Manuale di Kleopatra
Transcript
Manuale di Kleopatra
Manuale di Kleopatra Marc Mutz Sviluppatore: David Faure Sviluppatore: Steffen Hansen Sviluppatore: Matthias Kalle Dalheimer Sviluppatore: Jesper Pedersen Sviluppatore: Daniel Molkentin Traduzione del documento: Luciano Montanaro Traduzione e manutenzione della traduzione: Federico Zenith Manuale di Kleopatra 2 Indice 1 Introduzione 7 2 Funzioni principali 8 2.1 2.2 Esaminare la cassetta delle chiavi locale . . . . . . . . . . . . . . . . . . . . . . . . . Ricerca ed importazione dei certificati . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8 2.3 Creare nuove coppie di chiavi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3.1 3 Revocare una chiave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Guida ai menu 3.1 Il menu File . . . . . . 3.2 Il menu Visualizza . . 3.3 Il menu Certificati . . . 3.4 Il menu Strumenti . . 3.5 Il menu Impostazioni 3.6 3.7 10 . . . . . 11 11 13 14 16 17 Il menu Finestra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Il menu Aiuto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Guida alle opzioni dalla riga di comando 18 5 Configurare Kleopatra 19 5.1 Configurare i servizi di directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 5.2 Configurare l’Aspetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 5.2.1 Configurare i Suggerimenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 5.2.2 Configurare le Categorie dei certificati . . . . . . . . . . . . . . . . . . . . . 22 5.2.3 Configurare l’Ordine degli attributi DN . . . . . . . . . . . . . . . . . . . . 22 Configurare le operazioni di cifratura . . . . . . . . . . . . . . . . . . . . . . . . . . 23 5.3.1 Configurare le Operazioni di posta . . . . . . . . . . . . . . . . . . . . . . . 23 5.3.2 Configurare le Operazioni dei file . . . . . . . . . . . . . . . . . . . . . . . . 23 Configurare aspetti della convalida S/MIME . . . . . . . . . . . . . . . . . . . . . . 24 5.4.1 Configurare il controllo periodico dei certificati . . . . . . . . . . . . . . . . 24 5.4.2 Configurare il metodo di convalida . . . . . . . . . . . . . . . . . . . . . . . 24 5.4.3 Configurare le opzioni di convalida . . . . . . . . . . . . . . . . . . . . . . . 25 5.4.4 Configurare le opzioni di richiesta HTTP . . . . . . . . . . . . . . . . . . . . 26 5.4.5 Configurare le opzioni di richiesta LDAP . . . . . . . . . . . . . . . . . . . . 26 Configurare il sistema GnuPG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 5.3 5.4 5.5 Manuale di Kleopatra 6 Guida dell’amministratore 6.1 Personalizzazione della procedura guidata della creazione di certificati . . . . . . . 6.1.1 Personalizzare i campi DN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 6.1.2 Limitare il tipo di chiavi che un utente può creare . . . . . . . . . . . . . . . 29 6.1.2.1 Algoritmi a chiave pubblica . . . . . . . . . . . . . . . . . . . . . . 29 6.1.2.2 Dimensione della chiave pubblica . . . . . . . . . . . . . . . . . . . 29 6.2 Creare e modificare categorie di chiavi . . . . . . . . . . . . . . . . . . . . . . . . . . 30 6.3 Configurare programmi di archiviazione per file di firma e cifratura . . . . . . . . . 33 6.3.1 Passaggio dei nomi dei file di input per pack-command . . . . . . . . . . . . . 34 Configurare i programmi dei codici di controllo per l’uso con Crea/Verifica codici di controllo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 6.4 7 28 28 Riconoscimenti e licenza 38 4 Manuale di Kleopatra Elenco delle tabelle 5.1 Mappatura da tipi di GpgConf a controlli dell’interfaccia . . . . . . . . . . . . . . . 27 6.1 Configurazione di chiavi e filtri. Chiavi di definizione delle proprietà di visualizz azione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurazione delle chiavi-filtro. Chiavi di definizione dei criteri di filtraggio . . 31 32 6.2 5 Sommario Kleopatra è uno strumento per gestire i certificati X.509 e OpenPGP. Manuale di Kleopatra Capitolo 1 Introduzione Kleopatra è lo strumento di KDE per gestire certificati X.509 e OpenPGP nelle cassette delle chiavi GpgSM e GPG, e per recuperare certificati dai server LDAP e da altri server di certificati. Kleopatra può essere avviato dal menu Strumenti → Gestore dei certificati di KMail e dalla riga di comando. L’eseguibile di Kleopatra si chiama kleopatra. NOTA Questo programma trae il nome da Cleopatra, una famosa faraona egizia che visse ai tempi di Giulio Cesare, con cui ebbe un figlio, Cesarione, non riconosciuto come erede di Cesare. Il nome è stato scelto poiché questo programma deriva dai progetti Ägypten (Ägypten in tedesco significa appunto Egitto). Kleopatra è il nome in tedesco di Cleopatra. 7 Manuale di Kleopatra Capitolo 2 Funzioni principali 2.1 Esaminare la cassetta delle chiavi locale La funzione principale di Kleopatra è di visualizzare e modificare il contenuto della cassetta delle chiavi locale, che è un concetto simile a quello del portachiavi di GPG, anche se questa analogia non va presa alla lettera. La finestra principale si divide fra la grande area con l’elenco delle chiavi, la barra dei menu e la barra di ricerca in cima, e una barra di stato in fondo. Ogni riga dell’elenco di chiavi corrisponde a un certificato, identificato dal cosiddetto Oggetto DN. DN è un acronimo che sta per ‘Distinguished Name’, in italiano ‘Nome Distinto’: questo è un identificativo gerarchico, simile al percorso di un filesystem ma con una sintassi inusuale, che dovrebbe identificare univocamente il certificato a livello globale. Perché siano valide, e quindi utilizzabili, le chiavi (pubbliche) devono essere firmate da una CA (autorità di certificazione). Queste firme sono dette certificati, ma di solito i termini ‘certificato’ e ‘chiave (pubblica)’ sono usati come sinonimi, e in generale non faremo distinzione tra di essi nemmeno in questo manuale. Le CA devono a loro volta essere firmate da altre CA per essere valide. Naturalmente a un certo punto si deve finire, per cui le CA di massimo livello (le CA radice) si firmano da sole (questa operazione è chiamata auto-firma). I certificati radice quindi devono ricevere convalida (di solito detta fiducia) manualmente, per esempio dopo aver confrontato l’impronta digitale con quella sul sito Web della CA.Questo è di solito fatto dall’amministratore del sistema o dal fornitore del prodotto che usa i certificati, ma lo può fare anche l’utente con l’interfaccia dalla riga di comando di GpgSM. Per sapere quali dei certificati sono certificati radice puoi passare alla modalità di visualizzazione gerarchica con Visualizza → Lista gerarchica dei certificati. Puoi vedere i dettagli dei certificati con un doppio clic su di esso, o usando Visualizza → Dettagli del certificato. Questo apre una finestra che mostra le proprietà comuni del certificato, la sua catena di certificati (cioè la catena di emittenti fino al CA radice), e uno sversamento di tutte le informazioni che il motore è in grado di estrarre dal certificato. Se cambi la cassetta delle chiavi senza usare Kleopatra (ad es. usando l’interfaccia a linea di comando di GpgSM), puoi aggiornare la vista con Visualizza → Mostra di nuovo (F5) . 2.2 Ricerca ed importazione dei certificati Nella maggior parte dei casi, acquisirai nuovi certificati verificando le firme elettroniche dei messaggi di posta, visto che i certificati sono spesso incorporati nelle firme fatte con loro. Comunque, 8 Manuale di Kleopatra se devi inviare un messaggio a qualcuno con cui non sei ancora entrato in contatto, dovrai scaricare il certificato da una cartella LDAP (anche se GpgSM possa farlo automaticamente) o da un file. Inoltre dovrai importare il tuo certificato dopo aver ricevuto la risposta della CA alla tua richiesta di certificazione. Per cercare un certificato in una directory LDAP, seleziona File → Cerca i certificati sul server e inserisci del testo (per esempio il nome della persona di cui vuoi il certificato) nella casella di testo della finestra Ricerca del certificato sul server dei certificati, quindi fai clic sul pulsante Cerca. I risultati saranno visualizzati nell’elenco di chiavi sotto la barra di ricerca, dove puoi selezionare i certificati facendoci clic con il pulsante Dettagli o scaricarli nella cassetta locale delle chiavi con il pulsante Importa. Puoi configurare l’elenco dei server LDAP su cui cercare dalla pagina Servizi di directory della finestra di configurazione di Kleopatra. Se hai ricevuto il certificato come file, prova ad usare File → Importa certificati (Ctrl+I) . GpgSM deve poter riconoscere il formato del file del certificato; controlla il manuale di GpgSM per la lista dei formati di file che è in grado di comprendere. Se non hai creato la coppia di chiavi con GpgSM, dovrai anche importare a mano la chiave pubblica (oltre a quella segreta) dal file PKCS#12 fornito dalla CA. Puoi farlo da riga di comando con kleopatra --import-certificate nomefile o da dentro Kleopatra con File → Importa certificati (Ctrl+I) , esattamente come faresti per i certificati ‘normali’. 