Skip to main content



 
Gruppo Linux Como created new project 'ansible_glc'
Ansible playbook per gl-como.it


 
#SaveYourInternet #DeleteArt13
Home
@Gruppo Linux Como


 
KeySigning Party Giugno 2018
Giovedì 14 giugno la consueta riunione del Gl-Como sarà dedicata alla crittografia con GnuPG e OpenPGP cards (implementate su chiavetta usb), e ovviamente coglieremo l'occasione per un Keysigning Party.

GnuPG viene usato soprattutto per due scopi: tutelare la riservatezza delle proprie comunicazioni, soprattutto via email [1] e garantire l'identità dell'autore di un messaggio (o di un software, o…).

In quest'ultimo caso, la crittografia garantisce che l'autore di un messaggio sia in possesso di una certa chiave, ma come fare ad associare una chiave ad una persona?

In alcuni casi si fa uso di un'Autorità centralizzata che verifica e garantisce, coi vantaggi e svantaggi che questo comporta, ma la comunità di utenti di GnuPG generalmente preferisce un metodo distribuito, la Web of Trust.

Questa si basa sull'idea che ciascun utente ne incontri di persona altri per scambiarsi informazioni sulle proprie chiavi, pubblicando poi una firma, ovvero una dichiarazione che quella chiave appartenga davvero ad una certa persona.

Ovviamente, non ci si può fidare di una dichiarazione del genere data da uno sconosciuto, ma a seconda delle proprie esigenze ci si può fidare di dichiarazioni multiple e concordi fatte da persone che si conoscono (o in alcuni casi anche che conoscono persone che si conoscono).

Un keysigning party è un'occasione per incontrare altre persone interessate a partecipare alla Web of Trust, conoscersi, condividere conoscenza riguardo a crittografia ed argomenti correlati, e soprattutto scambiarsi firme sulle chiavi.

Cosa fare


Partecipare ad un keysigning party richiede un po' di preparazione prima e comporta alcune operazioni da svolgere in seguito.

Prima


Innanzitutto, bisogna assicurarsi di avere una chiave GPG: se se ne si ha una vecchia, controllare che sia RSA [2] ad almeno 4096 bit; chiavi DSA o RSA di dimensioni inferiori sono vulnerabili o a rischio di diventare tali entro pochi anni, ed un keysigning party è una buona occasione per iniziare a migrare verso una nuova chiave.

Se necessario, si può seguire la prima parte della guidaUsoDiOpenPGPCard per la creazione di una nuova chiave con gli strumenti da riga di comando, o quella sul sito di Fedora che presenta anche strumenti grafici equivalenti, ricordandosi di inviare la chiave ai keyserver perché gli altri partecipanti al keysigning possano poi ottenerla.

Il passo successivo è fare in modo di poter fornire agli altri partecipanti una copia dei dati della propria chiave:
  • fingerprint completo della stessa (40 cifre esadecimali, ovvero qualcosa di simile a 0506 CD00 A2F9 DE57 E498 F628 D599 FF61 0180 9E2A);
  • gli UID presenti sulla chiave (tipicamente nome completo ed indirizzo email);
  • facoltativo, ma consigliato: un qr-code con la stringaOPENPGP4FPR:%f dove %f e il fingerprint senza spazi.
Questi dati possono essere presenti sul proprio biglietto da visita, oppure si possono usare gli strumenti di signing-party per generare una paginata di bigliettini pronti da stampare con tutte le informazioni necessarie. gpg-key2ps non richiede altri programmi,gpg-key2latex richiede un'installazione di LaTeX e il programma qrencode, ma permette di aggiungere anche il qrcode.

Un'altro programma utile è monkeyscan / monkeysign, che permette di mostrare a schermo il qrcode (e leggere quelli degli altri, nei passaggi successivi).

Durante


L'obiettivo principale durante il party è di conoscere persone e scambiare con loro i dati elencati sopra.

