Re: enigmail e gpg
Riccardo Tortorici wrote:
Uhm, perdonate la domanda (credo stupida), ma la sicurezza dove sta
allora?
No, il concetto di sicurezza è diverso e ha più significati e secondo
fai un po' di confusione.
a. La tua chiave pubblica serve al tuo interlocutore per mandarti una
mail cifrata che solo TU potrai decifrare. Per inviare tu una mail
cifrata a qualcuno questi deve dare a te la tua chiave pubblica. Nei
sistemi a cifratura asimmetrica la faccenda funziona così.
v. Se il tuo obiettivo è la sicurezza "del tuo interlocutore" (e cioé
che lui sia certo che sei veramente tu colui che invia la mail) allora
uploadare un chiave pubblica su un server ha un senso, in questa maniera
una pluralità indistinta di interlocutori (che potresti non conoscere,
ad esempio se rendi disponibil el atua forma digitale sul tuo sito) è in
grado di verificare, se hai firmato il messaggio, che a. il messaggio
viene da te, b. il messaggio non ha subito modificazioni (non
necessariamente malevole) durante la trasmissione, cioé non si è
corrotto. Ovviamente per garantire a te stesso la medesima sicurezza
devi essere in grado di verificare le firme dei tuoi interlocutori,
quindi avere le chiavi pubbliche.
c. Se il tuo obiettivo è che un messaggio cifrato (che ti arrivi o che
tu mandi) non sia in alcun modo riconducibile a te, allora lo scambio di
chiavi pubbliche tra in tuoi interlocutori deve avvenire in maniera
riservata. Non certo uploadando la chiave pubblica.
Tieni conto che i primi studi sugli algoritmi di cifratura a chiave
asimmetrica miravano a garantire più in generale la sicurezza tra
persone che non si conoscevano. E questo è in effetti il problema più ampio.
Alberto
Reply to: