Manuale di Kleopatra

Transcript

Marc Mutz
Sviluppatore: David Faure
Sviluppatore: Steffen Hansen
Sviluppatore: Matthias Kalle Dalheimer
Sviluppatore: Jesper Pedersen
Sviluppatore: Daniel Molkentin
Traduzione del documento: Luciano Montanaro
Traduzione e manutenzione della traduzione: Federico Zenith
2
Indice
1
Introduzione
7
2
Funzioni principali
8
2.1
2.2
Esaminare la cassetta delle chiavi locale . . . . . . . . . . . . . . . . . . . . . . . . .
Ricerca ed importazione dei certificati . . . . . . . . . . . . . . . . . . . . . . . . . .
8
8
2.3
Creare nuove coppie di chiavi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.3.1
3
Revocare una chiave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Guida ai menu
3.1 Il menu File . . . . . .
3.2 Il menu Visualizza . .
3.3 Il menu Certificati . . .
3.4 Il menu Strumenti . .
3.5 Il menu Impostazioni
3.6
3.7
10
.
.
.
.
.
11
11
13
14
16
17
Il menu Finestra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Il menu Aiuto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
17
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
Guida alle opzioni dalla riga di comando
18
5
Configurare Kleopatra
19
5.1
Configurare i servizi di directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
5.2
Configurare l’Aspetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
5.2.1
Configurare i Suggerimenti . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
5.2.2
Configurare le Categorie dei certificati . . . . . . . . . . . . . . . . . . . . .
22
5.2.3
Configurare l’Ordine degli attributi DN . . . . . . . . . . . . . . . . . . . .
22
Configurare le operazioni di cifratura . . . . . . . . . . . . . . . . . . . . . . . . . .
23
5.3.1
Configurare le Operazioni di posta . . . . . . . . . . . . . . . . . . . . . . .
23
5.3.2
Configurare le Operazioni dei file . . . . . . . . . . . . . . . . . . . . . . . .
23
Configurare aspetti della convalida S/MIME . . . . . . . . . . . . . . . . . . . . . .
24
5.4.1
Configurare il controllo periodico dei certificati . . . . . . . . . . . . . . . .
24
5.4.2
Configurare il metodo di convalida . . . . . . . . . . . . . . . . . . . . . . .
24
5.4.3
Configurare le opzioni di convalida . . . . . . . . . . . . . . . . . . . . . . .
25
5.4.4
Configurare le opzioni di richiesta HTTP . . . . . . . . . . . . . . . . . . . .
26
5.4.5
Configurare le opzioni di richiesta LDAP . . . . . . . . . . . . . . . . . . . .
26
Configurare il sistema GnuPG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
5.3
5.4
5.5
6
Guida dell’amministratore
6.1 Personalizzazione della procedura guidata della creazione di certificati . . . . . . .
6.1.1
Personalizzare i campi DN . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
6.1.2
Limitare il tipo di chiavi che un utente può creare . . . . . . . . . . . . . . .
29
6.1.2.1
Algoritmi a chiave pubblica . . . . . . . . . . . . . . . . . . . . . .
29
6.1.2.2
Dimensione della chiave pubblica . . . . . . . . . . . . . . . . . . .
29
6.2
Creare e modificare categorie di chiavi . . . . . . . . . . . . . . . . . . . . . . . . . .
30
6.3
Configurare programmi di archiviazione per file di firma e cifratura . . . . . . . . .
33
6.3.1
Passaggio dei nomi dei file di input per pack-command . . . . . . . . . . . . .
34
Configurare i programmi dei codici di controllo per l’uso con Crea/Verifica codici
di controllo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
6.4
7
28
28
Riconoscimenti e licenza
38
4
Elenco delle tabelle
5.1
Mappatura da tipi di GpgConf a controlli dell’interfaccia . . . . . . . . . . . . . . .
27
6.1
Configurazione di chiavi e filtri. Chiavi di definizione delle proprietà di visualizz
azione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle chiavi-filtro. Chiavi di definizione dei criteri di filtraggio . .
31
32
6.2
5
Sommario
Kleopatra è uno strumento per gestire i certificati X.509 e OpenPGP.
Capitolo 1
Introduzione
Kleopatra è lo strumento di KDE per gestire certificati X.509 e OpenPGP nelle cassette delle chiavi
GpgSM e GPG, e per recuperare certificati dai server LDAP e da altri server di certificati.
Kleopatra può essere avviato dal menu Strumenti → Gestore dei certificati di KMail e dalla riga
di comando. L’eseguibile di Kleopatra si chiama kleopatra.
NOTA
Questo programma trae il nome da Cleopatra, una famosa faraona egizia che visse ai tempi di Giulio
Cesare, con cui ebbe un figlio, Cesarione, non riconosciuto come erede di Cesare.
Il nome è stato scelto poiché questo programma deriva dai progetti Ägypten (Ägypten in tedesco
significa appunto Egitto). Kleopatra è il nome in tedesco di Cleopatra.
7
Capitolo 2
Funzioni principali
2.1
Esaminare la cassetta delle chiavi locale
La funzione principale di Kleopatra è di visualizzare e modificare il contenuto della cassetta delle
chiavi locale, che è un concetto simile a quello del portachiavi di GPG, anche se questa analogia
non va presa alla lettera.
La finestra principale si divide fra la grande area con l’elenco delle chiavi, la barra dei menu e la
barra di ricerca in cima, e una barra di stato in fondo.
Ogni riga dell’elenco di chiavi corrisponde a un certificato, identificato dal cosiddetto Oggetto
DN. DN è un acronimo che sta per ‘Distinguished Name’, in italiano ‘Nome Distinto’: questo è
un identificativo gerarchico, simile al percorso di un filesystem ma con una sintassi inusuale, che
dovrebbe identificare univocamente il certificato a livello globale.
Perché siano valide, e quindi utilizzabili, le chiavi (pubbliche) devono essere firmate da una CA
(autorità di certificazione). Queste firme sono dette certificati, ma di solito i termini ‘certificato’
e ‘chiave (pubblica)’ sono usati come sinonimi, e in generale non faremo distinzione tra di essi
nemmeno in questo manuale.
Le CA devono a loro volta essere firmate da altre CA per essere valide. Naturalmente a un certo
punto si deve finire, per cui le CA di massimo livello (le CA radice) si firmano da sole (questa
operazione è chiamata auto-firma). I certificati radice quindi devono ricevere convalida (di solito
detta fiducia) manualmente, per esempio dopo aver confrontato l’impronta digitale con quella
sul sito Web della CA.Questo è di solito fatto dall’amministratore del sistema o dal fornitore del
prodotto che usa i certificati, ma lo può fare anche l’utente con l’interfaccia dalla riga di comando
di GpgSM.
Per sapere quali dei certificati sono certificati radice puoi passare alla modalità di visualizzazione
gerarchica con Visualizza → Lista gerarchica dei certificati.
Puoi vedere i dettagli dei certificati con un doppio clic su di esso, o usando Visualizza → Dettagli
del certificato. Questo apre una finestra che mostra le proprietà comuni del certificato, la sua
catena di certificati (cioè la catena di emittenti fino al CA radice), e uno sversamento di tutte le
informazioni che il motore è in grado di estrarre dal certificato.
Se cambi la cassetta delle chiavi senza usare Kleopatra (ad es. usando l’interfaccia a linea di
comando di GpgSM), puoi aggiornare la vista con Visualizza → Mostra di nuovo (F5) .
2.2
Ricerca ed importazione dei certificati
Nella maggior parte dei casi, acquisirai nuovi certificati verificando le firme elettroniche dei messaggi di posta, visto che i certificati sono spesso incorporati nelle firme fatte con loro. Comunque,
8
se devi inviare un messaggio a qualcuno con cui non sei ancora entrato in contatto, dovrai scaricare il certificato da una cartella LDAP (anche se GpgSM possa farlo automaticamente) o da un
file. Inoltre dovrai importare il tuo certificato dopo aver ricevuto la risposta della CA alla tua
richiesta di certificazione.
Per cercare un certificato in una directory LDAP, seleziona File → Cerca i certificati sul server e
inserisci del testo (per esempio il nome della persona di cui vuoi il certificato) nella casella di testo
della finestra Ricerca del certificato sul server dei certificati, quindi fai clic sul pulsante Cerca. I
risultati saranno visualizzati nell’elenco di chiavi sotto la barra di ricerca, dove puoi selezionare
i certificati facendoci clic con il pulsante Dettagli o scaricarli nella cassetta locale delle chiavi con
il pulsante Importa.
Puoi configurare l’elenco dei server LDAP su cui cercare dalla pagina Servizi di directory della
finestra di configurazione di Kleopatra.
Se hai ricevuto il certificato come file, prova ad usare File → Importa certificati (Ctrl+I) . GpgSM
deve poter riconoscere il formato del file del certificato; controlla il manuale di GpgSM per la lista
dei formati di file che è in grado di comprendere.
Se non hai creato la coppia di chiavi con GpgSM, dovrai anche importare a mano la chiave pubblica (oltre a quella segreta) dal file PKCS#12 fornito dalla CA. Puoi farlo da riga di comando con
kleopatra --import-certificate nomefile o da dentro Kleopatra con File → Importa
certificati (Ctrl+I) , esattamente come faresti per i certificati ‘normali’.
2.3
Creare nuove coppie di chiavi
La voce di menu File → Nuovo certificato (Ctrl+N) fa partire la Procedura guidata per la