È importante essere sicuri dell'identità delle persone incontrate: il criterio minimo è verificare dei documenti di identità, ma è importante dedicare anche un po' di tempo a chiaccherare con le persone coinvolte, individualmente o in gruppo.

Un articolo sui keysigning party non sarebbe completo senza l'obligatory xkcd.

Dopo


Una volta tornati a casa (o in generale al proprio computer fidato), si può svolgere l'ultima fase del keysigning.

Il metodo raccomandato è di firmare le chiavi di chi si è incontrato e non pubblicare direttamente queste firme, ma inviarle con una mail crittata agli indirizzi email indicati sulla chiave. In questo modo si verifica anche che la persona abbia effettivamente controllo di quell'indirizzo.

Per automatizzare la procedura si possono usare caff, presente insigning-party, oppure monkeysign, passando loro i fingerprint ottenuti e verificando la corrispondenza degli User ID. Entrambi questi programmi vanno configurati per poter inviare email col nostro nome/indirizzo.

A seconda del numero di persone presenti al party, questa fase potrebbe richiedere un po' di tempo, soprattutto per chi tiene la propria chiave principale su dispositivi offline (che quindi non è comoda da raggiungere tutti i giorni); se avete urgente bisogno della firma di qualcuno è meglio avvisare, altrimenti non è raro attendere giorni, o anche settimane, prima di riceverla.

Alla fine


Per vedere la propria posizione nella Web of Trust, e l'effetto che il keysigning ha avuto su di essa, si può andare sul sito PGP pathfinder & key statistics, oppure usare il programmawotsap per calcolare statistiche simili su una copia locale dei dati.

note:

[1] la crittografia tramite GnuPG è supportata anche da alcuni sistemi di chat, ma in quel caso esistono altri protocolli spesso più adeguati alle diverse esigenze di una comunicazione in tempo reale.
[2] le chiavi ECC sarebbero un'alternativa, ma ancora non sono supportate da tutti gli strumenti, per cui è consigliabile usarle semmai per delle sottochiavi, ma non per la chiave principale.
//www.gl-como.it/v2015/keysigning-party-giugno-2018/


 


 
Microsoft’s failed attempt on Debian packaging
Honestly, I don't think that malice was involved, just incompetence, possibly aggravated by compartimentalization.

It is however a good reminder of how upstreams may be the ones who know their product best, but that doesn't necessarily make them the ones best suited to do the integration work necessary to install it without breaking the rest of your system.
rm /bin/sh...

wow.

This is why I am very hesitant adding any third-party repositories to my system or running anything third-party as root...

They did recreate it soon after with a link to /bin/bash, but yeah, there is a truckload of things that can go wrong in between.

They did fix that package quite soon, admittely ( https://www.preining.info/blog/2018/06/microsoft-fixed-the-open-r-debian-package/ ), but yeah, it's not nice if you got the broken version in the meanwhile...



 
@Gruppo Linux Como
Friclicli: Friendica CLI client
@Friendica Developers

I started to work on a CLI client for Friendica named friclicli. At the moment I'm working on the foundation of the client: A C library (called libfriclient) with functions representing Friendica API routes (one function per route). The client will use a curses interface (probably ncurses). To make requests to the Friendica API the libcurl library will be used. JSON data will be processed using the cJSON library.

The source code repository is here: https://gitlab.com/ncc1988/friclicli

The client will be programmed in C and licensed under the GPLv3+.

#Friendica #Client #CLI #C


 
I also agree pretty much with the sentiment in

About Github's embrace and extend of git, and how it passed unnoticed by people who now fear the same thing now that Microsoft is in the picture.
embrace, extend, extinguish.

I'm curious how much of MS's competitors' non-public stuff is hosted there.



 
Questo nodo Friendica è appena stato aggiornato alla versione 2018.05 🎉

https://friendi.ca/2018/06/01/friendica-2018-05-released/
Si accettano proposte per la foto di sfondo in home page :-)

che ne dite di una bella foto di gruppo?




 

Nel caso qualcuno chiedesse del software ...


per una piccola media impresa... ovviamente opensource:

https://www.uzerp.com/demo/

non che ne abbia una, o che abbia provato il software. Giusto per far sapere che esite.