2.3 Creare nuove coppie di chiavi La voce di menu File → Nuovo certificato (Ctrl+N) fa partire la Procedura guidata per la creazione dei certificati, che ti guiderà attraverso i passi della richiesta di certificato. Quando hai finito con un passo della procedura, premi Successivo per andare al passo successivo (o Precedente per rivedere i passi già completati). La creazione della richiesta di un certificato può essere annullata in qualsiasi momento premendo il pulsante Annulla. Sulla prima pagina della procedura guidata scegli il tipo di certificato che vuoi creare: Crea una coppia di chiavi personale per OpenPGP Le coppie di chiavi OpenPGP sono create localmente, e certificate da amici e conoscenze. Non c’è un’autorità di certificazione centrale; invece, ogni individuo crea una rete di fiducia personale certificando le coppie di chiavi degli altri utenti con il suo certificato. Devi inserire un Nome, un indirizzo di Posta elettronica e facoltativamente un Commento. Crea una coppia di chiavi personali X.509 e una richiesta di certificato Le coppie di chiavi X.509 sono create localmente, ma certificate centralmente da un’autorità di certificazione. Le CA possono certificare altre CA, creando una catena di fiducia centrale e gerarchica. Il prossimo passo della procedura guidata è inserire i dati personali per il certificato. I campi da compilare sono: • Nome comune, il tuo nome. • Indirizzo di posta, il tuo indirizzo di posta elettronica; assicurati di scriverlo correttamente: è l’indirizzo a cui verranno inviati i messaggi quando i tuoi corrispondenti useranno questo certificato. • Indirizzo, il paese o città in cui vivi. • Unità organizzativa, l’unità organizzativa a cui appartieni (per esempio, ‘Logistica’). • Organizzazione, l’organizzazione che rappresenti (per esempio la ditta per cui lavori). • Codice del paese, l’identificativo di due lettere del paese in cui vivi (per esempio ‘IT’). Il passo successivo della procedura guidata è scegliere se memorizzare il certificato in un file o inviarlo direttamente a una CA. Devi specificare il nome del file o l’indirizzo di posta a cui inviare la richiesta del certificato. 9 Manuale di Kleopatra 2.3.1 Revocare una chiave Un paio di chiavi scadute possono essere riportate in condizione operativa fintantoché hai accesso alla chiave privata e alla frase segreta. Per rendere una chiave definitivamente inutilizzabile la devi revocare. La revoca viene effettuata aggiungendo una particolare firma di revoca alla chiave. Questa firma di revoca viene salvata in un file a parte. Questo file può in seguito venire importato nel portachiavi e viene quindi allegato alla chiave, rendendola inutilizzabile. Nota che l’importazione di questa firma nella chiave non richiede una password; quindi, dovresti tenere questa firma di revoca in un posto sicuro, normalmente diverso da dove tieni la coppia di chiavi. È buona norma usare un posto diverso dal computer, come un dispositivo di memorizzazione esterna come una penna USB o uno stampato su carta. Kleopatra non fornisce una funzione per creare una tale firma di revoca in qualsiasi momento, ma lo puoi fare con l’applicazione KGpg di KDE scegliendo KGpgChiavi → Revoca chiave e a scelta importando subito la firma di revoca nel tuo portachiavi. Un modo alternativo di generare un certificato di revoca è usare GPG direttamente dalla riga di comando: gpg --output certificato_di_revoca.asc --gen-revoke chiave. L’argomento chiave deve essere lo specificatore di una chiave: l’identificativo della tua coppia di chiavi primarie o parte del nome utente che identifica la tua chiave. 10 Manuale di Kleopatra Capitolo 3 Guida ai menu 3.1 Il menu File File → Nuovo certificato (Ctrl+N) Crea una nuova coppia di chiavi (pubblica e privata) e permette di inviare la parte pubblica a un’autorità di certificazione (CA) per la firma. Il certificato risultante ti verrà quindi rispedito, o sarà memorizzato in un server LDAP per fartelo scaricare nella cassetta delle chiavi locale, dove potrai usarlo per firmare e decifrare i messaggi di posta. Questo modo di operare è chiamato ‘generazione di chiavi decentralizzata’, perché le chiavi sono generate localmente. Kleopatra (e GpgSM) non gestiscono direttamente la ‘generazione delle chiavi centralizzata’, ma puoi importare la coppia di chiavi segreta e pubblica che ricevi dalla CA in formato PKCS#12 attraverso File → Importa certificati (Ctrl+I) . File → Cerca i certificati sul server (Ctrl+Shift+I) Cerca, e importa, dei certificati dai loro server nella cassetta locale. Vedi Sezione 2.2 per i dettagli. Devi aver configurato dei server di chiavi perché funzioni. Vedi Sezione 5.1 per maggiori dettagli. File → Importa certificati (Ctrl+I) Importa certificati o chiavi segrete da file nella cassetta delle chiavi locale. Vedi Sezione 2.2 per maggiori dettagli. Il formato del certificato deve essere supportato da GpgSM/GPG. Fai riferimento ai manuali di GpgSM e GPG per una lista dei formati supportati. File → Esporta certificati (Ctrl+E) Esporta i certificati selezionati in un file. L’estensione che scegli per il file esportato ne determina il formato: • Per i certificati OpenPGP, .gpg e .pgp produrranno un file binario, mentre .asc produrrà un file in armatura ASCII. • Per i certificati S/MIME, .der produrrà un file binario codificato con DER, mentre .pem produrrà un file in armatura ASCII. A meno che siano selezionati certificati multipli, Kleopatra proporrà fingerprint.{asc,pe m} come nome del file esportato. Questa funzione è disponibile solo quando sono stati selezionati uno o più certificati. 11 Manuale di Kleopatra NOTA Questa funzione esporta solo le chiavi pubbliche, anche la segreta è disponibile. Usa File → Esporta chiavi segrete per esportare le chiavi segrete in un file. File → Esporta chiavi segrete Esporta sia la chiave segreta in un file. Nella finestra che si apre, puoi scegliere se creare un file esportato binario o con armatura ASCII (Armatura ASCII). Fai quindi clic sull’icona della cartella a destra della casella File di uscita, e seleziona cartella e nome del file da esportare. Quando si esportano chiavi segrete S/MIME, puoi anche scegliere l’Insieme di caratteri della frase segreta. Vedi la discussione dell’opzione --p12-charset charset nel manuale di GpgSM per maggiori dettagli. Questa funzione è disponibile solo quando è stato selezionato solo un certificato la cui chiave segreta è disponibile. ATTENZIONE L’uso di questa funzione raramente dovrebbe essere necessario, e, se è lo è, deve essere pianificato attentamente. Pianificare la migrazione delle chiavi segrete comprende la scelta del mezzo di trasporto e la cancellazione sicura dei dati della chiave sulla vecchia macchina, oltre che sul mezzo di trasporto, fra le altre cose. File → Esporta certificati verso il server (Ctrl+Shift+E) Pubblica i certificati selezionati su un server di chiavi (solo OpenPGP). Il certificato viene inviato al server configurato per OpenPGP (cfr. Sezione 5.1), se impostato, altrimenti a keys.gnupg.net. Questa funzione è disponibile solo se è stato selezionato almeno un certificato OpenPGP (e nessuno S/MIME). NOTA Quando i certificati OpenPGP vengono esportati a un server di elenco pubblico, è quasi impossibile rimuoverli. Prima di esportare un certificato a un server di elenco pubblico, assicurati di aver creato un certificato di revoca in modo da poterlo revocare se ne avrai bisogno in seguito. NOTA La maggior parte dei server OpenPGP pubblici sincronizzano i certificati tra di loro, quindi non ha molto senso inviarli a più d’uno. Può accadere che una ricerca su un server di certificati non riporti nessun risultato anche se gli hai appena mandato il tuo certificato. Questo perché la maggior parte degli indirizzi dei server di chiavi pubblici usa DNS a turno per bilanciare il carico su più macchine. Queste macchine si sincronizzano tra loro, ma di solito solo ogni 24 ore circa. File → Decifra/verifica file Decifra dei file o ne verifica le firme. File → Firma/cifra file Firma o cifra dei file. File → Chiudi (Ctrl+W) Chiude la finestra principale di Kleopatra. La puoi ripristinare in qualsiasi momento dall’icona nel vassoio di sistema. File → Esci (Ctrl+Q) Termina Kleopatra. 