[e-privacy] [Fwd: Re: Sottochiavi multiple su GPG: chi ci è riuscito?]

Sun Sep 6 12:42:38 CEST 2009

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

La seconda risposta di sanata mi è arrivata in privato, quindi gli ho
risposto in privato.
In seguito ha provveduto a spedirla in lista: forwardo la sua risposta
alla mia, per completezza del thread.

- -------- Original Message --------
Subject: Re: [e-privacy] Sottochiavi multiple su GPG: chi ci      è
riuscito?
Date: Sun, 06 Sep 2009 11:54:50 +0200
From: Sanata <sanata at paranoici.org>
Reply-To: sanata at paranoici.org
To: Marco Bonetti <marco.bonetti at slackware.it>
References:
<59062.88.149.157.90.1251975003.squirrel at webmail.slackware.it>
<4AA00CC6.1070106 at paranoici.org>
<39857.212.48.3.167.1252049598.squirrel at webmail.slackware.it>
<4AA14939.3060808 at paranoici.org> <4AA31B58.7090706 at slackware.it>

Marco Bonetti wrote:
> (per caso volevi scrivere in lista? è una mail ricca di spunti di
> discussione, io la manderei. in ogni caso ti rispondo in privato (sarei
> veramente sgarbato in caso contrario!))

Whoops, si' in effetti volevo mandarla in lista e-privacy sorry ahahah

> Quello che dici è giustissimo ma, purtroppo, è la "terza via" che anche
> io voglio evitare :D
> Da quello che ho potuto capire dal tutorial ammuffito di fortytwo (e
> buttando anche un occhio alla chiave dell'autore) l'idea generale da
> attuare oggi è questa:
> 
> 1) creo una nuova identità C su una macchina "sicura", seguendo il
> wizard di gpg, quindi ottengo anche le due coppie di sottochiavi E1 ed
> S1 per crittare e firmare (o, vabbè, uso le chiavi solite ma aspetterei
> un attimo prima di rovinarle per sempre :D )
> 2) aggiungo a C altre due coppie: E2 ed S2
> 3) esporto le coppie appena create usando sia il comando export che
> export-secret
> 4) importo le due coppie su una seconda macchina che, secondo il
> tutorial, può anche essere meno sicura della prima.
> 5) itero i passaggi 2-3-4 a seconda di quante macchine voglio dotare di
> chiavi
> 
> Da quello che capisco, questi passaggi consentono alle macchine extra di
> avere comunque la possibilità di eseguire sicuramente firme valide e,
> credo, di riuscire pure con successo a fare encryption. Anche se su
> questo punto ho qualche sospetto.

Ogni macchina potra' si' eseguire firme valide, ma solo:
 - o con la sottochiave in suo possesso
 - o con la chiave principale, se questa e' abilitata per la firma
ma non con le altre. Quindi se il tuo interlocutore non ha la
sottochiave che stai usando non potra' verificare la firma. Stesso
dicasi per l'encryption (anzi, nel to caso decryption): se uno ti manda
un messaggio cifrato con la sottochiave pubblica del portatile e tu lo
leggi dal pc fisso, non potrai decrittarlo.

> + le sottochiavi extra vanno firmate dalla prima? forse no perchè
> derivano dalla stessa identità

Vengono firmate automaticamente quando le crei.

> + la seconda (o terza, quarta, ...) macchina accetta senza batter ciglio
> le due coppie E2 ed S2? probabilmente si perchè non mi pare che nelle
> sottochiavi gpg ci sia anche scritto se hanno dei fratelli

Intendi se una chiave gpg "castrata" di alcune delle sue sottochiavi
resta valida? Si'.

> + ma se quella macchina si sincronizza contro un server che ha già
> sincronizzato la prima macchina "sicura" che succede? o se si
> sincronizza contro un server che ha accetto una seconda macchina extra?
> spero vivamente che i server facciano merge delle informazioni :)

Si', fanno un merge delle informazioni.

Ora rimando in lista la mia precedente risposta, poi se credi che sia il
caso forwarda pure direttamente questa in lista. Scusa per il casino :)

- --
Marco Bonetti
BT3 EeePC 70x enhancing module: http://sid77.slackware.it/bt3/
Slackintosh Linux Project Developer: http://workaround.ch/
Linux-live for powerpc: http://workaround.ch/pub/rsync/mb/linux-live/

My GnuPG key id: 0x0B60BC5F
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFKo5IdTYvJ9gtgvF8RAg7JAKC486cAG1MKoSykJ1EE28GNSYSsTQCePYCW
bQKgQL78CaY/o3VFuI7wCw8=
=gEHV
-----END PGP SIGNATURE-----