creazione dei certificati, che ti guiderà attraverso i passi della richiesta di certificato.
Quando hai finito con un passo della procedura, premi Successivo per andare al passo successivo
(o Precedente per rivedere i passi già completati). La creazione della richiesta di un certificato
può essere annullata in qualsiasi momento premendo il pulsante Annulla.
Sulla prima pagina della procedura guidata scegli il tipo di certificato che vuoi creare:
Crea una coppia di chiavi personale per OpenPGP
Le coppie di chiavi OpenPGP sono create localmente, e certificate da amici e conoscenze.
Non c’è un’autorità di certificazione centrale; invece, ogni individuo crea una rete di fiducia
personale certificando le coppie di chiavi degli altri utenti con il suo certificato.
Devi inserire un Nome, un indirizzo di Posta elettronica e facoltativamente un Commento.
Crea una coppia di chiavi personali X.509 e una richiesta di certificato
Le coppie di chiavi X.509 sono create localmente, ma certificate centralmente da un’autorità
di certificazione. Le CA possono certificare altre CA, creando una catena di fiducia centrale
e gerarchica.
Il prossimo passo della procedura guidata è inserire i dati personali per il certificato. I
campi da compilare sono:
• Nome comune, il tuo nome.
• Indirizzo di posta, il tuo indirizzo di posta elettronica; assicurati di scriverlo correttamente: è l’indirizzo a cui verranno inviati i messaggi quando i tuoi corrispondenti
useranno questo certificato.
• Indirizzo, il paese o città in cui vivi.
• Unità organizzativa, l’unità organizzativa a cui appartieni (per esempio, ‘Logistica’).
• Organizzazione, l’organizzazione che rappresenti (per esempio la ditta per cui lavori).
• Codice del paese, l’identificativo di due lettere del paese in cui vivi (per esempio ‘IT’).
Il passo successivo della procedura guidata è scegliere se memorizzare il certificato in un
file o inviarlo direttamente a una CA. Devi specificare il nome del file o l’indirizzo di posta
a cui inviare la richiesta del certificato.
9
2.3.1
Revocare una chiave
Un paio di chiavi scadute possono essere riportate in condizione operativa fintantoché hai accesso alla chiave privata e alla frase segreta. Per rendere una chiave definitivamente inutilizzabile
la devi revocare. La revoca viene effettuata aggiungendo una particolare firma di revoca alla
chiave.
Questa firma di revoca viene salvata in un file a parte. Questo file può in seguito venire importato nel portachiavi e viene quindi allegato alla chiave, rendendola inutilizzabile. Nota che
l’importazione di questa firma nella chiave non richiede una password; quindi, dovresti tenere
questa firma di revoca in un posto sicuro, normalmente diverso da dove tieni la coppia di chiavi.
È buona norma usare un posto diverso dal computer, come un dispositivo di memorizzazione
esterna come una penna USB o uno stampato su carta.
Kleopatra non fornisce una funzione per creare una tale firma di revoca in qualsiasi momento,
ma lo puoi fare con l’applicazione KGpg di KDE scegliendo KGpgChiavi → Revoca chiave e a
scelta importando subito la firma di revoca nel tuo portachiavi.
Un modo alternativo di generare un certificato di revoca è usare GPG direttamente dalla riga di
comando: gpg --output certificato_di_revoca.asc --gen-revoke chiave. L’argomento chiave deve essere lo specificatore di una chiave: l’identificativo della tua coppia di
chiavi primarie o parte del nome utente che identifica la tua chiave.
10
Capitolo 3
Guida ai menu
3.1
Il menu File
File → Nuovo certificato (Ctrl+N)
Crea una nuova coppia di chiavi (pubblica e privata) e permette di inviare la parte pubblica a un’autorità di certificazione (CA) per la firma. Il certificato risultante ti verrà quindi
rispedito, o sarà memorizzato in un server LDAP per fartelo scaricare nella cassetta delle
chiavi locale, dove potrai usarlo per firmare e decifrare i messaggi di posta.
Questo modo di operare è chiamato ‘generazione di chiavi decentralizzata’, perché le chiavi
sono generate localmente. Kleopatra (e GpgSM) non gestiscono direttamente la ‘generazione delle chiavi centralizzata’, ma puoi importare la coppia di chiavi segreta e pubblica che
ricevi dalla CA in formato PKCS#12 attraverso File → Importa certificati (Ctrl+I) .
File → Cerca i certificati sul server (Ctrl+Shift+I)
Cerca, e importa, dei certificati dai loro server nella cassetta locale. Vedi Sezione 2.2 per i
dettagli.
Devi aver configurato dei server di chiavi perché funzioni. Vedi Sezione 5.1 per maggiori
dettagli.
File → Importa certificati (Ctrl+I)
Importa certificati o chiavi segrete da file nella cassetta delle chiavi locale. Vedi Sezione 2.2
per maggiori dettagli.
Il formato del certificato deve essere supportato da GpgSM/GPG. Fai riferimento ai
manuali di GpgSM e GPG per una lista dei formati supportati.
File → Esporta certificati (Ctrl+E)
Esporta i certificati selezionati in un file.
L’estensione che scegli per il file esportato ne determina il formato:
• Per i certificati OpenPGP, .gpg e .pgp produrranno un file binario, mentre .asc produrrà
un file in armatura ASCII.
• Per i certificati S/MIME, .der produrrà un file binario codificato con DER, mentre .pem
produrrà un file in armatura ASCII.
A meno che siano selezionati certificati multipli, Kleopatra proporrà fingerprint.{asc,pe
m} come nome del file esportato.
Questa funzione è disponibile solo quando sono stati selezionati uno o più certificati.
11
NOTA
Questa funzione esporta solo le chiavi pubbliche, anche la segreta è disponibile. Usa File →
Esporta chiavi segrete per esportare le chiavi segrete in un file.
File → Esporta chiavi segrete
Esporta sia la chiave segreta in un file.
Nella finestra che si apre, puoi scegliere se creare un file esportato binario o con armatura
ASCII (Armatura ASCII). Fai quindi clic sull’icona della cartella a destra della casella File di
uscita, e seleziona cartella e nome del file da esportare. Quando si esportano chiavi segrete
S/MIME, puoi anche scegliere l’Insieme di caratteri della frase segreta. Vedi la discussione
dell’opzione --p12-charset charset nel manuale di GpgSM per maggiori dettagli.
Questa funzione è disponibile solo quando è stato selezionato solo un certificato la cui
chiave segreta è disponibile.
ATTENZIONE
L’uso di questa funzione raramente dovrebbe essere necessario, e, se è lo è, deve essere pianificato attentamente. Pianificare la migrazione delle chiavi segrete comprende la scelta del mezzo
di trasporto e la cancellazione sicura dei dati della chiave sulla vecchia macchina, oltre che sul
mezzo di trasporto, fra le altre cose.
File → Esporta certificati verso il server (Ctrl+Shift+E)
Pubblica i certificati selezionati su un server di chiavi (solo OpenPGP).
Il certificato viene inviato al server configurato per OpenPGP (cfr. Sezione 5.1), se
impostato, altrimenti a keys.gnupg.net.
Questa funzione è disponibile solo se è stato selezionato almeno un certificato OpenPGP (e
nessuno S/MIME).
NOTA
Quando i certificati OpenPGP vengono esportati a un server di elenco pubblico, è quasi impossibile rimuoverli. Prima di esportare un certificato a un server di elenco pubblico, assicurati di
aver creato un certificato di revoca in modo da poterlo revocare se ne avrai bisogno in seguito.
NOTA
La maggior parte dei server OpenPGP pubblici sincronizzano i certificati tra di loro, quindi non
ha molto senso inviarli a più d’uno.
Può accadere che una ricerca su un server di certificati non riporti nessun risultato anche se gli
hai appena mandato il tuo certificato. Questo perché la maggior parte degli indirizzi dei server
di chiavi pubblici usa DNS a turno per bilanciare il carico su più macchine. Queste macchine si
sincronizzano tra loro, ma di solito solo ogni 24 ore circa.
File → Decifra/verifica file
Decifra dei file o ne verifica le firme.
File → Firma/cifra file
Firma o cifra dei file.
File → Chiudi (Ctrl+W)
Chiude la finestra principale di Kleopatra. La puoi ripristinare in qualsiasi momento
dall’icona nel vassoio di sistema.
File → Esci (Ctrl+Q)
Termina Kleopatra.
12
3.2
Il menu Visualizza
Visualizza → Mostra di nuovo (F5)
Aggiorna l’elenco dei certificati.
L’uso di questa funzione è di solito superfluo, perché Kleopatra sorveglia le modifiche al
filesystem e aggiorna automaticamente l’elenco dei certificati se necessario.
Visualizza → Arresta operazione (Esc)
Interrompe (annulla) tutte le operazioni pendenti, per esempio una ricerca, un elenco di
chiavi o uno scaricamento.
Questa funzione è disponibile solo se è attiva almeno un’operazione.
NOTA
A causa di limitazioni dei motori, a volte le operazioni si fermeranno in un modo in cui questa
funzione non riuscirà ad annullarle immediatamente o affatto.
In questi casi, l’unico modo di riportare l’ordine è terminare i processi SCDaemon, DirMngr, GpgSM e GPG, in quest’ordine, con gli strumenti del sistema operativo (top, gestore dei processi,
eccetera), finché l’operazione non viene sbloccata.
Visualizza → Dettagli del certificato
Mostra i dettagli del certificato attualmente selezionato.
