usarla per cifrare un messaggio. Per essere convinti della genuinità di una chiave abbastanza da usarla, dovrebbero essere sufficienti le firme di certificazione di persone fidate che la accompagnano. Per firmarla voi però, dovreste ottenere una vostra conoscenza personale di prima mano di questa genuinità. Forse potreste telefonare al proprietario e (naturalmente essendo sicuri di parlare con la persona giusta) leggergli la chiave per ottenerne conferma. Per i dettagli vedere la sezione "Verifica di una chiave attraverso il telefono" del "Volume II - Funzioni avanzate".
Tenete in mente che la vostra firma sulla chiave pubblica di una persona non garantisce l'integrità di quella persona, bensì l'integrità (la proprietà) della sua chiave. Voi non rischiate la vostra credibilità firmando la chiave di uno psicopatico, se avete piena conoscenza che la chiave appartiene a lui. Altre persone accetteranno quella chiave come appartenente a lui perchè voi l'avete firmata, ma non si fideranno di lui. Fidarsi di una chiave non significa automaticamente fidarsi del suo proprietario.
La fiducia non è necessariamente trasferibile; io ho un amico fidato e so che non mente. È una persona influenzabile che crede che il Presidente non menta. Questo non significa che io creda che il Presidente non menta. È solo questione di buon senso. Se io mi fido della firma di Alice su una chiave, ed Alice si fida della firma di Charlie su una chiave, questo non implica che io mi debba fidare della firma di Charlie su una chiave.
Sarebbe buona cosa tenere la vostra chiave pubblica assieme ad una buona collezione di firme di certificazione di diversi "presentatori", nella speranza che la maggioranza delle persone si fiderà di almeno uno fra coloro che garantiscono la validità della chiave. Voi potrete distribuire la vostra chiave assieme a questa collezione di firme nelle varie BBS. Se firmerete la chiave di altri, rispeditela con la vostra firma, così che i proprietari possano aggiungerla alla propria collezione di credenziali.
PGP tiene conto di quali chiavi nel vostro portachiavi pubblico sono adeguatamente certificate con firme di presentatori di cui vi fidate. Tutto ciò che dovete fare è dire a PGP di quali persone vi fidate come presentatori e certificare voi stessi le loro chiavi con la vostra firma. PGP da quì validerà automaticamente tutte le chiavi firmate da questi presentatori. Naturalmente potete anche firmare voi direttamente delle chiavi. Altri dettagli più avanti.
Siate sicuri che nessun altro possa manomettere il vostro portachiavi pubblico. Il controllo di un certificato di chiave firmato, alla fine dipende dall'integrità della chiave pubblica fidata che appare già nel vostro portachiavi. Mantenete il controllo fisico del vostro portachiavi pubblico, preferibilmente tenendolo nel vostro PC piuttosto che in un sistema remoto con più utilizzatori contemporanei, proprio come dovreste fare con la vostra chiave segreta. Nel caso del portachiavi pubblico però, si tratta di proteggerlo dalla manomissione, non dall'apertura. Tenete una copia di backup sicuramente valida dei vostri portachiavi su di un supporto protetto da scrittura.
Siccome la vostra propria chiave pubblica è l'autorità suprema che, direttamente od indirettamente, certifica tutte le altre chiavi del vostro portachiavi, essa è la chiave più importante da proteggere dalla manomissione. Per rilevare ogni manomissione su di essa, PGP può essere predisposto per compararla con una copia di backup su supporto protetto da scrittura. Per i dettagli vedere la descrizione del comando "-kc" nel "Volune II - Funzioni avanzate".
PGP in generale presume che voi manteniate la sicurezza fisica del vostro sistema, dei vostri portachiavi e del PGP stesso. Se un abusivo può manomettere il vostro disco, in teoria può manomettere lo stesso PGP, disabilitando i controlli che esso può fare per verificare la manomissione delle vostre chiavi.