12 Manuale di Kleopatra 3.2 Il menu Visualizza Visualizza → Mostra di nuovo (F5) Aggiorna l’elenco dei certificati. L’uso di questa funzione è di solito superfluo, perché Kleopatra sorveglia le modifiche al filesystem e aggiorna automaticamente l’elenco dei certificati se necessario. Visualizza → Arresta operazione (Esc) Interrompe (annulla) tutte le operazioni pendenti, per esempio una ricerca, un elenco di chiavi o uno scaricamento. Questa funzione è disponibile solo se è attiva almeno un’operazione. NOTA A causa di limitazioni dei motori, a volte le operazioni si fermeranno in un modo in cui questa funzione non riuscirà ad annullarle immediatamente o affatto. In questi casi, l’unico modo di riportare l’ordine è terminare i processi SCDaemon, DirMngr, GpgSM e GPG, in quest’ordine, con gli strumenti del sistema operativo (top, gestore dei processi, eccetera), finché l’operazione non viene sbloccata. Visualizza → Dettagli del certificato Mostra i dettagli del certificato attualmente selezionato. Questa funzione è disponibile solo quando è selezionato esattamente un certificato. Questa funzione è anche disponibile direttamente con un doppio clic sulla voce corrispondente della vista a elenco. Visualizza → Lista gerarchica dei certificati Passa tra la modalità gerarchica e quella a singolo livello per l’elenco dei certificati. In modalità gerarchica i certificati sono organizzati secondo la relazione emittente/oggetto, quindi è facile vedere a quale gerarchia di certificazione appartenga un particolare certificato, ma è inizialmente è più difficile trovare un certificato in particolare (sebbene si possa naturalmente usare la barra di ricerca). In modalità semplice, tutti i certificati sono mostrati in una semplice lista, in ordine alfabetico. In questa modalità, un dato certificato è facile da trovare, ma non è immediatamente chiaro a quale certificato radice appartenga. Questa funzione commuta la modalità gerarchica per schede, cioè ogni scheda ha il suo stato gerarchico. Questo in modo da poter avere sia una lista a livello singolo e una gerarchica a disposizione, ciascuna nella sua scheda. NOTA La visualizzazione gerarchica è attualmente implementata solo per i certificati S/MIME. C’è disaccordo tra gli sviluppatori riguardo al modo giusto di visualizzare i certificati OpenPGP gerarchicamente (sostanzialmente, ‘genitore = firmatario’ o ‘genitore = firmato’). Visualizza → Espandi tutto (Ctrl+.) Espande tutte le voci nella vista a elenco dei certificati, cioè li rende tutti visibili. Questa è la modalità predefinita quando si passa alla modalità di elenco gerarchico delle chiavi. È ovviamente ancora possibile espandere e contrarre le voci una ad una. Questa funzione è disponibile solo quando si attiva Visualizza → Lista gerarchica dei certificati. 13 Manuale di Kleopatra Visualizza → Contrai tutto (Ctrl+,) Contrae tutte le voci della vista a elenco dei certificati, cioè nasconde tutte le voci tranne quelle di massimo livello. È ovviamente ancora possibile espandere e contrarre le voci una ad una. Questa funzione è disponibile solo quando si attiva Visualizza → Lista gerarchica dei certificati. 3.3 Il menu Certificati Certificati → Cambia fiducia nel proprietario Cambia la fiducia nel proprietario del certificato OpenPGP selezionato. Questa funzione è disponibile solo quando è selezionato esattamente un certificato OpenPGP. Certificati → Fidati del certificato radice Segna questo certificato radice (S/MIME) come fidato. In qualche modo, questo è l’equivalente di Certificati → Cambia fiducia nel proprietario per i certificati radice S/MIME. Puoi tuttavia scegliere solo tra la fiducia assuluta e nessuna fiducia, nella terminologia di OpenPGP. NOTA Il motore (per mezzo di GpgAgent) chiederà al momento dell’importazione del certificato radice se fidarsene. Tuttavia, quella funzione va abilitata esplicitamente nella configurazione del motore (allow-mark-trusted in gpg-agent.conf, oppure Sistema GnuPG → Agente GPG → Permetti ai client di indicare le chiavi come fidate o Convalida S/MIME → Permetti di indicare i certificati radice come fidati sotto capitolo 5). Abilitare quella funzionalità nel motore può far apparire delle finestre a comparsa di PinEntry in momenti inopportuni (per esempio quando si verificano le firme), e può quindi bloccare l’elaborazione della posta se nessuno è presente. Per questo motivo, e perché è una buona cosa poter togliere la fiducia a un certificato radice fidato, Kleopatra permette di impostare la fiducia manualmente. ATTENZIONE A causa del mancato supporto a livello di motore per questa funzione, Kleopatra deve lavorare direttamente sulla banca dati della fiducia di GpgSM (trustlist.txt). Quando usi questa funzione, assicurati che non ci sia nessun’altra operazione crittografica in corso che possa interferire con Kleopatra mentre modifica quella banca dati. Questa funzione è disponibile solo quando è stato selezionato solo un certificato radice S/MIME che non sia ancora fidato. Usa Certificati → Togli fiducia al certificato radice per annullare questa funzione. Certificati → Togli fiducia al certificato radice Indica questo certificato radice (S/MIME) come non fidato. Questa funzione è disponibile solo quando è stato selezionato solo un certificato radice S/MIME che sia attualmente fidato. Usato per annullare Certificati → Fidati del certificato radice . Vedi lì per i dettagli. 14 Manuale di Kleopatra Certificati → Certifica certificato Permette di certificare un altro certificato OpenPGP. Questa funzione è disponibile solo quando è selezionato esattamente un certificato OpenPGP. Certificati → Cambia data di scadenza Permette di cambiare la data di scadenza di un certificato OpenPGP. Usa questa funzione per estendere la vita utile dei certificati OpenPGP in alternativa a crearne di nuovi o usare una durata illimitata (‘non scade mai’). Questa funzione è disponibile solo quando è stato selezionato solo un certificato OpenPGP la cui chiave segreta è disponibile. Certificati → Cambia frase segreta Permette di cambiare la frase segreta di una chiave segreta. Questa funzione è disponibile solo se è selezionato esattamente un certificato la cui chiave segreta è disponibile. Richiede un motore molto recente, perché l’implementazione è stata cambiata dalla chiamata diretta a GPG e GpgSM in una basata su GpgME. NOTA Per ragioni di sicurezza, le frasi segrete sia vecchia che nuova vengono richieste da PinEntry, un processo a parte. A seconda della piattaforma su cui sei e della qualità della sua implementazione di PinEntry, potrebbe darsi che la finestra di PinEntry compaia sullo sfondo. Quindi, se selezioni questa funzione e non succede nulla, controlla la barra delle applicazioni del sistema per vedere se sullo sfondo si è aperta una finestra di PinEntry. Certificati → Aggiungi ID utente Permette di aggiungere un nuovo ID utente al certificato OpenPGP. Usalo per aggiungere nuove identità a un certificato esistente in alternativa a creare un nuovo paio di chiavi. Un ID utente di OpenPGP ha la forma seguente: Nome vero ( Commento ) < Posta elettronica > Nella finestra che appare quando selezioni questa funzione, Kleopatra chiederà separatamente ciascuno dei tre parametri (Nome vero, Commento e Posta elettronica), e ne visualizzerà il risultato in un’anteprima. NOTA Questi parametri sono soggetti alle stesse restrizioni amministrative come per i nuovi certificati. Vedi Sezione 2.3 e Sezione 6.1 per i dettagli. Questa funzione è disponibile solo quando è stato selezionato solo un certificato OpenPGP la cui chiave segreta è disponibile. Certificati → Elimina (Canc) Elimina i certificati selezionati dal portachiavi locale. Usa questa funzione per rimuovere le chiavi inutilizzate dalla cassetta delle chiavi locale. Però, poiché i certificati sono tipicamente allegati a messaggi di posta firmati, la verifica di un messaggio potrebbe risultare nel reinserimento nella cassetta delle chiavi locale di una chiave appena rimossa. Quindi è probabilmente meglio evitare di usare questa funzione il più possibile. Quando ti perdi, usa la barra di ricerca o la funzione Visualizza → Lista gerarchica dei certificati per ottenere nuovamente il controllo dei certificati. 15 Manuale di Kleopatra ATTENZIONE C’è un’eccezione a quanto sopra: quando elimini uno dei tuoi certificati, ne elimini anche la chiave segreta. Ciò implica che non potrai più leggere le comunicazioni precedenti cifrate per te con questo certificato, a meno di avere una copia di sicurezza da qualche parte. Kleopatra ti avvertirà se cercherai di eliminare una chiave segreta. A causa della natura gerarchica dei certificati S/MIME, se elimini un certificato emittente S/MIME (certificato CA), anche tutti i suoi oggetti saranno eliminati.1 Naturalmente, questa funzione è disponibile solo se hai selezionato almeno un certificato. Certificati → Sversa il certificato Mostra tutte le informazioni che GpgSM ha sul certificato (S/MIME) selezionato. Vedi la discussione su --dump-key key nel manuale di GpgSM per i dettagli sui risultati. 3.4 Il menu Strumenti Strumenti → Visore di registri GnuPG Avvia KWatchGnuPG, uno strumento per presentare il risultato del debug delle applicazioni GnuPG. Se la firma, la cifratura o la verifica smettono misteriosamente di funzionare, potresti scoprire perché leggendo il registro. Questa funzione non è disponibile su Windows® , perché i meccanismi necessari non sono implementati nel motore di quella piattaforma. Strumenti → Aggiorna i certificati OpenPGP Aggiorna tutti i certificati OpenPGP eseguendo gpg --refresh-keys. Dopo il corretto completamento del comando, la raccolta di chiavi locale rispecchierà le ultime modifiche alla validità dei certificati OpenPGP. Vedi la nota sotto capitolo 5 per alcuni avvisi. Strumenti → Aggiorna i certificati X.509 Aggiorna tutti i certificati S/MIME eseguendo gpgsm -k --with-validation --for ce-crl-refresh --enable-crl-checks. Dopo il corretto completamento del comando, la raccolta di chiavi locale rispecchierà le ultime modifiche alla validità dei certificati S/MIME. NOTA Aggiornare i certificati X.509 o OpenPGP implica scaricare tutti i certificati e le CRL per controllare se qualcuno di essi è stato nel frattempo revocato. Ciò può mettere sotto pressione la connessione di rete tua e altrui, perché può volerci più di un’ora per finire, a seconda della connessione e del numero di certificati da controllare. Strumenti → Importa CRL da file Permette di importare manualmente CRL da file. Normalmente, le Liste di Revocazione dei certificati (CRL) sono gestite in modo trasparente dal motore, ma a volte è utile importare una CRL manualmente nella cache locale delle CRL. 1 È come sul disco: quando elimini una cartella, elimini anche tutti i file e tutte le cartelle che contiene. 