Questa funzione è disponibile solo quando è selezionato esattamente un certificato.
Questa funzione è anche disponibile direttamente con un doppio clic sulla voce
corrispondente della vista a elenco.
Visualizza → Lista gerarchica dei certificati
Passa tra la modalità gerarchica e quella a singolo livello per l’elenco dei certificati.
In modalità gerarchica i certificati sono organizzati secondo la relazione emittente/oggetto,
quindi è facile vedere a quale gerarchia di certificazione appartenga un particolare certificato, ma è inizialmente è più difficile trovare un certificato in particolare (sebbene si possa
naturalmente usare la barra di ricerca).
In modalità semplice, tutti i certificati sono mostrati in una semplice lista, in ordine alfabetico. In questa modalità, un dato certificato è facile da trovare, ma non è immediatamente
chiaro a quale certificato radice appartenga.
Questa funzione commuta la modalità gerarchica per schede, cioè ogni scheda ha il suo stato gerarchico. Questo in modo da poter avere sia una lista a livello singolo e una gerarchica
a disposizione, ciascuna nella sua scheda.
NOTA
La visualizzazione gerarchica è attualmente implementata solo per i certificati S/MIME. C’è
disaccordo tra gli sviluppatori riguardo al modo giusto di visualizzare i certificati OpenPGP
gerarchicamente (sostanzialmente, ‘genitore = firmatario’ o ‘genitore = firmato’).
Visualizza → Espandi tutto (Ctrl+.)
Espande tutte le voci nella vista a elenco dei certificati, cioè li rende tutti visibili.
Questa è la modalità predefinita quando si passa alla modalità di elenco gerarchico delle
chiavi.
È ovviamente ancora possibile espandere e contrarre le voci una ad una.
Questa funzione è disponibile solo quando si attiva Visualizza → Lista gerarchica dei
certificati.
13
Visualizza → Contrai tutto (Ctrl+,)
Contrae tutte le voci della vista a elenco dei certificati, cioè nasconde tutte le voci tranne
quelle di massimo livello.
È ovviamente ancora possibile espandere e contrarre le voci una ad una.
Questa funzione è disponibile solo quando si attiva Visualizza → Lista gerarchica dei
certificati.
3.3
Il menu Certificati
Certificati → Cambia fiducia nel proprietario
Cambia la fiducia nel proprietario del certificato OpenPGP selezionato.
Questa funzione è disponibile solo quando è selezionato esattamente un certificato
OpenPGP.
Certificati → Fidati del certificato radice
Segna questo certificato radice (S/MIME) come fidato.
In qualche modo, questo è l’equivalente di Certificati → Cambia fiducia nel proprietario
per i certificati radice S/MIME. Puoi tuttavia scegliere solo tra la fiducia assuluta e nessuna
fiducia, nella terminologia di OpenPGP.
NOTA
Il motore (per mezzo di GpgAgent) chiederà al momento dell’importazione del certificato radice se fidarsene. Tuttavia, quella funzione va abilitata esplicitamente nella configurazione del
motore (allow-mark-trusted in gpg-agent.conf, oppure Sistema GnuPG → Agente GPG
→ Permetti ai client di indicare le chiavi come fidate o Convalida S/MIME → Permetti di
indicare i certificati radice come fidati sotto capitolo 5).
Abilitare quella funzionalità nel motore può far apparire delle finestre a comparsa di PinEntry
in momenti inopportuni (per esempio quando si verificano le firme), e può quindi bloccare l’elaborazione della posta se nessuno è presente. Per questo motivo, e perché è una buona cosa
poter togliere la fiducia a un certificato radice fidato, Kleopatra permette di impostare la fiducia
manualmente.
ATTENZIONE
A causa del mancato supporto a livello di motore per questa funzione, Kleopatra deve lavorare
direttamente sulla banca dati della fiducia di GpgSM (trustlist.txt). Quando usi questa funzione, assicurati che non ci sia nessun’altra operazione crittografica in corso che possa interferire
con Kleopatra mentre modifica quella banca dati.
Questa funzione è disponibile solo quando è stato selezionato solo un certificato radice
S/MIME che non sia ancora fidato.
Usa Certificati → Togli fiducia al certificato radice per annullare questa funzione.
Certificati → Togli fiducia al certificato radice
Indica questo certificato radice (S/MIME) come non fidato.
Questa funzione è disponibile solo quando è stato selezionato solo un certificato radice
S/MIME che sia attualmente fidato.
Usato per annullare Certificati → Fidati del certificato radice . Vedi lì per i dettagli.
14
Certificati → Certifica certificato
Permette di certificare un altro certificato OpenPGP.
Questa funzione è disponibile solo quando è selezionato esattamente un certificato
OpenPGP.
Certificati → Cambia data di scadenza
Permette di cambiare la data di scadenza di un certificato OpenPGP.
Usa questa funzione per estendere la vita utile dei certificati OpenPGP in alternativa a
crearne di nuovi o usare una durata illimitata (‘non scade mai’).
Questa funzione è disponibile solo quando è stato selezionato solo un certificato OpenPGP
la cui chiave segreta è disponibile.
Certificati → Cambia frase segreta
Permette di cambiare la frase segreta di una chiave segreta.
Questa funzione è disponibile solo se è selezionato esattamente un certificato la cui chiave
segreta è disponibile. Richiede un motore molto recente, perché l’implementazione è stata
cambiata dalla chiamata diretta a GPG e GpgSM in una basata su GpgME.
NOTA
Per ragioni di sicurezza, le frasi segrete sia vecchia che nuova vengono richieste da PinEntry,
un processo a parte. A seconda della piattaforma su cui sei e della qualità della sua implementazione di PinEntry, potrebbe darsi che la finestra di PinEntry compaia sullo sfondo. Quindi, se
selezioni questa funzione e non succede nulla, controlla la barra delle applicazioni del sistema
per vedere se sullo sfondo si è aperta una finestra di PinEntry.
Certificati → Aggiungi ID utente
Permette di aggiungere un nuovo ID utente al certificato OpenPGP.
Usalo per aggiungere nuove identità a un certificato esistente in alternativa a creare un
nuovo paio di chiavi. Un ID utente di OpenPGP ha la forma seguente:
Nome vero ( Commento ) < Posta elettronica >
Nella finestra che appare quando selezioni questa funzione, Kleopatra chiederà separatamente ciascuno dei tre parametri (Nome vero, Commento e Posta elettronica), e ne
visualizzerà il risultato in un’anteprima.
NOTA
Questi parametri sono soggetti alle stesse restrizioni amministrative come per i nuovi certificati.
Vedi Sezione 2.3 e Sezione 6.1 per i dettagli.
Questa funzione è disponibile solo quando è stato selezionato solo un certificato OpenPGP
la cui chiave segreta è disponibile.
Certificati → Elimina (Canc)
Elimina i certificati selezionati dal portachiavi locale.
Usa questa funzione per rimuovere le chiavi inutilizzate dalla cassetta delle chiavi locale.
Però, poiché i certificati sono tipicamente allegati a messaggi di posta firmati, la verifica di
un messaggio potrebbe risultare nel reinserimento nella cassetta delle chiavi locale di una
chiave appena rimossa. Quindi è probabilmente meglio evitare di usare questa funzione
il più possibile. Quando ti perdi, usa la barra di ricerca o la funzione Visualizza → Lista
gerarchica dei certificati per ottenere nuovamente il controllo dei certificati.
15
ATTENZIONE
C’è un’eccezione a quanto sopra: quando elimini uno dei tuoi certificati, ne elimini anche la
chiave segreta. Ciò implica che non potrai più leggere le comunicazioni precedenti cifrate per te
con questo certificato, a meno di avere una copia di sicurezza da qualche parte.
Kleopatra ti avvertirà se cercherai di eliminare una chiave segreta.
A causa della natura gerarchica dei certificati S/MIME, se elimini un certificato emittente
S/MIME (certificato CA), anche tutti i suoi oggetti saranno eliminati.1
Naturalmente, questa funzione è disponibile solo se hai selezionato almeno un certificato.
Certificati → Sversa il certificato
Mostra tutte le informazioni che GpgSM ha sul certificato (S/MIME) selezionato.
Vedi la discussione su --dump-key key nel manuale di GpgSM per i dettagli sui risultati.
3.4
Il menu Strumenti
Strumenti → Visore di registri GnuPG
Avvia KWatchGnuPG, uno strumento per presentare il risultato del debug delle applicazioni GnuPG. Se la firma, la cifratura o la verifica smettono misteriosamente di funzionare,
potresti scoprire perché leggendo il registro.
Questa funzione non è disponibile su Windows® , perché i meccanismi necessari non sono
implementati nel motore di quella piattaforma.
Strumenti → Aggiorna i certificati OpenPGP
Aggiorna tutti i certificati OpenPGP eseguendo gpg --refresh-keys. Dopo il corretto
completamento del comando, la raccolta di chiavi locale rispecchierà le ultime modifiche
alla validità dei certificati OpenPGP.
Vedi la nota sotto capitolo 5 per alcuni avvisi.
Strumenti → Aggiorna i certificati X.509
Aggiorna tutti i certificati S/MIME eseguendo gpgsm -k --with-validation --for
ce-crl-refresh --enable-crl-checks. Dopo il corretto completamento del comando, la raccolta di chiavi locale rispecchierà le ultime modifiche alla validità dei certificati
S/MIME.
NOTA