Un sistema in un certo senso complicato per proteggere il vostro portachiavi pubblico dalle manomissioni può essere quello di firmarlo con la vostra chiave segreta. Potete creare un certificato di firma staccato del portachiavi pubblico, firmandolo con l'opzione "-sb" (si veda la sezione "Firme separate dai messaggi" nel "Volume II - Funzioni avanzate"). Sfortunatamente, dovrete sempre tenere una copia fidata separata della vostra chiave pubblica per poter verificare la vostra firma. Non potete fidarvi della vostra chiave pubblica presente nel portachiavi pubblico per verificare il portachiavi pubblico stesso. Essa fa parte di ciò che volete verificare.
Ritorno all'Indice
PGP tiene conto di quali chiavi pubbliche nel vostro portachiavi sono adeguatamente certificate da firme fidate. Tutto ciò che dovete fare è dire a PGP quali sono le persone di cui vi fidate come presentatori, e certificare voi stessi le loro chiavi con la vostra firma. PGP quindi valida tutte le chiavi firmate da queste persone. Ovviamente voi stessi potete firmare delle chiavi.
Esistono due criteri separati che PGP usa per giudicare l'utilità di una chiave pubblica. Attenzione a non confonderli:
1) La chiave appartiene veramente al proprietario dichiarato? In
altre parole, è certificata da una firma fidata?
2) Appartiene a qualcuno di cui vi fidate come presentatore?
Mentre PGP può ricavare la risposta alla prima domanda, siete voi a dover fornire la risposta alla seconda. Avendo la risposta alla domanda 2, PGP può ricavare la risposta 1 per le chiavi firmate da persone indicate come fidate.
Le chiavi certificate da presentatori fidati sono considerate valide da PGP. Le chiavi appartenenti a presentatori fidati devono esse stesse essere certificate da voi o da altri presentatori fidati.
PGP vi dà anche la possibilità di assegnare vari gradi di affidabilità ai presentatori. La vostra fiducia in un proprietario di chiave per agire come presentatore non riflette semplicemente la vostra stima dell'integrità di quella persona-- deve anche considerare la vostra valutazione della sua competenza nel capire la gestione delle chiavi e decidere se firmarle. Voi potete dire a PGP che una persona è sconosciuta, non fidata, abbastanza fidata o completamente fidata per ciò che riguarda la certificazione di chiavi. Questa informazione è conservata nel vostro portachiavi assieme alle chiavi corrispondenti, ma quando copiate delle chiavi dal vostro portachiavi pubblico queste informazioni non vengono estratte, perchè le vostre opinioni personali sono confidenziali.
Quando PGP calcola la validità di una chiave, esamina il livello di affidabilità di tutte le firme collegate. Calcola un punteggio pesato di validità-- 2 firme abbastanza fidate sono considerate credibili come una firma completamente affidabile. Lo scetticismo di PGP è regolabile-- per esempio, potreste richiedere 2 firme completamente affidabili o 3 parzialmente affidabili per validare una chiave.
La vostra chiave è "assiomaticamente" valida per PGP, e non richiede firme per essere considerata valida. PGP sa qual è la vostra chiave pubblica perchè trova quella segreta corrispondente nel vostro portachiavi segreto. PGP presume che voi vi fidiate di voi stessi come certificatori di altre chiavi.
Col passare del tempo accumulerete chiavi di altre persone, e vorrete poterle indicare come presentatori fidati. Così faranno tutti gli altri utenti. Quindi ognuno gradualmente accumulerà e distribuirà una collezione di certificati della propria chiave, nella speranza che ogni persona che la riceverà si fiderà almeno di una o due firme fra quelle presenti. Questo causerà lo sviluppo di un sistema decentralizzato di fiducia per tutte le chiavi pubbliche.