16 Manuale di Kleopatra NOTA Perché l’importazione di CRL funzioni, lo strumento DirMngr deve essere nel PATH di ricerca. Se questa voce del menu è disabilitata, dovresti contattare l’amministratore del sistema e chiedergli di installare DirMngr. Strumenti → Pulisci la cache delle CRL Pulisce la cache delle CRL di GpgSM. Non dovresti mai aver bisogno di questa funzione. Al suo posto, puoi forzare l’aggiornamento della cache delle CRL selezionando tutti i certificati ed usando Strumenti → Aggiorna i certificati X.509 . Strumenti → Sversa cache delle CRL Mostra il contenuto dettagliato della cache delle CRL di GpgSM. 3.5 Il menu Impostazioni Kleopatra ha un menu delle Impostazioni predefinito di KDE, come descritto nei Fondamentali di KDE, con una voce in più: Impostazioni → Esegui l’autodiagnosi Effettua una serie di autodiagnosi e ne presenta il risultato. Questa è la stessa serie di test che come impostazione predefinita vengono eseguiti all’avvio. Se hai disattivato i test all’avvio, li puoi riattivare qui. 3.6 Il menu Finestra Il menu Finestra permette di gestire le schede. Usando gli elementi di questo menu puoi rinominare una scheda, aggiungerne una nuova, duplicare quella attuale, chiuderla, e spostarla a destra o a sinistra. Anche facendo clic con il tasto destro del mouse su una scheda puoi aprire un menu contestuale in cui puoi selezionare le stesse azioni. 3.7 Il menu Aiuto Kleopatra ha un menu Aiuto predefinito di KDE, come descritto nei Fondamentali di KDE. 17 Manuale di Kleopatra Capitolo 4 Guida alle opzioni dalla riga di comando Sono elencate qui solo le opzioni specifiche di Kleopatra. Come per tutte le applicazioni di KDE puoi avere la lista completa delle opzioni disponibili con il comando kleopatra --help. --uiserver-socket argomento Posizione del socket su cui il server dell’UI è in ascolto --daemon Esegui solo il server dell’interfaccia, nascondi la finestra principale -p --openpgp Usa OpenPGP per l’operazione seguente -c --cms Usa CMS (X.509, S/MIME) per l’operazione seguente -i --import-certificate Specifica un file o un URL da cui importare certificati (o chiavi segrete). Questo è l’equivalente su riga di comando di File → Importa certificati (Ctrl+I) . -e --encrypt Cifra file -s --sign Firma file -E --encrypt-sign Cifra o firma i file. Uguale a --sign-encrypt, da non usare. -d --decrypt Decifra file -V --verify Verifica file e firma -D --decrypt-verify Decifra o verifica file 18 Manuale di Kleopatra Capitolo 5 Configurare Kleopatra La finestra di configurazione di Kleopatra è accessibile con Impostazioni → Configura Kleopatra. Ciascuna pagina è descritta nelle sezioni seguenti. 5.1 Configurare i servizi di directory Su questa pagina, puoi configurare quali server LDAP usare per le ricerche di certificati S/MIME, e quali server di chiavi usare per le ricerche di certificati OpenPGP. NOTA Questa è semplicemente una versione più facile da usare delle stesse impostazioni che trovi anche in Sezione 5.5. Tutto quello che puoi configurare qui può essere configurato anche là. N OTA SULLE IMPOSTAZIONI DEI PROXY Le impostazioni dei proxy possono essere configurate per HTTP e LDAP in Sezione 5.4, ma solo per GpgSM. Per GPG, a causa della complessità delle opzioni dei server delle chiavi di GPG, e a causa della mancanza di un loro supporto appropriato in GpgConf, al momento devi modificare direttamente il file di configurazione gpg.conf. Fai riferimento al manuale di GPG per i dettagli. Kleopatra manterrà queste impostazioni, ma non permette ancora di modificarle nella sua interfaccia. La tabella Servizi di directory mostra quali server sono attualmente configurati. Fai doppio clic su una cella della tabella per cambiare i parametri delle voci dei server presenti. Le colonne della tabella hanno i seguenti significati: Schema Determina il protocollo di rete usato per accedere al server. Schemi di uso comune includono ldap (e la sua versione con sicurezza SSL ldaps) per i server LDAP, un protocollo comune per S/MIME e l’unico supportato da GpgSM; e hkp, il protocollo Horowitz per server di chiavi, oggi spesso chiamato il protocollo HTTP per server di chiavi, un protocollo basato su HTTP supportato da praticamente tutti i server di chiavi. Riferisciti ai manuali di GPG e GpgSM per un elenco degli schemi supportati. 19 Manuale di Kleopatra Nome del server Il nome di dominio del server, per esempio keys.gnupg.net. Porta del server La porta di rete su cui il server è in ascolto. Questa cambia automaticamente alla porta predefinita quando si cambia Schema, a meno che fosse già stata impostata a una porta non standard. Se hai cambiato la porta predefinita e non riesci a ritrovarla, prova a impostare Schema a http e Porta del server a 80 (il valore predefinito per HTTP), e riparti da lì. DN base Il DN base (solo per LDAP e LDAPS), cioè la radice della gerarchia LDAP da cui partire. Viene spesso chiamato ‘radice di ricerca’ o ‘base di ricerca’. Di solito è qualcosa come c=de,o=Foo, dato come parte dell’URL di LDAP. Nome utente In nome dell’utente, se c’è, da usare per accedere al server. Questa colonna è visibile solo se l’opzione Mostra le informazioni su utente e password (sotto la tabella) è attiva. Password La password, se c’è, da usare per accedere al server. Questa colonna è visibile solo se l’opzione Mostra le informazioni su utente e password (sotto la tabella) è attiva. X.509 Spunta questa colonna se questa voce va usata per ricerche di certificati X.509 (S/MIME). Solo i server LDAP (e LDAPS) sono supportati per S/MIME. OpenPGP Spunta questa colonna se questa voce va usata per ricerche di certificati OpenPGP. Puoi configurare tanti server S/MIME (X.509) quanti ne vuoi, ma è permesso solo un server OpenPGP alla volta. L’interfaccia farà rispettare questo limite. Per aggiungere un nuovo server, fai clic sul pulsante Nuovo. Ciò duplica la voce selezionata, se ce n’è una, altrimenti inserisce un server OpenPGP predefinito. Puoi quindi impostare ilNome del server, laPorta del server, il DN base e i soliti Password e Nome utente, entrambi i quali sono necessari solo se il server richiede di identificarsi. Per inserire direttamente una voce per i certificati X.509, usa Nuovo → X.509; usa Nuovo → OpenPGP per OpenPGP. Per rimuovere un server dall’elenco di ricerca, selezionalo e premi il pulsante Elimina. Per impostare il periodo di scadenza ad LDAP, cioè il massimo periodo di tempo per cui il motore aspetterà una risposta del server, usa la casella numerica Scadenza LDAP (minuti:secondi). Se uno dei server ha una banca dati molto grande, per cui anche ricerche semplici come Ros si raggiungono il Numero massimo di voci restituite dalla ricerca, potresti dover aumentare questo limite. È facile accorgersi se si raggiunge il limite durante la ricerca, perché apparirà una finestra per avvertire che i risultati saranno troncati. NOTA Alcuni server possono imporre dei limiti propri sul numero di voci restituite da una ricerca. In questo caso, aumentare il limite non aumenterà il numero di elementi restituiti. 