Esercitazione 3 Gnu Privacy Guard

Transcript

1 Sommario Esercitazione 3 Gnu Privacy Guard Laboratorio di Sicurezza 2018/2019 Andrea Nuzzolese Gnu Privacy Guard (GPG) Principali funzionalità Descrizione esercitazione Scopo Interazione con il sistema ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA PGP è un programma basato su crittografia simmetrica e asimmetrica, usato per proteggere informazioni digitali permette anche firma digitale ed uso di certificati 'PGP', 'Pretty Good Privacy' e 'Pretty Good' sono tutti marchi registrati da PGP Corporation, la software house per cui lavora Phil Zimmermann, autore di PGP Nel 1997 viene lanciato il Working Group IETF che standardizza OpenPGP (RFC 2440 e 4880) GPG è l implementazione di OpenPGP della Free Software Foundation, rilasciato con licenza GPL Gnu Privacy Guard (GPG) Comando per generare le chiavi gpg --gen-key Che cosa viene richiesto Tipo delle chiavi Default, DSA (firmare) ELG-E (cifrare/decifrare) Lunghezza delle chiavi 1024 per DSA 2048 per ELG-E Informazioni personali Nome completo Indirizzo Passphrase Per proteggere le chiavi private NON DEVE ESSERE DIMENTICATA Chiavi GPG (1/2)

2 Chiavi GPG (2/2) GPG - Keyring locali Due coppie di chiavi: DSA (Digital Signature Algorithm) Cifrario a chiave pubblica, basato sulla difficoltà di calcolo del logaritmo discreto Usato per le firme digitali ELG-E (Elgamal) Cifrario a chiave pubblica, basato sulla difficoltà di calcolo del logaritmo discreto Usato per cifrare e decifrare i messaggi Si parla di chiave primaria (usata per firmare) e di chiavi subordinate Ogni coppia di chiavi ha un suo Key ID Pubring.gpg Informazioni sulle chiavi pubbliche (anche degli altri) Secring.gpg Informazioni sulle (proprie) chiavi segrete Memorizzati sulla propria macchina (di solito nella subdirectory.gnupg/ della home) Lista di tutte le chiavi disponibili gpg --list-keys GPG - Certificato di revoca Comando gpg --output revoke.asc --gen-revoke primary key ID A cosa serve Per dichiarare che quella chiave non è più utilizzabile Quando lo si genera Non appena si crea la chiave Quando lo si rende pubblico Nel caso in cui la chiave privata è compromessa gpg --import revoke.asc gpg --keyserver server --send-keys user ID Via file Export GPG - Comunicare le chiavi gpg --armor --export --output pubkey.asc Key ID Consegnare il file al destinatario Import Ottenere il file dal mittente gpg --import file Via Keyserver Export gpg --keyserver server --send-key User ID Import gpg --keyserver server --recv-key Key ID

3 GPG - Cifrare e decifrare messaggi GPG - Firmare e verificare messaggi gpg --encrypt --recipient user ID --output file out file in Cifra utilizzando la chiave pubblica dell utente user ID il contenuto del file file in, e salva il risultato in file out gpg --decrypt --output file out file in Decifra utilizzando la chiava privata dell utente di default il contenuto del file file in e salva il risultato in file out gpg --sign --output file out file in Firma il contenuto di file in utilizzando la propria chiave privata (utente di default) gpg --verify file in Verifica la firma. Risultato booleano gpg --decrypt --output file out file in Verifica la firma, decifra e salva il messaggio originale GPG - Firmare e cifrare Esercitazione - Scopo gpg --sign --encrypt --recipient user ID -- output file out file in Cifra e firma il file di input Il comando che si usa solitamente Creare chiavi GPG Decifrare messaggi cifrati (e firmati) con chiavi GPG

4 Esercitazione - Breve descrizione Creare una chiave GPG (se la avete già potete usare quella purchè associata ad un indirizzo del dominio studio.unibo.it) Caricare la chiave GPG sul sistema: Ricevere via mail (in allegato) la chiave pubblica del tutor ed un file di testo firmato e cifrato. Il laboratorio virtuale L esercitazione va svolta utilizzando il Laboratorio Virtuale Occorre scaricare ed istallare il pacchetto 8009-babaoglu-sicurezza-gpg How-to: Decifrare il contenuto del file di testo Una volta istallato il pacchetto occorre: Come fare l esercitazione Decomprimere l archivio esercitazione3.zip disponibile o nella directory /usr/share/unibo Oppure nella root / del vostro file system Spostarsi nella cartella appena decompressa Lanciare l installer (copia i contenuti delle esercitazione in /var/www e accorda i diritti necessari agli script) $>./install.sh Avviare il server apache (se non avviato) $> sudo /etc/init.d/apache2 start Svolgere l esercitazione disponibile su Esercitazione Creazione delle chiavi Tra le sottochiavi deve essere presente una chiave per cifrare E.g., ELG-E

5 Esercitazione - Scambio delle chiavi (1/2) Esercitazione Scambio delle chiavi (2/2) + Messaggio firmato e cifrato Collegarsi all interfaccia web Riempire la form specificando Username account studio.unibo.it Password account studio.unibo.it Nome Cognome Matricola Chiave pubblica dello studente (in formato armor ) Il sistema spedisce automaticamente una mail: Utilizzando le vostre credenziali di accesso a studio.unibo.it All indirizzo di posta appena specificato dallo studente Subject: [Laboratorio Sicurezza: Esercitazione 3]: Messaggio firmato e cifrato per Cognome Nome Matricola La mail contiene: Riassunto dei dati personali dello studente Gli allegati necessari a completare l esercitazione Esercitazione Gli allegati della mail Esercitazione - Cosa inserire nel report Chiave dello studente appena uploadata (che in realtà è superflua) L esercitazione si completa decifrando il messaggio Chiave pubblica GPG del tutor (ASCII-armored) Nel report va inserito il messaggio decifrato Un file di testo firmato (con la chiave privata GPG del tutor) e cifrato (usando la chiave pubblica GPG dello studente) Anche se non richiesto vi consiglio di importare la chiave del tutor nel vostro keyring per provare altre funzionalità GPG

6 Esercitazione - Nota Riferimenti Il messaggio di posta viene spedito automaticamente dal sistema Se non si riceve il messaggio contattare il tutor all indirizzo labsicurezza@cs.unibo.it Gnu Privacy Guard GPG Handbook