Questo approccio popolare contrasta fortemente con gli schemi standard di gestione delle chiavi pubbliche del Governo, come il PEM (Privacy Enhanced Mail), che sono basati sul controllo centrale e sulla fiducia centralizzata obbligatoria. Gli schemi standard si basano su di una gerarchia di Autorità di Certificazione che vi impongono le persone di cui dovete fidarvi. Il metodo probabilistico decentralizzato di PGP per determinare la legittimità delle chiavi pubbliche è l'elemento centrale della sua gestione delle chiavi. PGP permette solo a voi di decidere di chi vi fidate, mettendovi al vertice della vostra propria piramide di certificatori. PGP è per le persone che preferiscono piegare personalmente il proprio paracadute.
Ritorno all'Indice
Per proteggere la vostra chiave segreta potete cominciare col mantenerne il controllo fisico. Tenerla nel vostro PC a casa va bene, così come nel notebook che vi portate appresso. Se dovete usare un PC sul lavoro e non ne avete il controllo fisico continuo, tenete la chiave in un floppy disk protetto da scrittura, e non lasciatelo in giro quando lasciate l'ufficio. Non è una buona idea lasciare la vostra chiave in un sistema remoto con più utenti contemporanei, come una rete Unix. Qualcuno potrebbe sorvegliare la vostra linea e catturare la vostra frase chiave, quindi ottenere la vostra chiave segreta dal sistema remoto. Dovreste usare la vostra chiave segreta solo su di una macchina su cui mantenete il controllo fisico.
Non scrivete la vostra frase chiave da nessuna parte sul computer che contiene il vostro portachiavi segreto. Mettere chiave segreta e frase chiave nello stesso computer sarebbe come scrivere il numero segreto della tessera Bancomat sulla tessera stessa. Voi non volete che qualcuno possa accedere ad un disco che contenga frase chiave e chiave segreta. Sarebbe più sicuro se memorizzaste la frase chiave e non la registraste da nessuna parte che non sia il vostro cervello. Se ritenete di doverla scrivere, proteggetela bene, forse meglio del portachiavi segreto.
Tenete copie di backup del vostro portachiavi segreto-- ricordatevi che ne possedete l'unica copia, e perderla renderebbe inutili tutte le copie della vostra chiave pubblica che avete distribuito per il mondo.
L'approccio decentralizzato non istituzionale di PGP alla gestione delle chiavi pubbliche ha i suoi vantaggi, ma implica purtroppo il non poter fare riferimento ad una lista centralizzata di chiavi compromesse. Questo rende un po' più difficile contenere il danno provocato da una chiave segreta compromessa. Potete solo spargere la voce e sperare che tutti la sentano.
Nella situazione peggiore-- chiave segreta e frase chiave entrambe compromesse (si spera che in qualche modo ve ne accorgiate)-- dovrete generare un certificato di "chiave compromessa". Questo certificato serve ad avvisare le altre persone di smettere di usare la vostra chiave pubblica. Potete creare questo certificato con PGP usando il comando "-kd". Dovrete in qualche modo inviare questo certificato a tutti gli utilizzatori, o almeno agli amici, agli amici degli amici, ecc.. Il loro PGP installerà questo certificato nel loro portachiavi pubblico e impedirà automaticamente l'uso accidentale della vostra chiave pubblica per sempre. Voi potrete poi generare una nuova coppia di chiavi pubblica/segreta e pubblicare la nuova chiave pubblica. Potreste anche distribuire un pacchetto contenente la vostra nuova chiave pubblica ed il certificato di compromissione di quella vecchia.
Ritorno all'Indice
Per generare un certificato di revoca della vostra chiave, usate il comando -kd:
pgp -kd mio_ID
Questo certificato reca la vostra firma fatta con la chiave che volete revocare. Dovreste distribuirlo capillarmente appena possibile. Altre persone che lo riceveranno potranno aggiungerlo al proprio portachiavi pubblico e PGP impedirà loro di usare ancora accidentalmente la vostra vecchia chiave. A questo punto potrete generare una nuova coppia di chiave pubblica/segreta.