Inoltre, per gli amanti del terminale: se volete tenere la contabilita' di casa, con un file di testo, segnalo:

http://furius.ca/beancount/
Questa voce è stata modificata (2 mesi fa)


 

Friendica 3.6


Questo sito è stato aggiornato alla release stabile Friendica 3.6, nome in codice "The Tazman Flax-​lily"

Vi rimando all'annuncio ufficiale per i dettagli succosi:
Friendica 3.6 released


 

Debian Day a Varese


Come ogni anno, il 16 agosto è il Debian Day, il compleanno del Sistema Operativo Universale.

Dato che in questo periodo molti sono in vacanza, non abbiamo organizzato eventi particolari, ma ci troviamo per una cena presso la Vecchia Varese in via Ravasi.

Per informazioni o per unirvi alla prenotazione contattate prima possibile @Elena ``of Valhalla'' o fate un giro su #lifo@FreeNode.

@Gruppo Linux Como


 


 
Tre storie uguali...che pizza!
o.O
è che sei esagerato








 
Super impressed by ArgBash, a library for generating code to parse command line arguments in #bash. Well written, easy to use, and generates very correct code that handles nearly any kind of argument your script might need. Came in handy today.


@Gruppo Linux Como


 

Programming the iCE40HX1K-EVB FPGA with a Bus Pirate


I've posted a new article on my website: my first experiences, and an howto for my specific set of hardware (iCE40HX1K-EVB and a Bus Pirate as an SPI programmer).

@Gruppo Linux Como @LIFO


 
Gruppo Linux Como created new project 'sito'
Sito del gl-como basato su pelican


 

Foot fetish #2 (SFW)


Immagine/foto

and one slightly scaring mechanical contraption to ruffle them!


 
Questa voce è stata modificata (3 mesi fa)
Sigh, sometimes that blog doesn't work when under heavy load. Usually when you can see the post in the homepage, or you can just read it as posted here by debacle, with the full text.

I've changed the url a bit, now it should work better



 

Foot fetish #1 (SFW)


Immagine/foto

One foot to press them
one foot to guide them
one foot to roll them
and in a tidy hem bind them.

(That's a 24 meter strip of cotton voile, or 48 meters of rolled hem sewed with small stitches (length setting <2 on the machine) that took more than one hour with a hemming foot, I don't want to think how long that would have taken without. Next step: the ruffler)


 
An insightful commentary on a certain recent CoC controversy.

And then there is that bit at the end :)


 



 
"Marzo pazzerello:
c'è la zucca,
metti il cappello"

@Gruppo Linux Como


 



 
(the site looks semi-dead, but tracing your own picture to make a croquis in your own body shape looks a pretty good idea, and on that page there are instructions on how to take the picture.

via: https://thepragmaticcostumer.wordpress.com/2018/01/22/getting-your-ideas-on-paper-using-croquis-to-design-your-historical-gowns/


 
Ten Mincho – Great font and ugly Adobe
from the department of licensing terms done... WTF


 
Ela ecchimeqqa'....dopo un aggiornamento ieri, tutto a posto....
:-)


 
MERGE-it : La Community si incontra.
Inizia: Sabato 24 Marzo 2018 @ 10:00
Finisce: Sabato 24 Marzo 2018 @ 18:00
In Italia esistono tante realtà che si occupano di cultura e libertà digitali, sotto molti aspetti ed in molti modi. Scopo di MERGE-it è riunirle insieme, per conoscersi e farsi conoscere, discutere e dibattere, confrontarsi e misurarsi.

L'evento è aperto a tutti, la partecipazione gratuita, e non è necessario registrarsi.

https://merge-it.net/
Posizione: Cittadella Politecnica, Corso Castelfidardo 30/A , Torino, Italy



 
Report from Debian SnowCamp: day 1
E ci sono anche i report del secondo e terzo giorno, e il report di Tincho.
Questa voce è stata modificata (4 mesi fa)