Author: boyska Date: To: hackmeeting Subject: Re: [Hackmeeting] remailer e privacy [ERA: mi fischiavano le
orecchie]
On 29/08/2013 10:12, Marco Bertorello wrote: >> Ma questo è un problema di mentalità visto che gli stessi comunque
>> spediscono le lettere in busta chiusa, quindi forse più che di
>>
> fra la busta chiusa e GPG passa un oceano emmezzo... sia per la difficoltà
> nel raggiungere il risultato, sia per le scarse "richieste minime" (una
> busta la trovo sempre e comunque, da qualunque cartolaio e va bene una
> busta qualsiasi; la *mia* chiave GPG potrei non averla nemmeno appresso).
guarda che magari sono io che sono disadattato, ma io ho imparato circa
10 giorni fa come si mandano le lettere dentro una busta. GPG lo so
usare da molto piu' tempo.
E per inciso, trovo ancora complesso l'invio di lettere e raccomandate,
a partire dal folle ordine in cui vanno messi gli indirizzi, alle
convenzioni senza senso su dove vanno scritte le cose.
Temo di non essere affatto l'unico.
Voglio dire, in sostanza, che la questione della difficolta' e' del
tutto relativa alle proprie abitudini e al mondo in cui siamo vissuti;
per non parlare del fatto che, cosi' come per mandare una lettera non
serve essere nel proprio indirizzo di residenza, per mandare una mail
cifrata non serve avere con se' la propria chiave gpg :)
La chiave privata serve solo per ricevere, e questo e' del tutto in
analogia con le lettere e il proprio indirizzo di residenza.
> appunto... inoltre per costruire una rete di fiducia valida, occorre molto
> pre-lavoro (incontro di persona, scambio delle chiavi, firma, verifica,
> balle e madonne), forse (e dico _FORSE_ perchè dubito anche di questo) la
> crittografia delle comunicazioni potrebbe essere più abbordabile se fosse a
> chiave simmetrica.
Non ho voglia di googlare, ma sono sicuro che ci sia qualcuno che ha
detto che il 90% delle comunicazioni avviene con persone che noi
incontriamo fisicamente spesso, o che conosciamo di persona. Se no lo
dico io :D
Messa cosi', il pre-lavoro e' pochissimo, basta che quando ci
incontriamo all'aperitivo ci scambiamo gli id gpg. Oppure potremmo dirci
una parola segreta da usare per verificare poi otr, e con quel canale
fidato verificare gpg. Oppure potremmo direttamente chiamarci al
telefono e dirci "per favore, mi detti il tuo fingerprint?", tanto la
voce fara' da autenticazione.
Seriamente, di tanti casini relativi a gpg, la fase della verifica non
e' mai stata quello principale. In genere la parte piu' complessa e'
proprio la spiegazione di come funziona gpg, come si importano le chiavi
e insomma l'utilizzo delle funzioni chiave.
> Ci scambiamo una volta la PSK e usiamo quella per crittare le nostre
> comunicazioni, fino ad un cambio concordato. Che sia meno sicuro? Certo, ma
> è molto più comodo e chiunque non voglia semplicemente fare il "duro&puro"
psk condivisa tra chi? una per coppia? non e' un problema di sicurezza,
ma di scalabilita': devi mantenere un segreto per ogni persona che
conosci :)
> Senza contare che la mail è MORTA e SEPOLTA (almeno se guardiamo l'utenza
> "di massa", il mondo che è "la fuori").
> La gente comunica tramite social network al giorno d'oggi e nessuno di noi
> può farci nulla, se non adattarsi e agire di conseguenza.
Mah, fino a un certo punto. Io vedo che la messaggistica privata dei
vari social network e' difatto percepita come una "email interna al
social network" e non si puo' dare torto: l'interfaccia e' uguale, e i
concetti sono gli stessi. Vero che usano meno mail "tradizionali", ma
non hanno alcuna difficolta' a farlo. Quindi non direi che questo e' un
problema di alcun tipo verso gpg.
Insomma, sbattiamoci quanto vogliamo a creare soluzioni piu' semplici,
piu' intuitive, piu' quellochevolete, sicuramente e' un lavoro
importante. Ma non penso ne' che abbiamo bisogno di chissa' quali
miracoli tecnologici, ne' che un (ulteriore) inasprimento del controllo
sociale smuoverebbe coscienze e tastiere. E' il solito vecchio lavoro di
diffusione degli strumenti a chi ne sente la necessita'.
c1cc10 ha detto: > Invece le mail con
> signature quante sono, anche
> qui dentro?
per quanto mi riguarda e' una scelta ben precisa: io NON voglio firmare
le mie mail quando non e' strettamente necessario. Su una lista
pubblica, poi, mi sembra solo dannoso.