Potreste decidere di revocare la vostra chiave per ragioni diverse dalla compromissione della chiave segreta. Usate lo stesso procedimento.
Ritorno all'Indice
Cosa potete fare se avete perso la vostra chiave segreta o se è stata distrutta? Non potete revocarla voi, perchè dovreste usare proprio quella chiave, e non ne siete più in possesso. Una versione futura di PGP offrirà un metodo più sicuro per revocare chiavi in queste circostanze, permettendo ai presentatori fidati di dichiarare che una chiave è stata revocata. Per ora dovrete spargere la voce con qualunque mezzo informale conosciate, chiedendo agli utilizzatori di "disabilitare" la vostra chiave nei loro portachiavi pubblici.
Gli altri utilizzatori possono disabilitare la vostra chiave pubblica nei propri portachiavi pubblici con il comando "-kd". Se si specifica un ID che non corrisponde ad una chiave segreta nel portachiavi segreto, il comando -kd cerca l'ID nel portachiavi pubblico e contrassegna la chiave come disabilitata. Una chiave disabilitata non può essere usata per cifrare messaggi e non può essere estratta con il comando -kx. Può ancora essere usata per controllare una firma, ma viene visualizzato un richiamo. Se l'utilizzatore cerca di aggiungere di nuovo la stessa chiave al proprio portachiavi pubblico, non gli è permesso perchè la chiave disabilitata è già presente. Queste funzioni combinate aiutano a limitare la successiva diffusione di una chiave disabilitata.
Se la chiave pubblica specificata è già disabilitata, il comando -kd vi chiederà se volete riabilitarla.
Ritorno all'Indice
La maggior parte delle "Funzioni avanzate" è descritta nel "Volume II - Funzioni avanzate". Eccone però alcune che meritano di essere citate qui.
Ritorno all'Indice
Il formato radix-64 converte il testo espandendo gruppi di 3 bytes binari da 8 bits in 4 caratteri ASCII stampabili, sicchè il file cresce di circa il 33%. Questa espansione non è così grave, poichè il file è già stato probabilmente compresso di più prima di essere cifrato.
Per produrre un file cifrato in formato ASCII radix-64, aggiumgere l'opzione "a" quando si cifra o si firma un messaggio, così:
pgp -esa lettera.txt dest_ID
Questo esempio produce un file cifrato "lettera.asc" contenente dati in formato ASCII radix-64 simile al MIME. Questo file può essere maneggiato da qualunque editor di testo per essere trasmesso via e-mail.
La decifrazione di un messaggio con armatura di trasporto radix-64 è uguale a quella normale. Esempio:
pgp lettera
PGP cerca automaticamente il file ASCII "lettera.asc" prima di cercare "lettera.pgp". Riconosce che il file è in formato radix-64 e lo riconverte in binario prima di processarlo normalmente, producendo un file cifrato temporaneo ".pgp". Il risultato finale è un file in chiaro, esattamente come il messaggio originale "lettera.txt".
La maggior parte dei servizi e-mail su Internet proibisce l'invio di messaggi più lunghi di 50000 o 65000 bytes. I messaggi più lunghi devono essere spezzati in blocchi più piccoli da spedire separatamente. Se il vostro messaggio è molto lungo e voi richiedete il formato radix-64, PGP lo spezza in blocchi sufficientemente piccoli da poter essere spediti. I blocchi sono posti in files con estensione ".as1", ".as2", ".as3", ecc. Il destinatario dovrà concatenare questi files nel giusto ordine in un unico file più grande. Durante la decifrazione, PGP ignorerà tutto il testo estraneo non compreso nei blocchi di messaggio radix-64.
Se volete inviare una chiave pubblica a qualcuno usando il formato radix-64, aggiungete l'opzione -a quando estraete la chiave dal portachiavi.
Se dimenticate di usare l'opzione -a quando cifrate un testo o estraete una chiave, potete ancora convertire il file in radix-64 semplicemente usando l'opzione -a da sola, senza richiedere nessuna cifratura. PGP convertirà il vostro file in un file ".asc".
