Copyright © 1986 Università di Firenze.All rights reserved.
Free license available.
revisori: Franco Pirri e Maurizio Lunghi
PGP usa due differenti criteri per giudicare la validità di una chiave pubblica. È necessario:
La risposta alla seconda domanda deve essere fornita a PGP dai suoi utilizzatori, comunicandogli le persone di cui ci si può fidare come presentatori di modo che PGP possa automaticamente validare tutte le chiavi firmate da queste persone. Ovviamente ciascuno può esso stesso firmare delle chiavi, validandole così automaticamente.
Il programma offre anche la possibilità di assegnare vari gradi di affidabilità ai presentatori. In effetti bisogna dire a PGP fino a che punto ci si fida di qualcuno, e tale valutazione, strettamente soggettiva, deve considerare non solo l'integrità della coppia proprietario-chiave, bensì anche la competenza di un possessore nel decidere quale chiave sia giusto firmare.
Si può così dire a PGP che una persona è sconosciuta, non fidata, abbastanza fidata o completamente fidata per ciò che riguarda la certificazione delle chiavi.
L'informazione sulla affidabilità è conservata nel portachiavi pubblico insieme alla relativa chiave, e non è mai estratta anche se si dovesse usare quella chiave pubblica consentendo così di mantenere una certa confidenzialità sulle opinioni espresse.
La risposta alla prima domanda è invece ricavata dallo stesso PGP dopo che l'utente abbia risposto alla seconda domanda.
Nel decidere se validare quella chiave, PGP esamina il livello di affidabilità di tutte le firme collegate (2 firme "abbastanza affidabili" sono considerate credibili come una firma "completamente affidabile"), calcolando un punteggio pesato di validità.
Lo scetticismo del programma è anche regolabile: si possono ad esempio richiedere 2 firme completamente affidabili o 3 parzialmente affidabili per validare la chiave in esame.
La chiave pubblica di ciascun utilizzatore è condiderata "assiomaticamente valida" e non richiede quindi alcuna firma di fiducia (abbiamo già detto infatti che PGP valida automaticamente tutte la chiavi firmate con la propria chiave segreta).
Se ciascuno provvederà ad accumulare chiavi di altre persone cercando di validarle basandosi su qualche presentatore fidato, e se distribuirà nella rete una collezione di certificati della propria chiave nella speranza che ogni persona che la riceverà si fiderà di almeno una o due firme fra quelle presenti, questo causerà lo sviluppo del sistema decentralizzato di fiducia di cui si è parlato nel precedente paragrafo.
Questo approccio per così dire "popolare" di PGP è in contrasto con gli schemi standard di gestione delle chiavi pubbliche seguiti dal governo degli Stati Uniti (in cui PGP è nato) come
il PEM (Privacy Enhanced Mail), che si basano su un controllo centrale della fiducia e su una gerarchia di "Autorità di Certificazione" che impongono le persone di cui fidarsi.
E proprio grazie alla sua caratteristica di porre ciascun utilizzatore al vertice della propria gerarchia di certificatori che PGP ha avuto quello straordinario successo che lo ha reso il software per la
crittazione di e-mail più diffuso nel mondo.
Sono lo strumento attraverso cui ciascuno può diffondere la propria chiave pubblica e da cui ciascuno può ottenere tutte la chiavi pubbliche di interesse.
<pgp-public-keys@dsi.unimi.it>
al cui portachiavi pubblico è possibile accedere via
FTP.
Per comunicare con un keyserver bisogna digitare nel campo "subject" uno dei comandi di seguito indicati (notare che solo il comando ADD usa il corpo del messaggio):
Facciamo qualche esempio:
Su WWW, i Keyservers possono essere raggiunti all'indirizzo:
http://www-swiss.ai.mit.edu/~bal/pks-commands.html
gestione chiavi
Essi sono dei databases automatici dotati di grande capacità e sono tutti collegati tra loro, di modo che basta comunicare con uno solo di essi per aggiornare conseguentemente tutti gli altri. Esistono migliaia di questi "elenchi telefonici" sparsi in tutto il mondo; di solito sono gestiti da Università.
Per una lista di quelli più importanti si possono consultare
le FAQ su PGP.
Si segnala quì il keyserver italiano dell'Università di Milano:
*************************************************************************
HELP Si ottengono le istruzioni.
ADD Per aggiungere la propria chiave pubblica
(la chiave stessa va messa nel corpo del
messaggio).
INDEX Lista tutte le chiavi contenute nel Keyserver.
VERBOSE INDEX Lista tutte le chiavi contenute nel keyserver e in
più mostra tutti i certificati di firma
ad esse collegate
GET Si ricevono tutte le chiavi del Keyserver
(non conviene perche' sono troppe!).
GET [id] Si riceve la chiave dell'utente avente
l'identificativo [id].
MGET stringa Si ottengono tutte le chiavi il cui
identificativo contiene 'stringa'.
*************************************************************************
Bibliografia e sorgenti d'informazione
Indice PGP