20 Manuale di Kleopatra 5.2 5.2.1 Configurare l’Aspetto Configurare i Suggerimenti Nell’elenco principale dei certificati, Kleopatra può mostrare i dettagli di un certificato in un suggerimento. Le informazioni visualizzate sono le stesse della scheda Panoramica della finestra Dettagli del certificato. I suggerimenti, però, si possono limitare a mostrare solo una parte delle informazioni per avere un programma meno logorroico. NOTA L’ID chiave viene sempre mostrato. Ciò per assicurarsi che i suggerimenti di certificati diversi siano davvero diversi (è importante soprattutto se è stato selezionato solo Mostra validità). Puoi abilitare o disabilitare indipendentemente i seguenti insiemi di informazioni: Mostra validità Mostra informazioni sulla validità di un certificato: il suo stato attuale, il DN dell’emittente (solo S/MIME), la data di scadenza (se c’è) e i contrassegni d’uso del certificato. Esempio: Questo certificato è Emittente : Validità : Uso del certificato : posta e file ID chiave : attualmente valido . CN = Test - ZS 7,O= Intevation GmbH ,C= DE da 25.08.2009 10:42 a 19.10.2010 10:42 Firma di posta elettronica e file , Cifratura di ←- DC9D9E43 Mostra informazioni sul proprietario Mostra informazioni sul proprietario del certificato: DN oggetto (solo S/MIME), ID utente (inclusi indirizzi di posta) e affidabilità del proprietario (solo OpenPGP). Esempio OpenPGP: ID utente : > ID chiave : Affidabilità del proprietario : Pinco Pallino < pinco . pallino@esempio .it ←C6BF6664 assoluta Esempio S/MIME: Oggetto : alias : ID chiave : CN = PincoPallino , OU = Esempio ,O= Progetto esempio ,C= IT pinco . pallino@esempio . it DC9D9E43 Mostra dettagli tecnici Mostra informazioni tecniche sul certificato: numero di serie (solo S/MIME), tipo, impronta digitale e indirizzo di memorizzazione. Esempio: Numero di serie : Tipo di certificato : ID chiave : Impronta digitale : Memorizzato : 27 %1 - bit %2 ( certificato segreto disponibile ) DC9D9E43 854 F62EEEBB41BFDD3BE05D124971E09DC9D9E43 su questo computer 21 Manuale di Kleopatra 5.2.2 Configurare le Categorie dei certificati Kleopatra permette di configurare l’aspetto dei certificati nella vista a elenco. È possibile mostrare un’iconcina, ma anche cambiare i colori del testo e di sfondo, oltre al carattere. Ogni categoria di certificati nell’elenco ha un insieme di colori, un’icona (facoltativa) e un carattere associati, con i quali i certificati di quella categoria sono visualizzati. Le categorie possono essere definite liberamente dagli amministratori o dagli utenti esperti, vedi Sezione 6.2 nelcapitolo 6. Per impostare o cambiare l’icona di una categoria, selezionala nell’elenco e premi il pulsante Imposta icona. Apparirà la finestra standard di selezione delle icone di KDE, dove puoi scegliere un’icona dalla raccolta di KDE o caricarne una nuova. Per rimovere un’icona, devi premere il pulsante Aspetto predefinito. Per cambiare il colore del testo (cioè di primo piano) di una categoria, selezionala dall’elenco e premi il pulsante Imposta colore del testo. Apparirà la finestra di selezione dei colori di KDE, dove puoi scegliere un colore o crearne uno nuovo. Il cambio del colore di sfondo si fa allo stesso modo premendo il pulsante Imposta colore di sfondo. Per cambiare il carattere, hai sostanzialmente due scelte: 1. Modificare il carattere standard, usato da tutte le viste a elenco di KDE. 2. Usare un carattere personalizzato. La prima scelta ha il vantaggio che il carattere seguirà lo stile scelto come preferito in tutto KDE, mentre l’altra dà pieno controllo sul carattere da usare. La scelta è tua. Per usare il carattere standard modificato, seleziona la categoria dalla lista, e cambia i modificatori del carattere Corsivo, Grassetto o Barrato. Puoi vedere immediatamente l’effetto sui caratteri della lista delle categorie. Per usare un carattere personalizzato, premi il pulsante Imposta carattere. Apparirà la finestra standard di selezione dei caratteri di KDE per permettere di scegliere il carattere. NOTA Puoi ancora usare i modificatori dei caratteri per cambiare il carattere personalizzato, come per modificare il carattere standard. Per tornare ad usare il carattere standard, è necessario premere il pulsante Aspetto predefinito. 5.2.3 Configurare l’Ordine degli attributi DN Sebbene i DN siano gerarchici, l’ordine dei componenti individuali (chiamati DN relativi o RDN, o attributi dei DN) non è definito. L’ordine in cui gli attributi vanno mostrati è un problema di politica aziendale o di gusto personale, ed ecco perché è configurabile in Kleopatra. NOTA Questa impostazione non ha effetto solo su Kleopatra, ma su tutte le applicazioni che ne usano la tecnologia. Al momento in cui è stato redatto questo manuale, queste includono KMail, KAddressBook, e anche Kleopatra stessa, ovviamente. 22 Manuale di Kleopatra Questa pagina di configurazione consiste sostanzialmente di due elenchi, uno per gli attributi noti (Attributi disponibili) e uno che descrive l’Ordine attuale degli attributi. Entrambi gli elenchi contengono voci descritte dalla forma breve dell’attributo (per esempio CN) in aggiunta alla forma descrittiva (Nome comune). L’elenco Attributi disponibili è sempre ordinato alfabeticamente, mentre l’elenco Ordine attuale degli attributi riflette l’ordine degli attributi del DN configurato: il primo attributo della lista è mostrato per primo. I soli attributi che vengono mostrati sono quelli esplicitamente elencati in Ordine attuale degli attributi. Quelli che non compaiono nell’elenco sono nascosti. Però, se la voce segnaposto _X_ (Tutti gli altri) è nell’elenco ‘attuale’, tutti gli attributi non elencati (che siano noti oppure no) verranno inseriti al posto di _X_, nell’ordine relativo originale. Un breve esempio aiuterà a chiarire la situazione: Dato il DN O=KDE, C=IT, CN=Pippo, X-PINCO=pallino, OU=Kleopatra, X-PALLINO=pinco, l’ordine predefinito degli attributi di ‘CN, L, _X_, OU, O, C’ produrrà il seguente DN formattato: CN=Pippo, X-PINCO=pallino, X-PALLINO=pinco, OU=Kleopatra, O=KDE, C=IT Mentre ‘CN, L, OU, O, C’ produrrà CN=Pippo, OU=Kleopatra, O=KDE, C=IT Per aggiungere un attributo all’ordine di visualizzazione della lista, selezionalo dalla lista Attributi disponibili e premi il pulsante Aggiungi all’ordine attuale degli attributi. Per eliminare un attributo dall’ordine di visualizzazione della lista, selezionalo dalla lista Ordine attuale degli attributi e premi il pulsante Rimuovi dall’ordine attuale degli attributi. Per spostare un attributo all’inizio (o alla fine) della lista, selezionalo dalla lista Ordine attuale degli attributi e premi il pulsante Sposta in cima (o Sposta in fondo). Per spostare un attributo più in su (o in giù) di una sola posizione, selezionalo dalla lista Ordine attuale degli attributi e premi il pulsante Sposta in su (o Sposta in giù). 5.3 5.3.1 Configurare le operazioni di cifratura Configurare le Operazioni di posta Qui puoi configurare alcuni aspetti delle operazioni di posta dell’UiServer di Kleopatra. Attualmente puoi configurare solo se usare o meno la ‘modalità rapida’ per firmare e cifrare i messaggi individualmente. Quando la ‘modalità rapida’ è attiva, non si mostra nessuna finestra quando si firmano (o cifrano) messaggi di posta, a meno che ci sia un conflitto che richieda una soluzione manuale. 5.3.2 Configurare le Operazioni dei file Qui puoi configurare alcuni aspetti delle operazioni sui file dell’UiServer di Kleopatra. Attualmente puoi solo scegliere il programma da usare per il calcolo del codice di controllo di CHECKSUM_CREATE_FILES. Usa Programma per i codici di controllo da usare per scegliere quale dei programmi configurati usare alla creazione di file di codici di controllo. Quando si verificano i codici di controllo, il programma da usare viene trovato automaticamente, in base al nome dei file di codici di controllo trovati. 23 Manuale di Kleopatra NOTA L’amministratore e l’utente esperto possono definire completamente quali programmi di codici di controllo rendere disponibili a Kleopatra con le cosiddette ‘definizioni di codice di controllo’ nel file di configurazione. Per i dettagli vedi Sezione 6.4. 5.4 Configurare aspetti della convalida S/MIME Su questa pagina, puoi configurare certi aspetti della convalida dei certficati S/MIME. NOTA Per lo più, questa è solo una versione più facile da usare delle stesse impostazioni che trovi anche in Sezione 5.5. Tutto quello che puoi configurare qui, lo puoi configurare anche là, eccetto Controlla la validità dei certificati ogni N ore, che è specifico a Kleopatra. Il significato delle opzioni è come segue: 5.4.1 Configurare il controllo periodico dei certificati Controlla la validità dei certificati ogni N ore Questa opzione abilita il controllo periodico della validità dei certificati. Puoi anche scegliere il periodo di controllo (in ore). L’effetto del controllo periodico è lo stesso di Visualizza → Mostra di nuovo (F5) ; non c’è la possibilità di pianificazione periodica di Strumenti → Aggiorna i certificati OpenPGP o Strumenti → Aggiorna i certificati X.509 . NOTA La convalida viene effettuata implicitamente ogni volta che cambiano dei file significativi in ~/ .gnupg. Questa opzione, come Strumenti → Aggiorna i certificati OpenPGP e Strumenti → Aggiorna i certificati X.509 , è quindi importante solo nel caso di fattori esterni per la validità dei certificati. 5.4.2 Configurare il metodo di convalida Convalida i certificati con le CRL Se questa opzione è selezionata, i certificati S/MIME verranno convalidati usando le liste di revoca certificato (CRL). Vedi Convalida in linea dei certificati (OCSP) per un metodo alternativo di controllo della validità dei certificati. Convalida in linea dei certificati (OCSP) Se questa opzione è selezionata, i certificati S/MIME verranno convalidati in linea con il protocollo di stato dei certificati in linea (OCSP). ATTENZIONE Quando si sceglie questo metodo, si invia una richiesta al server della CA più o meno ogni volta che si invia o riceve un messaggio cifrato, il che in linea teorica permette all’agenzia che ha emesso il certificato di monitorare con chi stai scambiando (per esempio) messaggi di posta. 