Se firmate un testo in chiaro senza cifrarlo, PGP lo comprimerà dopo averlo firmato, rendendolo illeggibile. Questo va bene per applicazioni di archiviazione di files firmati. Se però volete inviare il file per e-mail, ed il file è in formato testo (non binario); è possibile inviarlo senza comprimerlo ed applicare l'armatura ASCII solo alla firma. Questo rende possibile al destinatario leggere il messaggio senza l'aiuto di PGP. Naturalmente PGP servirà per controllare la firma. Per maggiori informazioni su questa funzione, si veda la spiegazione del parametro CLEARSIG nella sezione "Preparare i parametri di configurazione" nel "Volume II - Funzioni avanzate".
Se voleste inviare un file binario per e-mail senza cifrarlo o firmarlo, potreste utilizzare uuencode, come fanno molti. PGP può anche svolgere questa funzione, usando l'opzione -a da sola, e svolge un lavoro migliore di uuencode. Per i dettagli, si veda la sezione "Usare PGP come un uuencode migliore", nel "Volume II - Funzioni avanzate."
Ritorno all'Indice
SET PGPPATH=C:\PGP
dice a PGP che il nome del vostro portachiavi pubblico è "C:\PGP\pubring.pgp". Ovviamente se questa directory esiste. Usate il vostro editor di testo preferito per modificare il vostro file AUTOEXEC.BAT in MSDOS in modo che assegni automaticamente il valore giusto della variabile all'avviamento del sistema. Se PGPPATH non è definita, PGP cercherà i files speciali nella directory corrente.
Ritorno all'Indice
Per poter essere compatibile con i diversi sistemi operativi, il file può anche essere chiamato ".pgprc" in ambiente Unix, o "pgp.ini" in ambiente MSDOS.
Con questi parametri di configurazione, potete ad esempio stabilire dove PGP salverà i suoi files temporanei, che lingua PGP utilizzerà per dare istruzioni e messaggi, oppure potrete stabilire il livello di scetticismo di PGP nel determinare la validità di una chiave dalle firme di certificazione.
Per maggiori dettagli su questo file di configurazione, si veda la sezione relativa nel "Volume II - Funzioni avanzate.
Ritorno all'Indice
Nessun sistema di sicurezza è inviolabile. PGP può essere reso non efficace in molti modi. Le vulnerabilità potenziali di cui dovreste tener conto, comprendono la compromissione della vostra chiave segreta o della vostra frase chiave, la manomissione della vostra chiave pubblica, i files che dopo essere stati cancellati esistono ancora da qualche parte sul disco, i virus ed i cavalli di Troia, le falle nel vostro sistema di sicurezza, le emissioni elettromagnetiche, l'esposizione tipica dei sistemi multiutente, l'analisi del traffico, e forse anche l'analisi crittografica.
Per un'analisi dettagliata di questi punti, si veda la sezione "Vulnerabilità" nel "Volume II - Funzioni avanzate"
Ritorno all'Indice
- Riflessioni di Zimmermann -
Quando si esamina un programma di crittografia, rimane sempre la domanda: perchè dovrei fidarmi di questo prodotto? Anche se esaminate direttamente il codice sorgente, non tutti abbiamo un'esperienza sufficiente in crittografia per poter giudicare il livello di sicurezza. Anche se siete un crittografo esperto, possono ancora sfuggirvi delle piccole debolezze degli algoritmi.
Quando ero al college all'inizio degli anni 70, sviluppai quello che credevo fosse uno schema brillante di crittografia. Una serie di numeri pseudo casuali veniva aggiunta al testo in chiaro per creare il testo cifrato. Questo avrebbe presumibilmente ingannato qualunque sistema di analisi in frequenza del testo cifrato, e sarebbe stato inviolabile anche dalle agenzie di Informazione Governative più ricche di risorse. Ero così compiaciuto della mia realizzazione. Così stupidamente sicuro.