Aggiornare i certificati X.509 o OpenPGP implica scaricare tutti i certificati e le CRL per
controllare se qualcuno di essi è stato nel frattempo revocato.
Ciò può mettere sotto pressione la connessione di rete tua e altrui, perché può volerci più di
un’ora per finire, a seconda della connessione e del numero di certificati da controllare.
Strumenti → Importa CRL da file
Permette di importare manualmente CRL da file.
Normalmente, le Liste di Revocazione dei certificati (CRL) sono gestite in modo trasparente
dal motore, ma a volte è utile importare una CRL manualmente nella cache locale delle
CRL.
1
È come sul disco: quando elimini una cartella, elimini anche tutti i file e tutte le cartelle che contiene.
16
NOTA
Perché l’importazione di CRL funzioni, lo strumento DirMngr deve essere nel PATH di ricerca. Se
questa voce del menu è disabilitata, dovresti contattare l’amministratore del sistema e chiedergli
di installare DirMngr.
Strumenti → Pulisci la cache delle CRL
Pulisce la cache delle CRL di GpgSM.
Non dovresti mai aver bisogno di questa funzione. Al suo posto, puoi forzare l’aggiornamento della cache delle CRL selezionando tutti i certificati ed usando Strumenti
→ Aggiorna i certificati X.509 .
Strumenti → Sversa cache delle CRL
Mostra il contenuto dettagliato della cache delle CRL di GpgSM.
3.5
Il menu Impostazioni
Kleopatra ha un menu delle Impostazioni predefinito di KDE, come descritto nei Fondamentali
di KDE, con una voce in più:
Impostazioni → Esegui l’autodiagnosi
Effettua una serie di autodiagnosi e ne presenta il risultato.
Questa è la stessa serie di test che come impostazione predefinita vengono eseguiti
all’avvio. Se hai disattivato i test all’avvio, li puoi riattivare qui.
3.6
Il menu Finestra
Il menu Finestra permette di gestire le schede. Usando gli elementi di questo menu puoi rinominare una scheda, aggiungerne una nuova, duplicare quella attuale, chiuderla, e spostarla a destra
o a sinistra.
Anche facendo clic con il tasto destro del mouse su una scheda puoi aprire un menu contestuale
in cui puoi selezionare le stesse azioni.
3.7
Il menu Aiuto
Kleopatra ha un menu Aiuto predefinito di KDE, come descritto nei Fondamentali di KDE.
17
Capitolo 4
Guida alle opzioni dalla riga di
comando
Sono elencate qui solo le opzioni specifiche di Kleopatra. Come per tutte le applicazioni di KDE
puoi avere la lista completa delle opzioni disponibili con il comando kleopatra --help.
--uiserver-socket argomento
Posizione del socket su cui il server dell’UI è in ascolto
--daemon
Esegui solo il server dell’interfaccia, nascondi la finestra principale
-p --openpgp
Usa OpenPGP per l’operazione seguente
-c --cms
Usa CMS (X.509, S/MIME) per l’operazione seguente
-i --import-certificate
Specifica un file o un URL da cui importare certificati (o chiavi segrete).
Questo è l’equivalente su riga di comando di File → Importa certificati (Ctrl+I) .
-e --encrypt
Cifra file
-s --sign
Firma file
-E --encrypt-sign
Cifra o firma i file. Uguale a --sign-encrypt, da non usare.
-d --decrypt
Decifra file
-V --verify
Verifica file e firma
-D --decrypt-verify
Decifra o verifica file
18
Capitolo 5
Configurare Kleopatra
La finestra di configurazione di Kleopatra è accessibile con Impostazioni → Configura
Kleopatra.
Ciascuna pagina è descritta nelle sezioni seguenti.
5.1
Configurare i servizi di directory
Su questa pagina, puoi configurare quali server LDAP usare per le ricerche di certificati S/MIME,
e quali server di chiavi usare per le ricerche di certificati OpenPGP.
NOTA
Questa è semplicemente una versione più facile da usare delle stesse impostazioni che trovi anche in
Sezione 5.5. Tutto quello che puoi configurare qui può essere configurato anche là.
N OTA SULLE IMPOSTAZIONI DEI PROXY
Le impostazioni dei proxy possono essere configurate per HTTP e LDAP in Sezione 5.4, ma solo per
GpgSM. Per GPG, a causa della complessità delle opzioni dei server delle chiavi di GPG, e a causa
della mancanza di un loro supporto appropriato in GpgConf, al momento devi modificare direttamente
il file di configurazione gpg.conf. Fai riferimento al manuale di GPG per i dettagli. Kleopatra manterrà
queste impostazioni, ma non permette ancora di modificarle nella sua interfaccia.
La tabella Servizi di directory mostra quali server sono attualmente configurati. Fai doppio clic
su una cella della tabella per cambiare i parametri delle voci dei server presenti.
Le colonne della tabella hanno i seguenti significati:
Schema
Determina il protocollo di rete usato per accedere al server. Schemi di uso comune includono ldap (e la sua versione con sicurezza SSL ldaps) per i server LDAP, un protocollo comune
per S/MIME e l’unico supportato da GpgSM; e hkp, il protocollo Horowitz per server di
chiavi, oggi spesso chiamato il protocollo HTTP per server di chiavi, un protocollo basato
su HTTP supportato da praticamente tutti i server di chiavi.
Riferisciti ai manuali di GPG e GpgSM per un elenco degli schemi supportati.
19
Nome del server
Il nome di dominio del server, per esempio keys.gnupg.net.
Porta del server
La porta di rete su cui il server è in ascolto.
Questa cambia automaticamente alla porta predefinita quando si cambia Schema, a meno
che fosse già stata impostata a una porta non standard. Se hai cambiato la porta predefinita
e non riesci a ritrovarla, prova a impostare Schema a http e Porta del server a 80 (il valore
predefinito per HTTP), e riparti da lì.
DN base
Il DN base (solo per LDAP e LDAPS), cioè la radice della gerarchia LDAP da cui partire.
Viene spesso chiamato ‘radice di ricerca’ o ‘base di ricerca’.
Di solito è qualcosa come c=de,o=Foo, dato come parte dell’URL di LDAP.
Nome utente
In nome dell’utente, se c’è, da usare per accedere al server.
Questa colonna è visibile solo se l’opzione Mostra le informazioni su utente e password
(sotto la tabella) è attiva.
Password
La password, se c’è, da usare per accedere al server.
Questa colonna è visibile solo se l’opzione Mostra le informazioni su utente e password
(sotto la tabella) è attiva.
X.509
Spunta questa colonna se questa voce va usata per ricerche di certificati X.509 (S/MIME).
Solo i server LDAP (e LDAPS) sono supportati per S/MIME.
OpenPGP
Spunta questa colonna se questa voce va usata per ricerche di certificati OpenPGP.
Puoi configurare tanti server S/MIME (X.509) quanti ne vuoi, ma è permesso solo un server
OpenPGP alla volta. L’interfaccia farà rispettare questo limite.
Per aggiungere un nuovo server, fai clic sul pulsante Nuovo. Ciò duplica la voce selezionata, se
ce n’è una, altrimenti inserisce un server OpenPGP predefinito. Puoi quindi impostare ilNome
del server, laPorta del server, il DN base e i soliti Password e Nome utente, entrambi i quali
sono necessari solo se il server richiede di identificarsi.
Per inserire direttamente una voce per i certificati X.509, usa Nuovo → X.509; usa Nuovo
→ OpenPGP per OpenPGP.
Per rimuovere un server dall’elenco di ricerca, selezionalo e premi il pulsante Elimina.
Per impostare il periodo di scadenza ad LDAP, cioè il massimo periodo di tempo per cui il motore
aspetterà una risposta del server, usa la casella numerica Scadenza LDAP (minuti:secondi).
Se uno dei server ha una banca dati molto grande, per cui anche ricerche semplici come Ros
si raggiungono il Numero massimo di voci restituite dalla ricerca, potresti dover aumentare
questo limite. È facile accorgersi se si raggiunge il limite durante la ricerca, perché apparirà una
finestra per avvertire che i risultati saranno troncati.
NOTA
Alcuni server possono imporre dei limiti propri sul numero di voci restituite da una ricerca. In questo
caso, aumentare il limite non aumenterà il numero di elementi restituiti.
20
5.2
5.2.1
Configurare l’Aspetto
Configurare i Suggerimenti
Nell’elenco principale dei certificati, Kleopatra può mostrare i dettagli di un certificato in un
suggerimento. Le informazioni visualizzate sono le stesse della scheda Panoramica della finestra
Dettagli del certificato. I suggerimenti, però, si possono limitare a mostrare solo una parte delle
informazioni per avere un programma meno logorroico.
NOTA
L’ID chiave viene sempre mostrato. Ciò per assicurarsi che i suggerimenti di certificati diversi siano
davvero diversi (è importante soprattutto se è stato selezionato solo Mostra validità).
Puoi abilitare o disabilitare indipendentemente i seguenti insiemi di informazioni:
Mostra validità
Mostra informazioni sulla validità di un certificato: il suo stato attuale, il DN dell’emittente
(solo S/MIME), la data di scadenza (se c’è) e i contrassegni d’uso del certificato.
Esempio:
Questo certificato è
Emittente :
Validità :
Uso del certificato :
posta e file
ID chiave :
attualmente valido .
CN = Test - ZS 7,O= Intevation GmbH ,C= DE
da 25.08.2009 10:42 a 19.10.2010 10:42
Firma di posta elettronica e file , Cifratura di
←-
DC9D9E43
Mostra informazioni sul proprietario
Mostra informazioni sul proprietario del certificato: DN oggetto (solo S/MIME), ID utente
(inclusi indirizzi di posta) e affidabilità del proprietario (solo OpenPGP).
Esempio OpenPGP:
ID utente :
>