24 Manuale di Kleopatra Se usi questo metodo, dovra inserire l’URL del risponditore OCSP in URL del risponditore OCSP. Vedi Convalida in linea dei certificati (OCSP) per un metodo più tradizionale di controllo della validità dei certificati che non tradisce informazioni sui tuoi contatti. URL del risponditore OCSP Inserisci qui l’indirizzo del server per la convalida in linea dei certificati (risponditore OCSP). L’URL comincia di solito per http:// . Firma del risponditore OCSP Scegli qui il certificato con cui il server OCSP firma le sue risposte. Ignora l’URL del servizio dei certificati Ogni certificato S/MIME di solito contiene l’URL del risponditore OCSP del suo emittente (Certificati → Sversa il certificato rivelerà se un dato certificato lo contiene). Segnare questa opzione fa ignorare a GpgSM questi URL, e gli fa usare solo quello configurato sopra. Usalo, per esempio, per far rispettare l’uso di un proxy OCSP aziendale. 5.4.3 Configurare le opzioni di convalida Non controllare le politiche dei certificati Come impostazione predefinita, GpgSM usa il file ~/.gnupg/policies.txt per controllare se la politica di un certificato è permessa. Se questa opzione è selezionata, le politiche non vengono controllate. Non consultare mai una CRL Se questa opzione è selezionata, non si useranno mai le liste di revoca dei certificati (CRL) per convalidare i certificati S/MIME. Permetti di indicare i certificati radice come fidati Se questa opzione è attivata durante l’importazione di un certificato CA radice, verrà chiesto di confermarne l’impronta digitale e di dichiarare se si considera quel certificato radice affidabile. Un certificato radice deve essere fidato prima che i certificati che esso certifica divengano a loro volta fidati, ma fidarsi troppo facilmente di certificati radice può minare la sicurezza del sistema. NOTA Abilitare questa funzionalità nel motore può far apparire delle finestre a comparsa di PinEntry in momenti inopportuni (per esempio quando si verificano le firme), e può quindi bloccare l’elaborazione della posta se nessuno è presente. Per questo motivo, e perché è una buona cosa poter togliere la fiducia a un certificato radice fidato, Kleopatra permette di impostare la fiducia manualmente con Certificati → Fidati del certificato radice e Certificati → Togli fiducia al certificato radice . Questa funzionalità qui non influenza il funzionamento di Kleopatra. Recupera i certificati degli emittenti mancanti Se questa opzione è impostata, i certificati degli emittenti mancanti vengono scaricati secondo necessità (ciò è valido per entrambi i metodi di convalida, CRL e OCSP). 25 Manuale di Kleopatra 5.4.4 Configurare le opzioni di richiesta HTTP Non effettuare nessuna richiesta HTTP Disattiva completamente l’uso di HTTP per S/MIME. Ignora i punti di distribuzione di CRL HTTP dei certificati Quando si cerca l’indirizzo di una CRL, il certificato da controllare di solito contiene quelle che sono note come voci ‘Punto di distribuzione di CRL’ (DP), che sono URL che descrivono il modo di accedere alla CRL. Si usa la prima voce DP trovata. Con questa opzione tutte le voci che usano lo schema HTTP sono ignorate quando si cerca un DP adatto. Usa il proxy HTTP di sistema Se questa opzione è selezionata, il valore del proxy HTTP mostrato a destra (che viene dalla variabile d’ambiente http_proxy) sarà usato per ogni richiesta HTTP. Usa questo proxy per le richieste HTTP Se non è impostato nessun proxy di sistema, o devi usare un proxy diverso per GpgSM, puoi inserirne l’indirizzo qui. Verrà usato per tutte le richieste HTTP relative a S/MIME. La sintassi è host:porta, per esempio mioproxy.dove.it:3128. 5.4.5 Configurare le opzioni di richiesta LDAP Non effettuare nessuna richiesta LDAP Disattiva completamente l’uso di LDAP per S/MIME. Ignora i punti di distribuzione di CRL LDAP dei certificati Quando si cerca l’indirizzo di una CRL, il certificato da controllare di solito contiene quelle che sono note come voci ‘Punto di distribuzione di CRL’ (DP), che sono URL che descrivono il modo di accedere alla CRL. Si usa la prima voce DP trovata. Con questa opzione tutte le voci che usano lo schema LDAP sono ignorate quando si cerca un DP adatto. Host principale per le richieste LDAP Inserire qui un server LDAP invierà tutte le richieste LDAP a quel server per primo. Più precisamente, questa impostazione si sostituisce a qualsiasi parte host o porta specificata in un URL di LDAP, e sarà usata anche host e porta sono stati omessi dall’URL. Altri server LDAP verranno usati solo se la connessione al ‘proxy’ non riesce. La sintassi è host o host:porta. Se si omette la porta, si usa la porta 389 (la porta standard di LDAP). 5.5 Configurare il sistema GnuPG Questa parte della finestra viene generata automaticamente dal risultato di gpgconf --list -components e, per ogni componente restituito dal comando sopra, il risultato di gpgconf --list-options componente. NOTA Le più utili di queste opzioni sono state duplicate come pagine a sé nella finestra di configurazione di Kleopatra. Vedi Sezione 5.1 e Sezione 5.4 per le due pagine della finestra che contengono le opzioni selezionate di questa parte della finestra. 26 Manuale di Kleopatra Il contenuto preciso di questa parte della finestra dipende dalla versione del motore GnuPG che hai installato e, potenzialmente, dalla piattaforma su cui ti trovi. Quindi, discuteremo solo lo schema generale della finestra, incluse le mappature dalle opzioni di GpgConf ai controlli dell’interfaccia di Kleopatra. GpgConf restituisce informazioni di configurazione per diversi componenti. componente vengono raggruppate le singole opzioni. Entro ogni Kleopatra mostra una scheda per componente riportato da GpgConf; i gruppi sono intestati da una riga orizzontale che indica il nome del gruppo come restituito da GpgConf. Ogni opzione di GpgConf ha un tipo. Eccetto alcune opzioni comuni che Kleopatra supporta con controlli specifici per facilitare la vita all’utente, la mappatura tra i tipi di GpgConf e i controlli di Kleopatra è come segue: Tipo di GpgConf nessuno Controllo di Kleopatra elenchi non elenchi Casella numerica Casella di spunta (semantica del ‘conteggio’) N/A Casella di testo Casella di testo (non Casella numerica formattata) N/A controllo specializzato controllo specializzato N/A string int32 uint32 percorso server ldap impronta digitale di chiave chiave pubblica N/A chiave segreta elenco di alias Tabella 5.1: Mappatura da tipi di GpgConf a controlli dell’interfaccia Vedi il manuale di GpgConf per maggiori informazioni su cosa puoi configurare qui, e come. 27 Manuale di Kleopatra Capitolo 6 Guida dell’amministratore La guida dell’amministratore descrive dei modi di personalizzare Kleopatra non disponibili dall’interfaccia grafica, ma solo dai file di configurazione. Si presuppone che il lettore abbia familiarità con le tecnologie usate per la configurazione delle applicazioni di KDE, in particolare la disposizione, la posizione nel filesystem e l’ordine di precedenza dei file di configurazione di KDE, ed anche dell’infrastruttura KIOSK. 6.1 6.1.1 Personalizzazione della procedura guidata della creazione di certificati Personalizzare i campi DN Kleopatra permette di configurare i campi che l’utente può inserire per creare il certificato. Crea un gruppo chiamato CertificateCreationWizard nel file di sistema kleopatrarc. Se vuoi personalizzare l’ordine degli attributi o se vuoi che compaiano solo certe voci, crea una chiave chiamata DNAttributeOrder. L’argomento è uno o più tra CN,SN,GN,L,T,OU,O,PC,C,SP,DC,BC,E MAIL. Se vuoi inizializzare i campi con un certo valore, scrivi qualcosa come Attributo=valo re. Se vuoi che l’attributo sia trattato come uno obbligatorio, apponi un punto esclamativo (ad esempio CN!,L,OU,O!,C!,EMAIL!, che tra l’altro è la configurazione predefinita). Usando il modificatore di modalità di KIOSK $e è possibile recuperare i valori dalle variabili d’ambiente, o dall’esecuzione di uno script o di un file binario. Se inoltre vuoi impedire la modifica dei campi rispettivi, usa il modificatore $i. Se vuoi impedire l’uso del pulsante Inserisci il mio indirizzo, imposta ShowSetWhoAmI a false. SUGGERIMENTO A causa della natura dell’infrastruttura KIOSK di KDE, l’uso del contrassegno immutabile ($i) impedisce all’utente di cambiarlo. Questo è il comportamento voluto. $i e $e possono anche essere usate con tutte le altre chiavi di configurazione di KDE. L’esempio seguente illustra delle possibili personalizzazioni: [ CertificateCreationWizard ] ; Impedisci la copia di dati personali dalla rubrica , non permettere modifiche locali ShowSetWhoAmI [ $i ]= false 28 ←- Manuale di Kleopatra ; Imposta il nome utente a $USER CN [ $e ]= $USER ; Imposta in nome della ditta a «Digitex» , impedisci la modifica OU [ $i ]= Digitex ; Imposta il nome del dipartimento con il valore restituito da uno script O[ $ei ]= $( lookup_dept_from_ip ) ; Imposta il codice paese a IT , ma permetti all ’ utente di cambiarlo C= IT 6.1.2 Limitare il tipo di chiavi che un utente può creare Kleopatra permette anche di limitare quale tipo di certificati possono essere creati da un utente. Nota, però, che un modo semplice di aggirare queste restrizioni è crearne uno dalla riga di comando. 