Anni dopo, scoprii lo stesso schema in diversi testi introduttivi alla crittografia. Che bello. Altri crittografi avevano pensato allo stesso schema. Sfortunatamente lo schema era presentato come un semplice esercizio su come utilizzare le tecniche di analisi crittografica elementare per violarlo in modo triviale. Il mio brillante schema.
Da questa esperienza mortificante imparai quanto fosse facile cadere in un falso senso di sicurezza fidandosi di un algoritmo di crittografia. La maggior parte delle persone non capisce quanto sia difficile sviluppare un algoritmo che possa affrontare un attacco prolungato e determinato da parte di un avversario ricco di risorse. Molti sviluppatori software di grido hanno realizzato schemi di crittografia ingenui come il mio (spesso proprio lo stesso), ed alcuni di loro lo hanno inserito in pacchetti software commerciali di crittografia e venduto per denaro a migliaia di utilizzatori fiduciosi.
È come vendere cinture di sicurezza per automobile che sembrano ottime ma si strappano in occasione del più piccolo urto. Dipendere da loro può essere peggio che non indossare del tutto le cinture. Nessuno sospetta che siano inaffidabili fino al primo incidente. Dipendere da un software crittografico debole può portarvi a mettere a rischio senza saperlo informazioni importanti. Non l'avreste fatto se non aveste avuto del tutto un software crittografico. Addirittura potreste non scoprire mai che i vostri dati sono stati compromessi.
A volte i pacchetti commerciali usano il DES (Federal Data Encription Standard), un algoritmo commerciale abbastanza buono raccomandato dal Governo per l'uso commerciale (ma non per le informazioni classificate, stranamente-- hmmm). Ci sono diversi "modi operativi" nel DES, alcuni migliori di altri. Il Governo raccomanda specificamente di non usare il modo più semplice e debole, l'ECB (Electronic Codebook). Raccomanda invece di usare i più robusti e complessi CFB (Cipher Feedback) e CBC (Cipher Block Chaining).
Sfortunatamente la maggior parte dei pacchetti commerciali di crittografia che ho visto usa il modo ECB. Parlando con gli autori di queste implementazioni, ho saputo che non avevano mai sentito nominare CBC o CFB, e non sapevano niente della debolezza dell'ECB. Il fatto che essi non avessero imparato abbastanza sulla crittografia per conoscere questi concetti elementari non è rassicurante. A volte gestiscono anche le chiavi in maniera impropria o insicura. In più questi pacchetti contengono spesso un secondo algoritmo più veloce da utilizzare al posto del più lento DES. L'autore del pacchetto spesso crede che il suo algoritmo sia sicuro come il DES, ma dopo poche domande, di solito scopro che è solo una variazione del mio brillante schema dei tempi del college. A volte non mi rivelano neppure come il loro algoritmo funziona, ma mi assicurano che è uno schema brillante e che devo fidarmi. Io sono sicuro che loro credano che l'algoritmo sia brillante, ma come posso saperlo senza vederlo?
In tutta franchezza devo sottolineare che nella maggior parte dei casi questi prodotti terribilmente deboli non sono venduti da società specializzate in tecnologia crittografica.
Perfino i pacchetti di software veramente buoni, che usano il DES nel modo corretto, hanno ancora dei problemi. Il DES standard utilizza una chiave di 56 bits, troppo pochi per gli standard odierni, che può essere violata facilmente con metodi di ricerca intensiva e macchine ad alta velocità. Il DES ha raggiunto la fine della sua vita utile, e così è per ogni software basato su di esso.
