--- title: "Cripto libretto" author: Unit hacklab - unit@paranoici.org date: 15 Aprile 2018 documentclass: extarticle papersize: A4 output: pdf_document fontsize: 14pt geometry: top=2.5cm, bottom=2.6cm, left=2.8cm, right=2.8cm toc: true number_sections: true toc_depth: 2 highlight: zenburn lang: italian --- # Per una corretta igiene digitale ## Usiamo software libero e a sorgente aperta https://www.gnu.org/philosophy/free-sw.it.html ## Una buona password Non usare la stessa password per diversi servizi Usa una passphrase, ossia una frase di accesso compresa di spazi, facile da ricordare, ma difficile da indovinare persino per un computer, ad esempio questa contiene sia maiuscole che numeri, è molto lunga, ma facile da ricordare Nel mezzo del cammin di nostra vita2 ## Il password manager Le password da ricordare sono troppe, KeePassX è un software multipiattaforma per la gestione di password, un luogo sicuro dove scriverle, ma non dimenticare la password principale https://www.keepassx.org ## Accecare la telecamera del portatile Attacca un pezzo di scotch nero da elettricista sulla telecamera del portatile, il fatto che non si accenda la lucina non significa che sia spenta. ## Navigazione consapevole Usiamo Firefox La gestione dei containers e dei profili ci permette di creare ambienti isolati Containers: per compartimentare history e cookies https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers Profili: sono delle diverse sessioni del browser, per compartimentare anche gli add-on, si possono aprire scrivendo nella finestra di navigazione: about:profiles Add-ons: https-everywhere: preferisce https a http ghostly: blocca i tracker della nostra navigazione no script: blocca gli script ublock origin: blocca la pubblicità ## Navigazione anonima con Tor Tor, **T**he **O**nion **R**outer è un protocollo per l'anonimizzazione del traffico web. Scarica, installa e usa il programma Tor browser bundle per navigare in rete anonimamente. Attenzione! Non presumere che il tutto funzioni per magia. Studia, prova, verifica. https://www.torproject.org/download/download.html.en ## Tails TAILS è un sistema operativo smemorato, si avvia da penna Usb e quando lo spegni non ricorda nulla di quello che è successo. In altre parole usa Tor per navigare in internet anonimamente e permette di usare un computer in prestito senza doverci installare nulla. Utile in viaggio. https://tails.boum.org ## Verificare l'integrità del software scaricato Alcuni software offrono di verificare la loro checksum (somma di controllo), ossia la stringa alfanumerica univoca che risulta applicando un algoritmo chiamato SHA256. Scarica il pacchetto e usa un programma per fare il calcolo, se la stringa (hash) che salta fuori coincide con quella pubblicata sulla pagina web, il pacchetto dovrebbe essere integro. openssl sha256 VeraCrypt_1.22_Bundle.7z e51bd8ba4ff40aee084019ddf3a9f8d0e5fa8f743612c581efb2fbf10e36c595 Alcuni software sono anche accompagnati da una firma digitale, si può verificare con GnuPg che la firma, apposta a lato come file.sig, appartenga all'autore. gpg --verify VeraCrypt_1.22_Bundle.7z.sig VeraCrypt_1.22_Bundle.7z ## Usare un sistema operativo libero Usiamo GNU/Linux, disponibile in diverse distribuzioni, elencate in ordine di facilità d'uso. Ubuntu: https://www.ubuntu.com/desktop/1710 Linux Mint: https://linuxmint.com Bunsenlabs: https://www.bunsenlabs.org Debian: https://www.debian.org ## Comunicazione sicura dal telefonino Premessa: consideriamo che gli smartphone sono insicuri per definizione **Signal.org** è una app che permette di comunicare privatamente **Conversations.im** è una app che permette di comunicare privatamente con protocollo federato **lineageos.org** è un sistema operativo per telefonini basato su Android ## VeraCrypt VeraCrypt è un software che permette di proteggere con una passphrase una penna Usb, utile per trasportare dei documenti in viaggio senza preoccuparsi di perderla. Attenzione che durante la configurazione la penna verrà formattata e sarà poi sempre necessario usare VeraCrypt per montarla. https://www.veracrypt.fr/en/Home.html ## PGP, la crittografia pesante a doppia chiave **PGP** Pretty Good Privacy, software di crittografia asimmetrica **GnuPG** è il suo equivalente libero Si usa per cifrare, ma anche per firmare. Chi usa GnuPG crea due chiavi, quella privata serve per decifrare, quella pubblica viene usata dai suoi corrispondenti per cifrare. Creare la coppia di chiavi gpg --gen-key Creare un certificato di revoca gpg -o revoca-Key-ID.asc --gen-revoke Key-ID Esportare la chiave pubblica gpg -a -o mia-chiave-pubblica.txt --export Key-ID Importare una chiave di qualcuno gpg --import chiave.asc Verificare una fingerprint gpg --fingerprint Key-ID Cifrare un documento per Snowden gpg -a -o messaggio.asc --encrypt --recipient snowden-Key-ID messaggio.txt Decifrare un documento gpg -o messaggio-in-chiaro.txt messaggio.asc Scaricare la chiave pubblica di qualcuno gpg --keyserver pgp.mit.edu --search-keys Key-ID Verificare una firma accanto a un file gpg --verify file.sig file ## Risorse Liberati dai programmi globali di sorveglianza https://prism-break.org/it Autistici/Inventati offre ad attivisti, gruppi e collettivi piattaforme per una comunicazione più libera e strumenti digitali per l'autodifesa della privacy, come per esempio email, blog, mailing list, instant messaging e altro. https://www.autistici.org ### Il computer non ha un cervello, usa il tuo. ### Non fidarti troppo di chi ti dà consigli.