ID chiave :
Affidabilità del proprietario :
Pinco Pallino < pinco . pallino@esempio .it ←C6BF6664
assoluta
Esempio S/MIME:
Oggetto :
alias :
ID chiave :
CN = PincoPallino , OU = Esempio ,O= Progetto esempio ,C= IT
pinco . pallino@esempio . it
DC9D9E43
Mostra dettagli tecnici
Mostra informazioni tecniche sul certificato: numero di serie (solo S/MIME), tipo, impronta
digitale e indirizzo di memorizzazione.
Esempio:
Numero di serie :
Tipo di certificato :
ID chiave :
Impronta digitale :
Memorizzato :
27
%1 - bit %2 ( certificato segreto disponibile )
DC9D9E43
854 F62EEEBB41BFDD3BE05D124971E09DC9D9E43
su questo computer
21
5.2.2
Configurare le Categorie dei certificati
Kleopatra permette di configurare l’aspetto dei certificati nella vista a elenco. È possibile mostrare
un’iconcina, ma anche cambiare i colori del testo e di sfondo, oltre al carattere.
Ogni categoria di certificati nell’elenco ha un insieme di colori, un’icona (facoltativa) e un carattere associati, con i quali i certificati di quella categoria sono visualizzati. Le categorie possono essere definite liberamente dagli amministratori o dagli utenti esperti, vedi Sezione 6.2 nelcapitolo
6.
Per impostare o cambiare l’icona di una categoria, selezionala nell’elenco e premi il pulsante
Imposta icona. Apparirà la finestra standard di selezione delle icone di KDE, dove puoi scegliere
un’icona dalla raccolta di KDE o caricarne una nuova.
Per rimovere un’icona, devi premere il pulsante Aspetto predefinito.
Per cambiare il colore del testo (cioè di primo piano) di una categoria, selezionala dall’elenco e
premi il pulsante Imposta colore del testo. Apparirà la finestra di selezione dei colori di KDE,
dove puoi scegliere un colore o crearne uno nuovo.
Il cambio del colore di sfondo si fa allo stesso modo premendo il pulsante Imposta colore di
sfondo.
Per cambiare il carattere, hai sostanzialmente due scelte:
1. Modificare il carattere standard, usato da tutte le viste a elenco di KDE.
2. Usare un carattere personalizzato.
La prima scelta ha il vantaggio che il carattere seguirà lo stile scelto come preferito in tutto KDE,
mentre l’altra dà pieno controllo sul carattere da usare. La scelta è tua.
Per usare il carattere standard modificato, seleziona la categoria dalla lista, e cambia i modificatori del carattere Corsivo, Grassetto o Barrato. Puoi vedere immediatamente l’effetto sui caratteri
della lista delle categorie.
Per usare un carattere personalizzato, premi il pulsante Imposta carattere. Apparirà la finestra
standard di selezione dei caratteri di KDE per permettere di scegliere il carattere.
NOTA
Puoi ancora usare i modificatori dei caratteri per cambiare il carattere personalizzato, come per
modificare il carattere standard.
Per tornare ad usare il carattere standard, è necessario premere il pulsante Aspetto predefinito.
5.2.3
Configurare l’Ordine degli attributi DN
Sebbene i DN siano gerarchici, l’ordine dei componenti individuali (chiamati DN relativi o RDN,
o attributi dei DN) non è definito. L’ordine in cui gli attributi vanno mostrati è un problema di
politica aziendale o di gusto personale, ed ecco perché è configurabile in Kleopatra.
NOTA
Questa impostazione non ha effetto solo su Kleopatra, ma su tutte le applicazioni che ne usano la
tecnologia. Al momento in cui è stato redatto questo manuale, queste includono KMail, KAddressBook,
e anche Kleopatra stessa, ovviamente.
22
Questa pagina di configurazione consiste sostanzialmente di due elenchi, uno per gli attributi
noti (Attributi disponibili) e uno che descrive l’Ordine attuale degli attributi.
Entrambi gli elenchi contengono voci descritte dalla forma breve dell’attributo (per esempio CN)
in aggiunta alla forma descrittiva (Nome comune).
L’elenco Attributi disponibili è sempre ordinato alfabeticamente, mentre l’elenco Ordine attuale
degli attributi riflette l’ordine degli attributi del DN configurato: il primo attributo della lista è
mostrato per primo.
I soli attributi che vengono mostrati sono quelli esplicitamente elencati in Ordine attuale degli
attributi. Quelli che non compaiono nell’elenco sono nascosti.
Però, se la voce segnaposto _X_ (Tutti gli altri) è nell’elenco ‘attuale’, tutti gli attributi non elencati
(che siano noti oppure no) verranno inseriti al posto di _X_, nell’ordine relativo originale.
Un breve esempio aiuterà a chiarire la situazione:
Dato il DN
O=KDE, C=IT, CN=Pippo, X-PINCO=pallino, OU=Kleopatra, X-PALLINO=pinco,
l’ordine predefinito degli attributi di ‘CN, L, _X_, OU, O, C’ produrrà il seguente DN formattato:
CN=Pippo, X-PINCO=pallino, X-PALLINO=pinco, OU=Kleopatra, O=KDE, C=IT
Mentre ‘CN, L, OU, O, C’ produrrà
CN=Pippo, OU=Kleopatra, O=KDE, C=IT
Per aggiungere un attributo all’ordine di visualizzazione della lista, selezionalo dalla lista
Attributi disponibili e premi il pulsante Aggiungi all’ordine attuale degli attributi.
Per eliminare un attributo dall’ordine di visualizzazione della lista, selezionalo dalla lista Ordine
attuale degli attributi e premi il pulsante Rimuovi dall’ordine attuale degli attributi.
Per spostare un attributo all’inizio (o alla fine) della lista, selezionalo dalla lista Ordine attuale
degli attributi e premi il pulsante Sposta in cima (o Sposta in fondo).
Per spostare un attributo più in su (o in giù) di una sola posizione, selezionalo dalla lista Ordine
attuale degli attributi e premi il pulsante Sposta in su (o Sposta in giù).
5.3
5.3.1
Configurare le operazioni di cifratura
Configurare le Operazioni di posta
Qui puoi configurare alcuni aspetti delle operazioni di posta dell’UiServer di Kleopatra. Attualmente puoi configurare solo se usare o meno la ‘modalità rapida’ per firmare e cifrare i messaggi
individualmente.
Quando la ‘modalità rapida’ è attiva, non si mostra nessuna finestra quando si firmano (o cifrano)
messaggi di posta, a meno che ci sia un conflitto che richieda una soluzione manuale.
5.3.2
Configurare le Operazioni dei file
Qui puoi configurare alcuni aspetti delle operazioni sui file dell’UiServer di Kleopatra. Attualmente puoi solo scegliere il programma da usare per il calcolo del codice di controllo di
CHECKSUM_CREATE_FILES.
Usa Programma per i codici di controllo da usare per scegliere quale dei programmi configurati
usare alla creazione di file di codici di controllo.
Quando si verificano i codici di controllo, il programma da usare viene trovato automaticamente,
in base al nome dei file di codici di controllo trovati.
23
NOTA
L’amministratore e l’utente esperto possono definire completamente quali programmi di codici di controllo rendere disponibili a Kleopatra con le cosiddette ‘definizioni di codice di controllo’ nel file di
configurazione. Per i dettagli vedi Sezione 6.4.
5.4
Configurare aspetti della convalida S/MIME
Su questa pagina, puoi configurare certi aspetti della convalida dei certficati S/MIME.
NOTA
Per lo più, questa è solo una versione più facile da usare delle stesse impostazioni che trovi anche in
Sezione 5.5. Tutto quello che puoi configurare qui, lo puoi configurare anche là, eccetto Controlla la
validità dei certificati ogni N ore, che è specifico a Kleopatra.
Il significato delle opzioni è come segue:
5.4.1
Configurare il controllo periodico dei certificati
Controlla la validità dei certificati ogni N ore
Questa opzione abilita il controllo periodico della validità dei certificati. Puoi anche scegliere il periodo di controllo (in ore). L’effetto del controllo periodico è lo stesso di Visualizza
→ Mostra di nuovo (F5) ; non c’è la possibilità di pianificazione periodica di Strumenti
→ Aggiorna i certificati OpenPGP o Strumenti → Aggiorna i certificati X.509 .
NOTA
La convalida viene effettuata implicitamente ogni volta che cambiano dei file significativi in ~/
.gnupg. Questa opzione, come Strumenti → Aggiorna i certificati OpenPGP e Strumenti
→ Aggiorna i certificati X.509 , è quindi importante solo nel caso di fattori esterni per la validità
dei certificati.
5.4.2
Configurare il metodo di convalida
Convalida i certificati con le CRL
Se questa opzione è selezionata, i certificati S/MIME verranno convalidati usando le liste
di revoca certificato (CRL).
Vedi Convalida in linea dei certificati (OCSP) per un metodo alternativo di controllo della
validità dei certificati.
Convalida in linea dei certificati (OCSP)
Se questa opzione è selezionata, i certificati S/MIME verranno convalidati in linea con il
protocollo di stato dei certificati in linea (OCSP).
ATTENZIONE
Quando si sceglie questo metodo, si invia una richiesta al server della CA più o meno ogni volta
che si invia o riceve un messaggio cifrato, il che in linea teorica permette all’agenzia che ha
emesso il certificato di monitorare con chi stai scambiando (per esempio) messaggi di posta.
24
Se usi questo metodo, dovra inserire l’URL del risponditore OCSP in URL del risponditore
OCSP.
Vedi Convalida in linea dei certificati (OCSP) per un metodo più tradizionale di controllo
della validità dei certificati che non tradisce informazioni sui tuoi contatti.
URL del risponditore OCSP
