Condividi:        

PGP Fingerprint: a cosa serve?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

PGP Fingerprint: a cosa serve?

Postdi gamptw » 03/05/04 10:37

Ragazzi, prima di buttarmi addosso di tutto :) vi chiedo scusa in modo anticipato ;)

OK, la mia domanda è stupida, ma talmente stupida, da non riuscirne a trovare una soluzione.

Se mi arriva una mail con una PGP Fimgerprint dopo, ad es, la firma del Cliente, come faccio ad assicurarmi che il mandante/sender sia proprio lui?
Anche io uso -poco- pgp ma usualmente mi limito a spedire al mio intelocutore la chiave pubblica al fine di poter decriptare un msg con mia chiave privata.

MA in una normale e-mail -in chiaro-: (a) cosa serve porre la fingerprint ? (b) dove vado a trovare un fingerprint's db on-line che mi identifichi quel codice come appartenente quell'utente e come reale mittente?

Ie, ho un Cliente che ad ogni mail mail, dopo l'FSA, mi scrive sempre (le "X" sono mie e vanno a sostituire caratteri alfanumerici):
QUOTE
PGP Fingerprint: A6XX 4BXX 06D0 XX1F 0XX1 B6XX 25XX FXXA XX42 62XX
UNQUOTE

Spero essere stato chiaro...ma nonmi bastonate! :)

Tutto questo sino a che le CamCom si decidano ad assegnare le firme elttroniche anche a privati o semplici consulenti (cioè non solo alle Persone Giuridiche)

grazie + ciauz
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Sponsor
 

Postdi Dylan666 » 03/05/04 12:31

Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi gamptw » 04/05/04 12:49

Dylan666 ha scritto:http://www.pgpi.org/docs/g_pgp952.htm


Grazie. Che emozione rileggere qualcosa di Pastore. altri tempi.....

Btw, non mi risulta chiaro, e perdonatemi la stupidità, se solo dalla fingerprint posso avere certezza sull'autore, senza avere preventivamente in memoria la sua chiave pubblica.

Ho provato (ad ora ho sulla macchina PGP 8.0.2 free) ma quando fa la ricerca sui server idap\etc o mi dice che non trova nulla oppure che (opzione search Key ID) che la formattazione della chiave è errata ma senza spiagazioni di sorta.

Mi serve in ogni modo che mi invii lui la sua chiave, giusto?
La fingerprint da sola mi conferma solamente che da qualche parte ha/aveva creato un PGP key...erro..

grazie per la pazienza :(
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Postdi pjfry » 04/05/04 13:46

premetto che conosco la crittografia solo in teoria, quindi di pgp sò poco e niente...
secondo me con la fingerprint non puoi assolutamente avere certezza dell'autore, perchè chiunque abbia la sua chiave pubblica (e quindi, potenzialmente, tutti) può generarne l'hash.
Da quello che ho capito serve per essere sicuro della chiave pubblica, invece...
cioè, per esempio, tu potresti firmare tutti i tuoi messaggi qui su pc-facile con il fingerprint della tua chiave... potresti metterlo anche in un sito, per esempio, o sui biglietti da visita...
nel momento in cui mi dai la tua chiave pubblica io posso essere ragionevolmente certo di averla ricevuta da te (problema del man in the middle) se confrontandone l'hash con il tuo fingerprint sono uguali...
ha senso quello che ho scritto? :undecided:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Dylan666 » 04/05/04 14:07

No, un attimo... Il PGP si basa su 3 cose: chiave privata, chiave pubblica e fingerprint. La prima serve a produre il fingerprint ed è segreta (la possiede solo l'autore) la seconda serve a verificare l'autenticità del fingerprint (ed è a disposizione di tutti) e quest'ultimo è ciò che permette di certificare la produzione da parte di un utente PGP

la chiave privata consente di apporre al messaggio una "firma"(=fingerprint)che identifica univocamente il mittente lasciandone però inalterato (non cifrato) il suo contenuto;

Per esempio:

anche Stallonit, come molti altri, è in possesso della MIA chiave pubblica. Se volessi inviargli una mail non riservata dandogli però nel contempo la certezza che sono proprio io ad averla spedita, posso effettuare la "firma in chiaro" del messaggio usando la mia chiave privata. Stallonit, usando la mia chiave pubblica, potrà verificare che il messaggio è stato inviato proprio dal sottoscritto ed inoltre che non è stato in alcun modo alterato da estranei.
Anche io, usando la chiave pubblica di un utente, posso verificare la "firma" che lui ha effettuato con la sua chiave privata.
Questo sistema può anche essere usato nelle mail pubbliche in quanto, non essendo cifrato il corpo del messaggio, chiunque può leggerne il contenuto mentre coloro che sono in possesso della mia chiave pubblica, possono anche verificare che sono stato proprio io a scrivere tutte quelle stupidate ;-)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 04/05/04 14:10

pjfry ha scritto:secondo me con la fingerprint non puoi assolutamente avere certezza dell'autore, perchè chiunque abbia la sua chiave pubblica (e quindi, potenzialmente, tutti) può generarne l'hash.


:eeh: :eeh: :eeh:
Ma assolutamente no! Qui parliamo di crittografia ASIMMETRICA quindi è metematicamente impossibile risalire alla chiave privata da quella pubblica!
Ci sono fior fior di algoritmi che impediscono una operazione di quel tipo!
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pjfry » 04/05/04 14:22

dylan come funziona la crittografia asimmetrica lo sò benissimo... però qui o il sito che hai citato scrive ca**ate oppure parliamo di cose diverse...
lì dicono che il fingerprint è l'hash della chiave PUBBLICA, quindi il mio ragionamento fila, direi

il fingerprint di cui parla la parte che citi in corsivo invece è praticamente la firma digitale... si genera l'hash del documento firmato con la propria chiave privata, e chi legge usa la pubblica per controllare che il documento sia rimasto invariato... in quel caso però il fingerprint è legato al documento, cambia per ogni cosa che firmi... mentre nel link di sopra parla di un fingerprint unico per la chiave pubblica
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Dylan666 » 04/05/04 14:48

Allora facciamo un po' di chiarezza e intendiamo FINGERPRINT unicamente come è inteso in quel manuale (in realtà e io e molti altri lo intendiamo anche come firma digitale in generale e forse questo ha causato confuzione).

Il fingerprint è quello che serve a verificare l'autenticità della chiave pubblica.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pjfry » 04/05/04 15:00

ok, e la prossima volta fai chiarezza prima di prendermi per scemo ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Dylan666 » 04/05/04 15:02

pjfry ha scritto:ok, e la prossima volta fai chiarezza prima di prendermi per scemo ;)


Mai fatto ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi gamptw » 04/05/04 16:21

grazie pjfry & dylan666.

"Dicutendo" ;) tra voi mi avete dato risposta chiarissima, as usual...

Quella cavolo di fingerprint esadecimale alla fine è solo indice che ho/ha la double key. E' questo che mi interessava più di tutto.
Una sorta di autenticazione della reale esistenza di un account e del suo proprietario.

Come accennavo, al contrario dei tempi di Pastore -dove se non ricordo male il PGP era anche vietato in Europa-, cercavo qualcosa che potesse autenticare ulteriormente alcune mail di lavoro sino a che le CamCom italiane non daranno possibilità di utilizzare le smart card per la firma digitale anche a liberi professionisti o privati in genere (non solo Enti Giuridici, insomma).

btw, ancora un grazie di cuore
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano


Torna a Sicurezza e Privacy


Topic correlati a "PGP Fingerprint: a cosa serve?":


Chi c’è in linea

Visitano il forum: Nessuno e 44 ospiti