6.1.2.1 Algoritmi a chiave pubblica Per limitare l’algoritmo a chiave pubblica da usare, aggiungi la chiave di configurazione PGPKey Type (e CMSKeyType, ma è comunque supportato solo RSA per CMS) nella sezione CertificateC reationWizard di kleopatrarc. I valori ammessi sono RSA per chiavi RSA, DSA per chiavi (di sola firma) DSA, e DSA+ELG per una chiave (di sola firma) DSA con una sottochiave Elgamal per la cifratura. Il valore predefinito viene letto da GpgConf o altrimenti si assume RSA se GpgConf non ha un valore predefinito. 6.1.2.2 Dimensione della chiave pubblica Per limitare le dimensioni delle chiavi per un algoritmo pubblico, aggiungi la chiave di configurazione <ALG>KeySizes (dove ALG può essere RSA, DSA o ELG) nella sezione CertificateCreation Wizard di kleopatrarc, contenente un elenco separato da virgole di dimensioni di chiavi (in bit). Un valore predefinito può essere indicato prefiggendo la dimensione con un trattino (-). RSAKeySizes = 1536 , -2048 ,3072 Quanto sopra limiterebbe le dimensioni delle chiavi RSA a 1536, 2048 e 3072, con 2048 come valore predefinito. Oltre alle dimensioni stesse, puoi anche specificare le etichette di ogni dimensione. Basta impostare la chiave di configurazione ALGKeySizeLabels a un elenco separato da virgole di etichette. RSAKeySizeLabels = debole , normale , forte Quanto sopra, insieme all’esempio precedente, risulterebbe in qualcosa come quanto segue per la selezione: debole (1536 bit ) normale (2048 bit ) forte (3072 bit ) I valori predefiniti corrispondono a quanto segue: 29 Manuale di Kleopatra RSAKeySizes = 1536 , -2048 ,3072 ,4096 RSAKeySizeLabels = DSAKeySizes = -1024 ,2048 DSAKeySizeLabels = v1 , v2 ELGKeySizes = 1536 , -2048 ,3072 ,4096 6.2 Creare e modificare categorie di chiavi Kleopatra permette all’utente di configurare l’aspetto visivo delle chiavi in base al concetto di Categorie di chiavi. Le Categorie di chiavi si usano anche per filtrare l’elenco dei certificati. Questa sezione descrive come modificare le categorie disponibili e aggiungerne di nuove. Quando cerca di trovare la categoria a cui appartiene una chiave, Kleopatra la fa passare attraverso una serie di filtri, configurati in libkleopatrarc. Il primo filtro che corrisponde definisce la categoria, basandosi su un concetto di specificità, spiegata un po’ più avanti. Ciascun filtro delle chiavi è definito in un gruppo di configurazione chiamato Key Filter #n, dove n è un numero a partire da 0. Le uniche chiavi obbligatorie in un gruppo Key Filter #n sono Name, contenente il nome della categoria così com’è mostrato nella finestra di configurazione, e id, che viene usata come riferimento per il filtro in altre sezioni della configurazione (come View #n). Tabella 6.1 elenca tutte le chiavi che definiscono le proprietà visive della categoria (cioè le chiavi che possono essere configurate nella finestra di configurazione), mentre Tabella 6.2 elenca tutte le chiavi che definiscono il criterio di corrispondenza con le chiavi del filtro. Chiave di configurazione Tipo background-color colore foreground-color colore font carattere font-bold booleano font-italic booleano 30 Descrizione Il colore di sfondo da usare. Se manca, verrà usato il colore di sfondo definito globalmente per le viste a elenco. Il colore di primo piano da usare. Se manca, verrà usato il colore usato globalmente per le viste a elenco. Il carattere da usare. Il carattere sarà adattato alla dimensione configurata per le viste a elenco, e ne verranno applicati gli attributi. Se impostato a true e font non è impostato, usa il carattere predefinito per le viste a elenco con l’aggiunta dello stile grassetto, se disponibile. È ignorato se è presente anche font. Simile a font-bold, ma si usa un carattere corsivo invece che grassetto. Manuale di Kleopatra Se è true, traccia una riga centrata sopra i caratteri. È font-strikeout booleano applicato anche se font è impostato. Il nome dell’icona da mostrare nella prima icon testo colonna. Non ancora implementato. Tabella 6.1: Configurazione di chiavi e filtri. Chiavi di definizione delle proprietà di visualizzazione Chiave di configurazione Tipo is-revoked booleano match-context contesto1 is-expired booleano is-disabled booleano is-root-certificate booleano can-encrypt booleano can-sign booleano can-certify booleano can-authenticate booleano is-qualified booleano is-cardkey booleano has-secret-key booleano is-openpgp-key booleano Se specificato, il filtro corrisponde quando... la chiave è stata revocata. il contesto in cui questo filtro corrisponde. la chiave è scaduta. la chiave è stata disabilitata (segnata come da non usare) dall’utente. Ignorata per le chiavi S/MIME. la chiave è un certificato radice. Ignorato per le chiavi OpenPGP. la chiave può essere usata per la cifratura. la chiave può essere usata per la firma. la chiave può essere usata per firmare (certificare) altre chiavi. la chiave può essere usata per l’autenticazione (per esempio come un certificato cliente TLS). la chiave può essere usata per fare firme qualificate (come definite dalla legge tedesca sulle firme digitali). il materiale della chiave è memorizzato su una smartcard (invece che sul computer). è disponibile la chiave segreta di questa coppia di chiavi. la chiave è una chiave OpenPGP (true) o una chiave S/MIME (false). 1 Il contesto è un’enumerazione con i seguenti valori previsti: appearance (aspetto), filtering (filtraggio) e any (qual siasi). 31 Manuale di Kleopatra la chiave è stata convalidata. la chiave ha esattamente (prefisso = is), ha qualunque cosa tranne (prefisso = is-not), ha almeno (prefisso = is-at-least), o ha al più (prefisso = is-at-most) l’affidabilità data come prefisso-ownertrust validità2 valore della chiave di configurazione. Se è presente più di una chiave prefisso-ownertrust (con diversi valori di prefisso) in un singolo gruppo, il comportamento non è definito. Analogo a prefisso-ownertrust, ma per la validità della chiave prefisso-validity validità invece dell’affidabilità del proprietario. Tabella 6.2: Configurazione delle chiavi-filtro. Chiavi di definizione dei criteri di filtraggio was-validated booleano NOTA Alcuni dei criteri più interessanti, come is-revoked o is_expired funzionano solo su chiavi conva lidate, e questo è il motivo per cui, normalmente, solo per le chiavi convalidate sono controllate la revoca e la scadenza, sebbene tu possa eliminare questi controlli supplementari. Oltre alle chiavi di config mostrate sopra, un filtro per le chiavi può anche avere id e match-cont exts. In altre parti della configurazione (per esempio nella configurazione delle viste di Kleopatra) puoi fare riferimento al filtro per le chiavi usando il suo id che, se non viene specificato, è il nome del gruppo di configurazione. L’id non viene interpretato da Kleopatra, quindi puoi usare una sequenza di caratteri a piacere, a patto che sia univoca. match-contexts limita l’applicabilità del filtro. Attualmente sono definiti due contesti: il contesto appearance è usato quando si definisce la colorazione e le proprietà dei caratteri delle viste. Il contesto filtering è usato per includere (o escludere) selettivamente dei certificati dalle viste. any può essere usato per indicare tutti i contesti attualmente definiti, ed è quello predefinito se non viene specificato match-contexts, altrimenti non produce alcun contesto. Ciò assicura che nessun filtro per le chiavi finisca ‘morto’, cioè senza contesti a cui essere applicato. Il formato della voce è un elenco di elementi separati da caratteri non di parola. Ciascun elemento può essere preceduto da un punto esclamativo (!) per negarne il significato. Gli elementi agiscono in ordine su un elenco interno di contesti, che all’inizio è vuoto. Si può spiegare meglio 2 La validità è una enumerazione (ordinata) con i seguenti valori possibili: unknown (sconosciuta), undefined (non defi nita), never (mai), marginal (marginale), full (completa), ultimate (assoluta). Vedi i manuali di GPG e GpgSM per una spiegazione dettagliata. 