Inserisci qui l’indirizzo del server per la convalida in linea dei certificati (risponditore
OCSP). L’URL comincia di solito per http:// .
Firma del risponditore OCSP
Scegli qui il certificato con cui il server OCSP firma le sue risposte.
Ignora l’URL del servizio dei certificati
Ogni certificato S/MIME di solito contiene l’URL del risponditore OCSP del suo emittente
(Certificati → Sversa il certificato rivelerà se un dato certificato lo contiene).
Segnare questa opzione fa ignorare a GpgSM questi URL, e gli fa usare solo quello
configurato sopra.
Usalo, per esempio, per far rispettare l’uso di un proxy OCSP aziendale.
5.4.3
Configurare le opzioni di convalida
Non controllare le politiche dei certificati
Come impostazione predefinita, GpgSM usa il file ~/.gnupg/policies.txt per controllare
se la politica di un certificato è permessa. Se questa opzione è selezionata, le politiche non
vengono controllate.
Non consultare mai una CRL
Se questa opzione è selezionata, non si useranno mai le liste di revoca dei certificati (CRL)
per convalidare i certificati S/MIME.
Permetti di indicare i certificati radice come fidati
Se questa opzione è attivata durante l’importazione di un certificato CA radice, verrà chiesto di confermarne l’impronta digitale e di dichiarare se si considera quel certificato radice
affidabile.
Un certificato radice deve essere fidato prima che i certificati che esso certifica divengano
a loro volta fidati, ma fidarsi troppo facilmente di certificati radice può minare la sicurezza
del sistema.
NOTA
Abilitare questa funzionalità nel motore può far apparire delle finestre a comparsa di PinEntry
in momenti inopportuni (per esempio quando si verificano le firme), e può quindi bloccare l’elaborazione della posta se nessuno è presente. Per questo motivo, e perché è una buona cosa
poter togliere la fiducia a un certificato radice fidato, Kleopatra permette di impostare la fiducia
manualmente con Certificati → Fidati del certificato radice e Certificati → Togli fiducia al
certificato radice .
Questa funzionalità qui non influenza il funzionamento di Kleopatra.
Recupera i certificati degli emittenti mancanti
Se questa opzione è impostata, i certificati degli emittenti mancanti vengono scaricati
secondo necessità (ciò è valido per entrambi i metodi di convalida, CRL e OCSP).
25
5.4.4
Configurare le opzioni di richiesta HTTP
Non effettuare nessuna richiesta HTTP
Disattiva completamente l’uso di HTTP per S/MIME.
Ignora i punti di distribuzione di CRL HTTP dei certificati
Quando si cerca l’indirizzo di una CRL, il certificato da controllare di solito contiene quelle
che sono note come voci ‘Punto di distribuzione di CRL’ (DP), che sono URL che descrivono
il modo di accedere alla CRL. Si usa la prima voce DP trovata.
Con questa opzione tutte le voci che usano lo schema HTTP sono ignorate quando si cerca
un DP adatto.
Usa il proxy HTTP di sistema
Se questa opzione è selezionata, il valore del proxy HTTP mostrato a destra (che viene dalla
variabile d’ambiente http_proxy) sarà usato per ogni richiesta HTTP.
Usa questo proxy per le richieste HTTP
Se non è impostato nessun proxy di sistema, o devi usare un proxy diverso per GpgSM,
puoi inserirne l’indirizzo qui.
Verrà usato per tutte le richieste HTTP relative a S/MIME.
La sintassi è host:porta, per esempio mioproxy.dove.it:3128.
5.4.5
Configurare le opzioni di richiesta LDAP
Non effettuare nessuna richiesta LDAP
Disattiva completamente l’uso di LDAP per S/MIME.
Ignora i punti di distribuzione di CRL LDAP dei certificati
Quando si cerca l’indirizzo di una CRL, il certificato da controllare di solito contiene quelle
che sono note come voci ‘Punto di distribuzione di CRL’ (DP), che sono URL che descrivono
il modo di accedere alla CRL. Si usa la prima voce DP trovata.
Con questa opzione tutte le voci che usano lo schema LDAP sono ignorate quando si cerca
un DP adatto.
Host principale per le richieste LDAP
Inserire qui un server LDAP invierà tutte le richieste LDAP a quel server per primo. Più
precisamente, questa impostazione si sostituisce a qualsiasi parte host o porta specificata
in un URL di LDAP, e sarà usata anche host e porta sono stati omessi dall’URL.
Altri server LDAP verranno usati solo se la connessione al ‘proxy’ non riesce. La sintassi è
host o host:porta. Se si omette la porta, si usa la porta 389 (la porta standard di LDAP).
5.5
Configurare il sistema GnuPG
Questa parte della finestra viene generata automaticamente dal risultato di gpgconf --list
-components e, per ogni componente restituito dal comando sopra, il risultato di gpgconf
--list-options componente.
NOTA
Le più utili di queste opzioni sono state duplicate come pagine a sé nella finestra di configurazione di
Kleopatra. Vedi Sezione 5.1 e Sezione 5.4 per le due pagine della finestra che contengono le opzioni
selezionate di questa parte della finestra.
26
Il contenuto preciso di questa parte della finestra dipende dalla versione del motore GnuPG
che hai installato e, potenzialmente, dalla piattaforma su cui ti trovi. Quindi, discuteremo solo
lo schema generale della finestra, incluse le mappature dalle opzioni di GpgConf ai controlli
dell’interfaccia di Kleopatra.
GpgConf restituisce informazioni di configurazione per diversi componenti.
componente vengono raggruppate le singole opzioni.
Entro ogni
Kleopatra mostra una scheda per componente riportato da GpgConf; i gruppi sono intestati da
una riga orizzontale che indica il nome del gruppo come restituito da GpgConf.
Ogni opzione di GpgConf ha un tipo. Eccetto alcune opzioni comuni che Kleopatra supporta con
controlli specifici per facilitare la vita all’utente, la mappatura tra i tipi di GpgConf e i controlli di
Kleopatra è come segue:
Tipo di GpgConf
nessuno
Controllo di Kleopatra
elenchi
non elenchi
Casella numerica
Casella di spunta
(semantica del ‘conteggio’)
N/A
Casella di testo
Casella di testo (non
Casella numerica
formattata)
N/A
controllo specializzato
controllo specializzato
N/A
string
int32
uint32
percorso
server ldap
impronta digitale di
chiave
chiave pubblica
N/A
chiave segreta
elenco di alias
Tabella 5.1: Mappatura da tipi di GpgConf a controlli dell’interfaccia
Vedi il manuale di GpgConf per maggiori informazioni su cosa puoi configurare qui, e come.
27
Capitolo 6
Guida dell’amministratore
La guida dell’amministratore descrive dei modi di personalizzare Kleopatra non disponibili
dall’interfaccia grafica, ma solo dai file di configurazione.
Si presuppone che il lettore abbia familiarità con le tecnologie usate per la configurazione delle applicazioni di KDE, in particolare la disposizione, la posizione nel filesystem e l’ordine di
precedenza dei file di configurazione di KDE, ed anche dell’infrastruttura KIOSK.
6.1
6.1.1
Personalizzazione della procedura guidata della creazione
di certificati
Personalizzare i campi DN
Kleopatra permette di configurare i campi che l’utente può inserire per creare il certificato.
Crea un gruppo chiamato CertificateCreationWizard nel file di sistema kleopatrarc. Se vuoi
personalizzare l’ordine degli attributi o se vuoi che compaiano solo certe voci, crea una chiave
chiamata DNAttributeOrder. L’argomento è uno o più tra CN,SN,GN,L,T,OU,O,PC,C,SP,DC,BC,E
MAIL. Se vuoi inizializzare i campi con un certo valore, scrivi qualcosa come Attributo=valo
re. Se vuoi che l’attributo sia trattato come uno obbligatorio, apponi un punto esclamativo (ad
esempio CN!,L,OU,O!,C!,EMAIL!, che tra l’altro è la configurazione predefinita).
Usando il modificatore di modalità di KIOSK $e è possibile recuperare i valori dalle variabili
d’ambiente, o dall’esecuzione di uno script o di un file binario. Se inoltre vuoi impedire la modifica dei campi rispettivi, usa il modificatore $i. Se vuoi impedire l’uso del pulsante Inserisci il
mio indirizzo, imposta ShowSetWhoAmI a false.
SUGGERIMENTO
A causa della natura dell’infrastruttura KIOSK di KDE, l’uso del contrassegno immutabile ($i) impedisce all’utente di cambiarlo. Questo è il comportamento voluto. $i e $e possono anche essere usate
con tutte le altre chiavi di configurazione di KDE.
L’esempio seguente illustra delle possibili personalizzazioni:
[ CertificateCreationWizard ]
; Impedisci la copia di dati personali dalla rubrica , non permettere
modifiche locali
ShowSetWhoAmI [ $i ]= false
28
←-
; Imposta il nome utente a $USER
CN [ $e ]= $USER
; Imposta in nome della ditta a «Digitex» , impedisci la modifica
OU [ $i ]= Digitex
; Imposta il nome del dipartimento con il valore restituito da uno script
O[ $ei ]= $( lookup_dept_from_ip )
; Imposta il codice paese a IT , ma permetti all ’ utente di cambiarlo
C= IT
6.1.2
Limitare il tipo di chiavi che un utente può creare
Kleopatra permette anche di limitare quale tipo di certificati possono essere creati da un utente. Nota, però, che un modo semplice di aggirare queste restrizioni è crearne uno dalla riga di
comando.
6.1.2.1
Algoritmi a chiave pubblica
Per limitare l’algoritmo a chiave pubblica da usare, aggiungi la chiave di configurazione PGPKey
Type (e CMSKeyType, ma è comunque supportato solo RSA per CMS) nella sezione CertificateC
