Adesso scopro però che dal 16 novembre 2009 Thawte non supporterà più la certificazione delle email. Damn!

Nel cercare quindi una valida alternativa (ci sarebbe anche CAcert ma non mi convince troppo, probabilmente per i soliti motivi) torno con la coda tra le gambe da mamma GNU col suo GPG.
Stavolta però faccio le cose sul serio e, complici Enigmail per Thunderbird 3beta che non funziona un gran che e l’influenza che mi lascia un po’ di tempo per cazzeggiare, ho aperto il manuale di GPG e genererò le mie chiavi manualmente, prendendo appunti in questo articolo.

Let’s go…

Di guide ce ne sono un sacco, io ho usato questa anche se è basata su GPG versione 0.9.4 e io invece uso la 2.0.12

Il primo passo è quello di creare una nuova coppia di chiave (pubblica/privata) con gpg –gen-key:

~$ gpg --gen-key
gpg (GnuPG/MacGPG2) 2.0.12; Copyright (C) 2009 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
[...]

Nel generare le chiavi ho utilizzato l’algoritmo RSA (non presente nella versione 0.9.4) di 4096 bit e ho impostato 1 anno come durata. Subito dopo aver generato le chiavi è bene anche generare un certificato di revoca. Questo è importante, infatti se si perdesse la chiave privata (o venisse compromessa) il certificato di revoca è l’unica cosa che ci permette di far sapere agli altri che non devono usare la chiave pubblica associata alla chiave compromessa.

Al termine della generazione della coppia di chiavi ci è stato restituito un messaggio del genere:

sub   4096R/6C04473B 2009-10-15 [expires: 2010-10-15]

il numero 6C04473B è l’ID della nostra chiave, che useremo per generare il certificato di revoca. Lo stesso ID lo si può trovare guardando le chiavi installate nel sistema con gpg –list-keys.
Creiamo quindi la revoca:

gpg --output revoke.asc --gen-revoke 6C04473B

Il file revoke.asc contiene il certificato di revoca e va tenuto con molta attenzione, pena la non possibilità di annullare una chiave e confessare con imbarazzo a chi continua a scrivervi email cifrate con la vecchia chiave che non potete leggerle, ovvero che siete un coglione! parlo per esperienza…. :(

Bisogna adesso esportare la chiave pubblica. Si può farlo in due formati: binario e ASCII. Nell’ordine:

gpg --output pub.gpg --export indirizzo_email
gpg --armor --export indirizzo_email > pub_ascii.gpg

La chiave pubblica in formato ASCII può essere più facilmente pubblicata sul web o inviata per email.

gpg --keyserver subkeys.pgp.net --recv CHIAVE
gpg --export --armorCHIAVE | sudo apt-key add -

Et Volià…