32 Manuale di Kleopatra con un esempio: any !appearance è equivalente a filtering e appearance !appearance produce l’insieme vuoto, allo stesso modo di !any. Però gli ultimi due saranno sostituiti internamente da any, perché non producono nessun contesto. In generale, i criteri non specificati (cioè con la voce di configurazione non impostata) non vengono controllati. Se viene fornito un criterio, viene controllato e deve corrispondere perché il filtro nel suo insieme corrisponda, cioè i criteri sono applicati con un’operazione di AND logico. Ogni filtro ha una ‘specificità’ implicita, usata per valutare tutti i filtri che corrispondono. I filtri più specifici prevalgono su quelli meno specifici. Se due filtri hanno la stessa specificità, vince il primo nel file di configurazione. La specificità di un filtro è proporzionale al numero di criteri che contiene. Example 6.1 Esempi di filtri sulle chiavi Per controllare tutti i certificati radice scaduti, ma non revocati, potresti usare un filtro sulle chiavi come il seguente: [ Key Filter #n] Name = scaduti , ma non revocati was - validated = true is - expired = true is - revoked = false is - root - certificate = true ; ( specificity 4 ) Per controllare tutte le chiavi OpenPGP disabilitate (non ancora gestito da Kleopatra) con fiducia nei confronti del proprietario di almeno ‘marginal’, potresti usare: [ Key Filter #n] Name = Chiavi OpenPGP disabilitate con affidabilità marginale o migliore is - openpgp = true is - disabled = true is -at - least - ownertrust = marginal ; ( specificity 3 ) 6.3 Configurare programmi di archiviazione per file di firma e cifratura Kleopatra permette all’amministratore (e all’utente avanzato) di configurare l’elenco di programmi di archiviazione presentati nella finestra Firma/Cifra file. Ogni programma di archiviazione è definito in libkleopatrarc come un gruppo Archive Defin ition #n a sé, con le seguenti chiavi obbligatorie: extensions Un elenco separato da virgole di estensioni di nomi di file che normalmente indicano questo formato d’archiviazione. id Un identificativo univoco usato per indentificare internamente questo archivio. Se non sei sicuro, usa il nome del comando. Name (tradotto) Il nome di questo programma di archiviazione così com’è visibile all’utente nel menu a tendina corrispondente della finestra Firma/Cifra file. 33 Manuale di Kleopatra pack-command Il comando vero e proprio per archiviare i file. Puoi usare qualsiasi comando, purché non sia richiesta una shell per eseguirlo. Il file del programma viene recuperato con la variabile d’ambiente PATH, a meno che venga usato un percorso assoluto. Le virgolette sono supportate come se si usasse una shell: pack - command ="/ opt / ZIP v2 .32/ bin / zip " -r - NOTA Siccome la barra inversa (\) è un carattere di escape nei file di configurazione di KDE, devi raddoppiarla quando compare nei percorsi: pack - command =C :\\ Programmi \\ GNU \\ tar \\ gtar . exe ... Tuttavia, per il comando di per sé (non per i suoi argomenti), puoi usare solo delle barre (/ ) come separatori di percorso su tutte le piattaforme: pack - command =C :/ Programmi / GNU / tar / gtar . exe ... Ciò non è supportato per gli argomenti, perché la maggior parte dei programmi Windows® usa la barra inversa per le opzioni. Per esempio, quanto segue non funziona, perché C:/mioscriptdiarchivi azione.bat è un argomento di cmd.exe, e / non viene convertito in \ negli argomenti, solo nei comandi: pack - command = cmd . exe C :/ mioscriptdiarchiviazione . bat Ciò va scritto invece come: pack - command = cmd . exe C :\\ mioscriptdiarchiviazione . bat 6.3.1 Passaggio dei nomi dei file di input per pack-command Ci sono tre modi di passare i nomi dei file al comando di archiviazione. Per ciascuno di questi, pack-command ha una sintassi particolare: 1. Come argomenti da riga di comando. Esempio (tar): pack - command = tar cf - Esempio (zip): pack - command = zip -r - %f In questo caso, i nomi dei file vengono passati sulla riga di comando, come faresti usando il prompt dei comandi. Kleopatra non usa una shell per eseguire il comando; quindi, è un modo sicuro di passare i nomi dei file, ma potrebbe raggiungere delle restrizioni sulla lunghezza della riga di comando su alcune piattaforme. Un segnaposto %f, se presente, viene sostituito dai nomi dei file da archiviare. Altrimenti, i nomi dei file vengono aggiunti alla fine della riga di comando. Quindi, l’esempio zip sopra potrebbe essere anche scritto come: pack - command = zip -r - 34 Manuale di Kleopatra 2. Attraverso lo standard input, separato da ritorni a capo: prefiggi |. Esempio (GNU tar): pack - command =| gtar cf - -T - Esempio (zip): pack - command =| zip -@ - In questo caso, i nomi dei file vengono passati al programma di archiviazione sullo standard input, uno per riga. Questo evita problemi su piattaforme che hanno limiti bassi sul numero di argomenti permessi sulla riga di comando, ma non funziona quando i nomi dei file stessi contengono dei ritorni a capo. NOTA Kleopatra attualmente supporta solo LF come separatore di ritorno a capo, non CRLF. Questo potrebbe venire modificato in futuro, secondo l’opinione degli utenti. 3. Attraverso lo standard input, separato da byte nulli: prefiggi 0|. Esempio (GNU tar): pack - command =0| gtar cf - -T - -- null Questo è lo stesso di sopra, tranne che si usano byte nulli per separare i nomi dei file. Siccome i byte nulli non possono far parte dei nomi dei file, questo è il modo più robusto di passarli, ma non tutti i programmi lo supportano. 6.4 Configurare i programmi dei codici di controllo per l’uso con Crea/Verifica codici di controllo Kleopatra permette all’amministratore (e all’utente avanzato) di configurare l’elenco di programmi per i codici di controllo tra cui l’utente può scegliere nella finestra di configurazione e che Kleopatra può rilevare automaticamente quando le si chiede di verificare il codice di controllo di un certo file. 35 Manuale di Kleopatra NOTA Per essere utile a Kleopatra, il risultato dei programmi per i codici di controllo (sia il file scritto dei codici di controllo, che il risultato sullo standard output quando si verificano i codici) deve essere compatibile con GNU md5sum e sha1sum. Nello specifico, il file dei codici di controllo deve essere basato su righe, con ogni riga avente il seguente formato: codice_controllo ’ ’ ( ’ ’ | ’*’ ) nome_file dovecodice_controllo consiste di soli carattere esadecimali. carattere di ritorno a capo, la riga deve invece essere: Se nome_file contiene un \ codice_controllo ’ ’ ( ’ ’ | ’*’ ) nome_file_quotato dove nome_file_quotato è il nome del file con i ritorni a capo sostituiti da \n, e le barre inverse raddoppiate (\↦\\). Similmente, il risultato di verify-command deve essere nella forma nome_file ( ’: OK ’ | ’: FAILED ’ ) separata da ritorni a capo. I ritorni a capo e altri caratteri non vengono quotati nel risultato.a a È vero, questi programmi non sono stati scritti pensando alle interfacce grafiche, e Kleopatra non gestirà correttamente dei nomi di file patologici che contengono : OK e un ritorno a capo. Ogni programma per i codici di controllo è definito in libkleopatrarc come un gruppo Checksu m Definition #n, con le seguenti chiavi obbligatorie: file-patterns Un elenco di espressioni regolari che descrivono quali file andrebbero considerati file di codici di controllo per questo programma. La sintassi è quella usata per gli elenchi di stringhe nei file della configurazione di KDE. NOTA Siccome le espressioni regolari contengono spesso delle barre inverse, si deve fare attenzione a quotarle appropriatamente nel file di configurazione. Si raccomanda l’uso di uno strumento di modifica dei file di configurazione. La piattaforma definisce se gli schemi sono da trattare distinguendo le maiuscole o meno. output-file Il nome tipico del file risultante per questo programma per codici di controllo (ovviamente dovrebbe corrispondere a uno dei file-patterns). Questo è ciò che Kleopatra userà come nome di file risultante quando creerà file di codici di controllo di questo tipo. id Un identificativo univoco usato per identificare internamente questo programma per codici di controllo. Se hai dei dubbi, usa il nome del comando. Name (tradotto) Il nome visibile all’utente di questo programma per codici di controllo, così come mostrato nel menu a cascata nella finestra di configurazione di Kleopatra. create-command Il comando vero e proprio con cui creare file di codici di controllo. La sintassi, le restrizioni e le opzioni che passano argomenti sono le stesse come descritto per pack-command nelSezione 6.3. 36 Manuale di Kleopatra verify-command Come create-command, ma per la verifica dei codici di controllo. Ecco un esempi completo: [ Checksum Definition #1] file - patterns = sha1sum . txt output - file = sha1sum . txt id = sha1sum - gnu Name = sha1sum ( GNU ) Name [ de ]= sha1sum ( GNU ) ... create - command = sha1sum -- %f verify - command = sha1sum -c -- %f 37 Manuale di Kleopatra Capitolo 7 Riconoscimenti e licenza Kleopatra © 2002 di Steffen Hansen, Matthias Kalle Dalheimer e Jesper Pedersen, © 2004 di Daniel Molkentin, © 2004, 2007-2010 di Klarälvdalens Datakonsult AB. La documentazione è copyright 2002 di Steffen Hansen, copyright 2004 di Daniel Molkentin, copyright 2004,2010 di Klarälvdalens Datakonsult AB. H ANNO CONTRIBUITO • Marc Mutz [email protected] • David Faure [email protected] • Steffen Hansen [email protected] • Matthias Kalle Dalheimer [email protected] • Jesper Pedersen [email protected] • Daniel Molkentin [email protected] Traduzione del programma di Alessandro Astarita, traduzione della documentazione a cura di Luciano Montanaro, manutenzione a cura di Federico Zenith [email protected] Questa documentazione è concessa in licenza sotto i termini della GNU Free Documentation License. Questo programma è concesso in licenza sotto i termini della GNU General Public License. 38