Una ditta di nome AccessData (87 East 600 South, Orem, Utah 84058, tel. +1-800-658-5199) vende per 185$ un pacchetto che viola gli schemi di crittografia usati da WordPerfect, Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox e MS Word 2. Esso non si limita ad indovinare la parola chiave, ma esegue una vera analisi crittografica. Alcune persone lo comprano dopo aver dimenticato la parola chiave per accedere ai propri files. Le forze di Polizia comprano lo stesso pacchetto per poter leggere i files che sequestrano. Ho parlato con Eric Thompson, l'autore, e mi ha detto che il programma impiega una frazione di secondo per rompere il codice, ma che lui ha inserito dei ritardi per non farlo sembrare troppo facile. Mi ha anche detto che la parola chiave opzionale di PKZIP può spesso essere violata facilmente, e che le forze di Polizia hanno usufruito sovente di questo servizio fornito da un altro venditore.
In un certo senso, la crittografia è come un farmaco. La sua integrità è fondamentale. La penicillina guasta ha lo stesso aspetto di quella buona. Voi potete giudicare se il vostro programma di contabilità sbaglia, ma come potete dire se il vostro programma di crittografia è debole? Il testo cifrato prodotto da un algoritmo debole ha lo stesso aspetto di quello prodotto da un algoritmo forte. C'è un mucchio di olio di serpente in vendita. Un mucchio di cure "miracolose". Solo che, a differenza dei venditori di medicine dei vecchi tempi, gli sviluppatori di software normalmente non sanno che ciò che usano è olio di serpente. Possono essere degli ottimi tecnici, ma di solito non hanno letto niente della letteratura accademica sulla crittografia. Però pensano di poter scrivere del buon software crittografico. E in fondo, perchè no? Dopo tutto sembra intuitivamente facile, ed il loro software sembra funzionare bene.
Chiunque pensi di aver sviluppato uno schema di cifratura inattaccabile, può essere un genio incredibilmente raro, oppure è ingenuo ed inesperto. Sfortunatamente devo trattare a volte con degli aspiranti crittografi che vogliono apportare "miglioramenti" a PGP aggiungendo degli algoritmi di cifratura sviluppati da loro.
Ricordo una conversazione con Brian Snow, un crittografo di alto livello della NSA. Mi disse che non si sarebbe mai fidato di un algoritmo di cifratura sviluppato da qualcuno che non si fosse fatto le ossa spendendo un mucchio di tempo a violare codici. Questo ha molto senso. Io osservai che praticamente nessuno sviluppatore commerciale poteva qualificarsi secondo questo criterio. "Esatto" mi rispose sorridendo, "e questo rende il nostro lavoro alla NSA molto più semplice". Un pensiero raggelante. Neanche io sono qualificato.
Anche il Governo ha distribuito olio di serpente. Dopo la seconda guerra mondiale, gli Stati Uniti hanno venduto le macchine cifratrici tedesche Enigma ad alcuni governi del terzo mondo. Non è stato però detto loro che gli Alleati avevano già violato il codice Enigma durante la guerra, fatto che è rimasto classificato per molti anni. Ancora oggi molti sistemi Unix in tutto il mondo usano la cifratura Enigma per i files, in parte anche perchè il Governo ha creato ostacoli legali all'uso di algoritmi migliori. Hanno anche tentato di impedire la prima pubblicazione nel 1972 dell'algoritmo RSA. Inoltre hanno di fatto spento sul nascere qualunque sforzo commerciale volto a sviluppare telefoni effettivamente sicuri per l'uso generale.
Il lavoro principale della NSA consiste nella raccolta di informazioni (si veda il libro di James Bamford, "The Puzzle Palace"). La NSA ha accumulato capacità e risorse per violare codici. Se le persone non possono accedere a sistemi crittografici di qualità per proteggere sè stesse, il lavoro della NSA è molto più facile. La NSA è anche responsabile per la raccomandazione e l'approvazione degli algoritmi di cifratura. Qualche critico sostiene che questo sia un conflitto di interessi, come mettere la volpe a guardia del pollaio. La NSA ha cercato di promuovere un algoritmo di crittografia convenzionale di suo sviluppo, senza dire a nessuno come funziona perchè è classificato. Essi vogliono che altri si fidino di esso e lo usino. Qualunque crittografo però, potrà dirvi che un algoritmo valido non ha bisogno di essere classificato per rimanere sicuro. Solo la chiave necessita di protezione. Come si fa a sapere se l'algoritmo della NSA è veramente sicuro? Non è così difficile per la NSA progettare un algoritmo di cifratura violabile solo da loro se nessuno può vederlo. Che stiano deliberatamente vendendo olio di serpente?