reationWizard di kleopatrarc.
I valori ammessi sono RSA per chiavi RSA, DSA per chiavi (di sola firma) DSA, e DSA+ELG per una
chiave (di sola firma) DSA con una sottochiave Elgamal per la cifratura.
Il valore predefinito viene letto da GpgConf o altrimenti si assume RSA se GpgConf non ha un
valore predefinito.
6.1.2.2
Dimensione della chiave pubblica
Per limitare le dimensioni delle chiavi per un algoritmo pubblico, aggiungi la chiave di configurazione <ALG>KeySizes (dove ALG può essere RSA, DSA o ELG) nella sezione CertificateCreation
Wizard di kleopatrarc, contenente un elenco separato da virgole di dimensioni di chiavi (in bit).
Un valore predefinito può essere indicato prefiggendo la dimensione con un trattino (-).
RSAKeySizes = 1536 , -2048 ,3072
Quanto sopra limiterebbe le dimensioni delle chiavi RSA a 1536, 2048 e 3072, con 2048 come
valore predefinito.
Oltre alle dimensioni stesse, puoi anche specificare le etichette di ogni dimensione. Basta
impostare la chiave di configurazione ALGKeySizeLabels a un elenco separato da virgole di
etichette.
RSAKeySizeLabels = debole , normale , forte
Quanto sopra, insieme all’esempio precedente, risulterebbe in qualcosa come quanto segue per
la selezione:
debole (1536 bit )
normale (2048 bit )
forte (3072 bit )
I valori predefiniti corrispondono a quanto segue:
29
RSAKeySizes = 1536 , -2048 ,3072 ,4096
RSAKeySizeLabels =
DSAKeySizes = -1024 ,2048
DSAKeySizeLabels = v1 , v2
ELGKeySizes = 1536 , -2048 ,3072 ,4096
6.2
Creare e modificare categorie di chiavi
Kleopatra permette all’utente di configurare l’aspetto visivo delle chiavi in base al concetto di
Categorie di chiavi. Le Categorie di chiavi si usano anche per filtrare l’elenco dei certificati.
Questa sezione descrive come modificare le categorie disponibili e aggiungerne di nuove.
Quando cerca di trovare la categoria a cui appartiene una chiave, Kleopatra la fa passare attraverso una serie di filtri, configurati in libkleopatrarc. Il primo filtro che corrisponde definisce
la categoria, basandosi su un concetto di specificità, spiegata un po’ più avanti.
Ciascun filtro delle chiavi è definito in un gruppo di configurazione chiamato Key Filter #n,
dove n è un numero a partire da 0.
Le uniche chiavi obbligatorie in un gruppo Key Filter #n sono Name, contenente il nome della categoria così com’è mostrato nella finestra di configurazione, e id, che viene usata come
riferimento per il filtro in altre sezioni della configurazione (come View #n).
Tabella 6.1 elenca tutte le chiavi che definiscono le proprietà visive della categoria (cioè le chiavi
che possono essere configurate nella finestra di configurazione), mentre Tabella 6.2 elenca tutte
le chiavi che definiscono il criterio di corrispondenza con le chiavi del filtro.
Chiave di configurazione
Tipo
background-color
colore
foreground-color
colore
font
carattere
font-bold
booleano
font-italic
booleano
30
Descrizione
Il colore di sfondo da usare.
Se manca, verrà usato il
colore di sfondo definito
globalmente per le viste a
elenco.
Il colore di primo piano da
usare. Se manca, verrà usato
il colore usato globalmente
per le viste a elenco.
Il carattere da usare. Il
carattere sarà adattato alla
dimensione configurata per
le viste a elenco, e ne
verranno applicati gli
attributi.
Se impostato a true e font
non è impostato, usa il
carattere predefinito per le
viste a elenco con l’aggiunta
dello stile grassetto, se
disponibile. È ignorato se è
presente anche font.
Simile a font-bold, ma si
usa un carattere corsivo
invece che grassetto.
Se è true, traccia una riga
centrata sopra i caratteri. È
font-strikeout
booleano
applicato anche se font è
impostato.
Il nome dell’icona da
mostrare nella prima
icon
testo
colonna. Non ancora
implementato.
Tabella 6.1: Configurazione di chiavi e filtri. Chiavi di definizione
delle proprietà di visualizzazione
Chiave di configurazione
Tipo
is-revoked
booleano
match-context
contesto1
is-expired
booleano
is-disabled
booleano
is-root-certificate
booleano
can-encrypt
booleano
can-sign
booleano
can-certify
booleano
can-authenticate
booleano
is-qualified
booleano
is-cardkey
booleano
has-secret-key
booleano
is-openpgp-key
booleano
Se specificato, il filtro
corrisponde quando...
la chiave è stata revocata.
il contesto in cui questo
filtro corrisponde.
la chiave è scaduta.
la chiave è stata disabilitata
(segnata come da non
usare) dall’utente. Ignorata
per le chiavi S/MIME.
la chiave è un certificato
radice. Ignorato per le
chiavi OpenPGP.
la chiave può essere usata
per la cifratura.
per la firma.
per firmare (certificare) altre
chiavi.
per l’autenticazione (per
esempio come un certificato
cliente TLS).
per fare firme qualificate
(come definite dalla legge
tedesca sulle firme digitali).
il materiale della chiave è
memorizzato su una
smartcard (invece che sul
computer).
è disponibile la chiave
segreta di questa coppia di
chiavi.
la chiave è una chiave
OpenPGP (true) o una
chiave S/MIME (false).
1 Il contesto è un’enumerazione con i seguenti valori previsti: appearance (aspetto), filtering (filtraggio) e any (qual
siasi).
31
la chiave è stata convalidata.
la chiave ha esattamente
(prefisso = is), ha
qualunque cosa tranne
(prefisso = is-not), ha
almeno (prefisso =
is-at-least), o ha al più
(prefisso = is-at-most)
l’affidabilità data come
prefisso-ownertrust
validità2
valore della chiave di
configurazione. Se è
presente più di una chiave
prefisso-ownertrust (con
diversi valori di prefisso)
in un singolo gruppo, il
comportamento non è
definito.
Analogo a
prefisso-ownertrust, ma
per la validità della chiave
prefisso-validity
validità
invece dell’affidabilità del
proprietario.
Tabella 6.2: Configurazione delle chiavi-filtro. Chiavi di definizione dei criteri di filtraggio
was-validated
booleano
NOTA
Alcuni dei criteri più interessanti, come is-revoked o is_expired funzionano solo su chiavi conva
lidate, e questo è il motivo per cui, normalmente, solo per le chiavi convalidate sono controllate la
revoca e la scadenza, sebbene tu possa eliminare questi controlli supplementari.
Oltre alle chiavi di config mostrate sopra, un filtro per le chiavi può anche avere id e match-cont
exts.
In altre parti della configurazione (per esempio nella configurazione delle viste di Kleopatra)
puoi fare riferimento al filtro per le chiavi usando il suo id che, se non viene specificato, è il nome
del gruppo di configurazione. L’id non viene interpretato da Kleopatra, quindi puoi usare una
sequenza di caratteri a piacere, a patto che sia univoca.
match-contexts limita l’applicabilità del filtro. Attualmente sono definiti due contesti: il contesto
appearance è usato quando si definisce la colorazione e le proprietà dei caratteri delle viste. Il
contesto filtering è usato per includere (o escludere) selettivamente dei certificati dalle viste.
any può essere usato per indicare tutti i contesti attualmente definiti, ed è quello predefinito se
non viene specificato match-contexts, altrimenti non produce alcun contesto. Ciò assicura che
nessun filtro per le chiavi finisca ‘morto’, cioè senza contesti a cui essere applicato.
Il formato della voce è un elenco di elementi separati da caratteri non di parola. Ciascun elemento può essere preceduto da un punto esclamativo (!) per negarne il significato. Gli elementi
agiscono in ordine su un elenco interno di contesti, che all’inizio è vuoto. Si può spiegare meglio
2 La validità è una enumerazione (ordinata) con i seguenti valori possibili: unknown (sconosciuta), undefined (non defi
nita), never (mai), marginal (marginale), full (completa), ultimate (assoluta). Vedi i manuali di GPG e GpgSM per una
spiegazione dettagliata.
32
con un esempio: any !appearance è equivalente a filtering e appearance !appearance produce l’insieme vuoto, allo stesso modo di !any. Però gli ultimi due saranno sostituiti internamente
da any, perché non producono nessun contesto.
In generale, i criteri non specificati (cioè con la voce di configurazione non impostata) non vengono controllati. Se viene fornito un criterio, viene controllato e deve corrispondere perché il filtro
nel suo insieme corrisponda, cioè i criteri sono applicati con un’operazione di AND logico.
Ogni filtro ha una ‘specificità’ implicita, usata per valutare tutti i filtri che corrispondono. I filtri
più specifici prevalgono su quelli meno specifici. Se due filtri hanno la stessa specificità, vince il
primo nel file di configurazione. La specificità di un filtro è proporzionale al numero di criteri
che contiene.
Example 6.1 Esempi di filtri sulle chiavi
Per controllare tutti i certificati radice scaduti, ma non revocati, potresti usare un filtro sulle chiavi
come il seguente:
[ Key Filter #n]
Name = scaduti , ma non revocati
was - validated = true
is - expired = true
is - revoked = false
is - root - certificate = true
; ( specificity 4 )
Per controllare tutte le chiavi OpenPGP disabilitate (non ancora gestito da Kleopatra) con fiducia
nei confronti del proprietario di almeno ‘marginal’, potresti usare:
[ Key Filter #n]
