Anno nuovo, chiave nuova!

È vero, l’anno è già iniziato da un po’, ma questa non può essere una scusa per non rinnovare le nostre chiavi GPG! Rinnovare le chiavi non è essenziale, e si può decidere di utilizzare una sola chiave per sempre, anche se io personalmente preferisco rinnovarla di anno in anno. Essendo arrivato il momento, colgo l’occasione per mostrare come revocare la vecchia chiave e crearne una nuova.

Revochiamo la vecchia chiave:

Revocare una chiave, e renderla inutilizzabile da qui all’eternità, è semplicissimo. Ci basta dare il seguente comando:

gpg --output revoke.asc --gen-revoke ID_CHIAVE

Dove ID_CHIAVE equivale alla chiave pubblica. Ovviamente, dovete possedere la chiave privata per poterla revocare. In caso questa sia andata persa o dimenticata, non ci sarà nulla da fare: non potrete revocare la chiave.

Creiamo la nuova chiave:

Creare una chiave è ancora più semplice. Ci basta dare il comando:

gpg --gen-key

Rispondiamo a mano a mano alle varie domande. A questo proposito, è bene ricordare che le opzioni di defaul proposte dal software vanno più che bene per la stramaggioranza delle chiavi private. Ciò vuol dire che si andrà a creare una chiave RSA and RSA da 2048 e senza data di scadenza. Come ho già detto, personalmente preferisco rinnovare la chiave di anno in anno, quindi specifico 1y anziché 0 alla terza richiesta. Ovviamente, inserirete i vostri dati per la vostra chiave (Nome, Cognome, Mail e Commento, quest’ultimo opzionale).

Il quarto passaggio ci richiederà l’immissione della passphrase, ossia la password per accedere alla chiave e poterla gestire. È un passaggio fondamentale. La password che inserite la dovrete ricordare assolutamente, dato che non vi è modo di recuperarla. Non ci sono requisiti particolari.

Inserita la password, dovrete generare dei byte casuali per aiutare il pc a portare a termine l’operazione. Come? Semplicemente premendo tasti a caso e muovendo il mouse all’impazzata. Per generare una chiave da 2048 sono necessari quasi due minuti di “pazzia compulsiva”. Alla fine di questo raptus, otterremo un messaggio che ci indica che la creazione è andata a buon fine. Vedrete inoltre la vostra chiave pubblica, una stringa alfanumerica di 8 caratteri. Se non riuscite ad individuarla, potete dare questo comando:

gpg --list-key

Inviare la chiave ad un keyserver:

Anche questo è un passaggio assolutamente facoltativo, ma può essere utile comunicare la propria chiave pubblica ad un keyserver. Ne esistono tanti, alcuni dedicati solo a determinati progetti (come quello di Ubuntu), mentre altri sono aperti a tutti,  fungono da punti di riferimento. Un esempio lo porta il keyserver del MIT.

Per comunicare la nostra chiave pubblica a questo keyserve, diamo questo comando:

gpg --send-keys --keyserver pgp.mit.edu ID_CHIAVE

E la vedremo subito comparire nella lista delle chiavi. ID_CHIAVE equivale sempre alla chiave pubblica. Ovviamente, potete anche decidere di non affidarvi ad un keyserver, e comunicare la vostra chiave solo con chi vorrete.

Ci sono molti software da utilizzare al posto del terminale, ma la semplicità d’uso è senza paragoni. Semplice, pratico, rapido. Un’implementazione (ed una sicurezza) che dovremmo iniziare ad usare tutti.