Costruire la propria rete della fiducia

Desiderare di usare GnuPG da soli non è abbastanza. Per utilizzarlo e comunicare in sicurezza con altri è necessario avere una rete della fiducia. Di primo acchito, perciò, costruire una rete della fiducia può essere scoraggiante. È necessario che le persone con le quali si comunica usino GnuPG[1] e che ci siano abbastanza chiavi che firmino in modo che tutte possano essere considerate valide. Questi non sono problemi tecnici; sono solo problemi sociali. Ciò nonostante è necessario superare queste difficoltà se si vuole usare GnuPG.

Quando si comincia ad usare GnuPG è importante osservare che non c'è bisogno di comunicare in sicurezza con qualsiasi corrispondente. Si può cominiciare con una piccola cerchia di persone, magari voi stessi e altri uno o due che vogliono esercitare il loro diritto alla privacy. Si generano le proprie chiavi e si firmano qulle degli altri. Questa è la vostra rete della fiducia iniziale. Così facendo si apprezzerà il valore di una piccola e robusta rete della fiducia e ci si comporterà in modo più cauto quando in futuro si farà crescere la propria rete della fiducia.

Oltre alle persone presenti nella propria rete della fiducia, si potrebbe voler comunicare in sicurezza con altre persone che usano GnuPG. Così facendo, però, si potrebbe provare un senso di stranezza, per due motivi: non sempre si sa quando qualcuno usa o vorrebbe usare GnuPG; se si sa chi lo usa, si potrebbero comunque avere dei problemi nel convalidare le loro chiavi. Il primo motivo capita perché le persone non sempre avvertono quando usano GnuPG. Il modo ci cambiare questo comportamento consiste nell'essere di esempio e avvertire sempre che si utilizza GnuPG. Ci sono almeno tre modi per fare questo: si può firmare i messaggi di posta che si spediscono o si postano; si può mettere la chiave pubblica sulla propria home page; se si mette la propria chiave su un server di chiavi, si può pensare di mettere il proprio ID di chiave nella firma in fondo ai propri messaggi. Se si reclamizza la propria chiave, si fa in modo che sia molto più accettabile per altri publicizzare la loro. Inoltre si fa in modo che altre persone cominicino a comunicare con voi in sicurezza più facilmente, in quanto si è presa l'iniziativa e si chiarito il fatto che si utilizza GnuPG.

La convalida delle chiavi è più difficile. Se non si conosce direttamente la persona della quale si vuole firmare la chiave, allora non è possibile firmare la chiave. Ci si deve affidare alle firme di altri e sperare di trovare una catena di firme che porti dalla chiave in questione fino a se stessi. Per avere una possibilità di trovare una catena, si deve prendere l'iniziativa e farsi firmare la chiave da altre persone al di fuori dalla propria rete della fiducia iniziale. Un modo efficace per perseguire questo obiettivo consiste nel partecipare agli incontri di firma delle chiavi. Se si sta andando ad una conferenza, si cerchi di avere il tempo per un incontro di firma delle chiavi e, se non se ne dovesse trovare uno, lo si può proporre. Si può anche essere più passivi e portare con se le proprie imporonte digitali per uno scambio di chiavi estemporaneo. In una tale situazione la persona alla quale si sono date le proprie impronte digitali le verificherà e quindi firmerà la vostra chiave pubblica una volta tornata a casa.

Si tenga presente, però, che tutto questo è facoltativo. Non c'è nessun obbligo né nel dover reclamizzare la propria chiave, né nel firmare le chiavi di altre persone. La potenza di GnuPG consiste nella sua flessibilità di adattarsi ai vostri requisiti di sicurezza, qualsiasi essi possano essere. La realtà sociale, però, impone che si debba prendere l'iniziativa se si vuole far crescere la propria rete della fiducia e usare GnuPG per quanto più sia possibile.

Note

[1]

In questa sezione GnuPG si riferisce tanto all'implementazione GnuPG di OpenPGP quanto ad altre implementazioni, come PGP prodotto della NAI.