Name = Chiavi OpenPGP disabilitate con affidabilità marginale o migliore
is - openpgp = true
is - disabled = true
is -at - least - ownertrust = marginal
; ( specificity 3 )
6.3
Configurare programmi di archiviazione per file di firma e
cifratura
Kleopatra permette all’amministratore (e all’utente avanzato) di configurare l’elenco di
programmi di archiviazione presentati nella finestra Firma/Cifra file.
Ogni programma di archiviazione è definito in libkleopatrarc come un gruppo Archive Defin
ition #n a sé, con le seguenti chiavi obbligatorie:
extensions
Un elenco separato da virgole di estensioni di nomi di file che normalmente indicano questo
formato d’archiviazione.
id
Un identificativo univoco usato per indentificare internamente questo archivio. Se non sei
sicuro, usa il nome del comando.
Name (tradotto)
Il nome di questo programma di archiviazione così com’è visibile all’utente nel menu a
tendina corrispondente della finestra Firma/Cifra file.
33
pack-command
Il comando vero e proprio per archiviare i file. Puoi usare qualsiasi comando, purché non
sia richiesta una shell per eseguirlo. Il file del programma viene recuperato con la variabile d’ambiente PATH, a meno che venga usato un percorso assoluto. Le virgolette sono
supportate come se si usasse una shell:
pack - command ="/ opt / ZIP v2 .32/ bin / zip " -r -
NOTA
Siccome la barra inversa (\) è un carattere di escape nei file di configurazione di KDE, devi
raddoppiarla quando compare nei percorsi:
pack - command =C :\\ Programmi \\ GNU \\ tar \\ gtar . exe ...
Tuttavia, per il comando di per sé (non per i suoi argomenti), puoi usare solo delle barre (/ ) come
separatori di percorso su tutte le piattaforme:
pack - command =C :/ Programmi / GNU / tar / gtar . exe ...
Ciò non è supportato per gli argomenti, perché la maggior parte dei programmi Windows® usa la barra
inversa per le opzioni. Per esempio, quanto segue non funziona, perché C:/mioscriptdiarchivi
azione.bat è un argomento di cmd.exe, e / non viene convertito in \ negli argomenti, solo nei
comandi:
pack - command = cmd . exe C :/ mioscriptdiarchiviazione . bat
Ciò va scritto invece come:
pack - command = cmd . exe C :\\ mioscriptdiarchiviazione . bat
6.3.1
Passaggio dei nomi dei file di input per pack-command
Ci sono tre modi di passare i nomi dei file al comando di archiviazione. Per ciascuno di questi,
pack-command ha una sintassi particolare:
1. Come argomenti da riga di comando.
Esempio (tar):
pack - command = tar cf -
Esempio (zip):
pack - command = zip -r - %f
In questo caso, i nomi dei file vengono passati sulla riga di comando, come faresti usando
il prompt dei comandi. Kleopatra non usa una shell per eseguire il comando; quindi, è
un modo sicuro di passare i nomi dei file, ma potrebbe raggiungere delle restrizioni sulla
lunghezza della riga di comando su alcune piattaforme. Un segnaposto %f, se presente,
viene sostituito dai nomi dei file da archiviare. Altrimenti, i nomi dei file vengono aggiunti
alla fine della riga di comando. Quindi, l’esempio zip sopra potrebbe essere anche scritto
come:
pack - command = zip -r -
34
2. Attraverso lo standard input, separato da ritorni a capo: prefiggi |.
Esempio (GNU tar):
pack - command =| gtar cf - -T -
Esempio (zip):
pack - command =| zip -@ -
In questo caso, i nomi dei file vengono passati al programma di archiviazione sullo standard
input, uno per riga. Questo evita problemi su piattaforme che hanno limiti bassi sul numero
di argomenti permessi sulla riga di comando, ma non funziona quando i nomi dei file stessi
contengono dei ritorni a capo.
NOTA
Kleopatra attualmente supporta solo LF come separatore di ritorno a capo, non CRLF. Questo
potrebbe venire modificato in futuro, secondo l’opinione degli utenti.
3. Attraverso lo standard input, separato da byte nulli: prefiggi 0|.
Esempio (GNU tar):
pack - command =0| gtar cf - -T - -- null
Questo è lo stesso di sopra, tranne che si usano byte nulli per separare i nomi dei file.
Siccome i byte nulli non possono far parte dei nomi dei file, questo è il modo più robusto
di passarli, ma non tutti i programmi lo supportano.
6.4
Configurare i programmi dei codici di controllo per l’uso con
Crea/Verifica codici di controllo
Kleopatra permette all’amministratore (e all’utente avanzato) di configurare l’elenco di programmi per i codici di controllo tra cui l’utente può scegliere nella finestra di configurazione e che
Kleopatra può rilevare automaticamente quando le si chiede di verificare il codice di controllo di
un certo file.
35
NOTA
Per essere utile a Kleopatra, il risultato dei programmi per i codici di controllo (sia il file scritto dei codici
di controllo, che il risultato sullo standard output quando si verificano i codici) deve essere compatibile
con GNU md5sum e sha1sum.
Nello specifico, il file dei codici di controllo deve essere basato su righe, con ogni riga avente il seguente
formato:
codice_controllo ’ ’ ( ’ ’ | ’*’ ) nome_file
dovecodice_controllo consiste di soli carattere esadecimali.
carattere di ritorno a capo, la riga deve invece essere:
Se nome_file contiene un
\ codice_controllo ’ ’ ( ’ ’ | ’*’ ) nome_file_quotato
dove nome_file_quotato è il nome del file con i ritorni a capo sostituiti da \n, e le barre inverse
raddoppiate (\↦\\).
Similmente, il risultato di verify-command deve essere nella forma
nome_file ( ’: OK ’ | ’: FAILED ’ )
separata da ritorni a capo. I ritorni a capo e altri caratteri non vengono quotati nel risultato.a
a È vero, questi programmi non sono stati scritti pensando alle interfacce grafiche, e Kleopatra non gestirà
correttamente dei nomi di file patologici che contengono : OK e un ritorno a capo.
Ogni programma per i codici di controllo è definito in libkleopatrarc come un gruppo Checksu
m Definition #n, con le seguenti chiavi obbligatorie:
file-patterns
Un elenco di espressioni regolari che descrivono quali file andrebbero considerati file di codici di controllo per questo programma. La sintassi è quella usata per gli elenchi di stringhe
nei file della configurazione di KDE.
NOTA
Siccome le espressioni regolari contengono spesso delle barre inverse, si deve fare attenzione
a quotarle appropriatamente nel file di configurazione. Si raccomanda l’uso di uno strumento di
modifica dei file di configurazione.
La piattaforma definisce se gli schemi sono da trattare distinguendo le maiuscole o meno.
output-file
Il nome tipico del file risultante per questo programma per codici di controllo (ovviamente
dovrebbe corrispondere a uno dei file-patterns). Questo è ciò che Kleopatra userà come
nome di file risultante quando creerà file di codici di controllo di questo tipo.
id
Un identificativo univoco usato per identificare internamente questo programma per codici
di controllo. Se hai dei dubbi, usa il nome del comando.
Name (tradotto)
Il nome visibile all’utente di questo programma per codici di controllo, così come mostrato
nel menu a cascata nella finestra di configurazione di Kleopatra.
create-command
Il comando vero e proprio con cui creare file di codici di controllo. La sintassi, le restrizioni e le opzioni che passano argomenti sono le stesse come descritto per pack-command
nelSezione 6.3.
36
verify-command
Come create-command, ma per la verifica dei codici di controllo.
Ecco un esempi completo:
[ Checksum Definition #1]
file - patterns = sha1sum . txt
output - file = sha1sum . txt
id = sha1sum - gnu
Name = sha1sum ( GNU )
Name [ de ]= sha1sum ( GNU )
...
create - command = sha1sum -- %f
verify - command = sha1sum -c -- %f
37
Capitolo 7
Riconoscimenti e licenza
Kleopatra © 2002 di Steffen Hansen, Matthias Kalle Dalheimer e Jesper Pedersen, © 2004 di
Daniel Molkentin, © 2004, 2007-2010 di Klarälvdalens Datakonsult AB.
La documentazione è copyright 2002 di Steffen Hansen, copyright 2004 di Daniel Molkentin,
copyright 2004,2010 di Klarälvdalens Datakonsult AB.
H ANNO CONTRIBUITO
• Marc Mutz [email protected]
• David Faure [email protected]
• Steffen Hansen [email protected]
• Matthias Kalle Dalheimer [email protected]
• Jesper Pedersen [email protected]
• Daniel Molkentin [email protected]
Traduzione del programma di Alessandro Astarita, traduzione della documentazione a cura di
Luciano Montanaro, manutenzione a cura di Federico Zenith [email protected]
Questa documentazione è concessa in licenza sotto i termini della GNU Free Documentation
License.
Questo programma è concesso in licenza sotto i termini della GNU General Public License.
38

Manuale di Kleopatra

Transcript

Documenti analoghi

Certificati ed estratti di stato civile oa mezzo fax

Leggi l`Avviso - Comune di Castelfranco in Miscano

Scaricare certificati Uffici Giudiziari per Consolle Avvocati Per poter

Verifica firma digitale

Certificati online, ecco l`intervista rilasciata dal segretario nazionale

Richiesta Certificati Alla Segreteria della Scuola Iad Recapito per la

diritti di segreteria

installazione del certificato di firma digitale

certificato medico di idoneità all`esercizio dello sport del tiro a segno

Vietato certificare senza visita