Sono tre i fattori principali che hanno minato la qualità del software crittografico prodotto negli Stati Uniti. Il primo è la mancanza di competenza virtualmente universale degli sviluppatori del software crittografico commerciale (sebbene questo abbia iniziato a cambiare dopo la pubblicazione di PGP). Ogni tecnico software pensa di essere un crittografo, e questo ha portato alla proliferazione di software molto scadente. Il secondo fattore è la soppressione deliberata e sistematica da parte dell'NSA di tutte le tecnologie crittografiche commerciali di valore, per mezzo dell'intimidazione legale e della pressione economica. Parte di questa pressione è esercitata applicando stringenti controlli alle esportazioni del software crittografico, il che, nell'economia di mercato, ha l'effetto diretto di sopprimere anche il mercato interno. Il terzo metodo di soppressione deriva dal concedere i diritti di utilizzo di tutti gli algoritmi di crittografia a chiave pubblica ad una sola azienda, dovendo così controllare un solo punto critico per frenare la diffusione di questa tecnologia. L'effetto di tutto questo è che prima della pubblicazione di PGP non c'era praticamente nessun software di crittografia di alta sicurezza per uso generale disponibile negli Stati Uniti.
Io non sono sicuro della sicurezza di PGP come lo ero del mio brillante software di crittografia del college. Se lo fossi sarebbe un cattivo segno. Sono però abbastanza sicuro che PGP non contenga vistose debolezze (sebbene possa contenere errori). L'algoritmo di crittografia è stato sviluppato da persone di alto livello nel mondo accademico della crittografia civile, ed è stato sottoposto a controlli intensivi da esperti loro pari. Il codice sorgente è disponibile per facilitare questo tipo di verifica e per aiutare a dissolvere le paure di alcuni utenti. È stato sottoposto ad indagini ragionevolmente accurate, ed ha richiesto anni di sviluppo. Inoltre io non lavoro per la NSA. Spero che per fidarvi di PGP non vi sia richiesto un "atto di fede" troppo impegnativo.
Ritorno all'Indice
PGP è stato sviluppato originalmente per macchine MSDOS e Unix. C'è anche una versione per Apple Macintosh. Questo manuale è scritto per la versione MSDOS/Unix, che usa un'interfaccia a linea di comando per richiamare tutte le funzioni di PGP. Sul Mac, tutte le funzioni sono richiamate da menù a tendina e finestre di dialogo. C'è un help on-line e dovrebbe esserci della documentazione aggiuntiva a questo manuale specifica per il Mac nel pacchetto dedicato.
Quasi tutti i buoni applicativi per Mac sono stati scritti da capo, e non semplicemente adattati partendo da altri sistemi operativi. Sfortunatamente questo non è il caso dell'attuale versione di PGP per Mac. Essa è stata portata su Mac da MSDOS/Unix da Zbigniew Fiedorwicz. Non essendo la versione MSDOS/Unix progettata per il GUI (Graphical User Interface), l'adattamento a Mac non è stato un lavoro semplice, e ci sono ancora degli errori. È in corso di sviluppo una versione completamente nuova, progettata per adattarsi facilmente al GUI. Da questo nuovo codice sorgente di PGP verrà sviluppata una nuova versione per Mac. Sarà più in "stile Mac" e più affidabile. Nonostante gli errori della versione attuale di MacPGP, è importante notare che se Zbigniew avesse aspettato che questa versione di PGP completamente nuova fosse sviluppata, il mondo sarebbe stato privato di una versione Mac per veramente troppo tempo.
Ritorno all'Indice