0xDA733D59D98DA9CE – diffidate delle imitazioni!

Importante: questo post è del 2015. Potete trovare la nostra nuova chiave qui.

Important: this post was written in 2015. You can find our new key here.

 

[english version below]

PGP e la sua implementazione libera GnuPG è uno degli strumenti che consigliamo ai nostri utenti per comunicare sia tra di loro che con noi. Per comunicare attraverso PGP è necessario avere la chiave, cosiddetta pubblica, del destinatario. È molto importante assicurarsi che la chiave che si ha appartenga effettivamente alla persona con cui vogliamo comunicare e non a qualcun altro: in questo caso infatti si rischia nel migliore dei casi di mandare un’email illeggibile al nostro destinatario e nel peggiore di essere intercettati e di perdere le garanzie di sicurezza che pensavamo di avere usando PGP.

La nostra chiave pubblica si può trovare sul nostro sito, oppure si può richiedere a uno dei tanti keyserver, che si possono paragonare a servizi di “pagine gialle” delle chiavi crittografiche. La maggior parte di questi server pubblica tutte le chiavi che gli vengono inviate, senza controllare l’effettiva autenticità delle informazioni riportate. È quindi estremamente facile creare una chiave a nome di un’altra persona e caricarla su uno di questi server.

È quel che è successo a noi solo qualche settimana fa: qualcuno ha deciso di creare una chiave a nostro nome e di caricarla sui keyserver. Non ne conosciamo le motivazioni (uno scherzo? un esperimento? un goffo tentativo di intercettare le comunicazioni coi nostri utenti?), però dobbiamo avvisarvi: non tutte le chiavi a nostro nome che trovate su internet sono autentiche. Quindi quando scaricate la nostra chiave pubblica, controllate le firme e se potete utilizzate il Web of Trust.

La fingerprint della nostra chiave [al marzo 2015] è

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Diffidate delle imitazioni!


English version

0xDA733D59D98DA9CE – distrust imitations!

PGP and its free alternative GnuPG is one of the tools we recommend to our users in order to communicate both among them and with us. If you want to communicate through PGP, you need to have the public key of the person you’re writing to. It is very important to make sure that this key actually belongs to the person with whom you want to communicate and not to somebody else, because otherwise you risk to send an unreadable email in the best scenario or, in the worst case, to be tapped and to lose the security you thought you had gained by using PGP.

Our public key can be found in our website, or downloaded from a keyserver, which is a sort of “Yellow Pages” for cryptographic keys. Most keyservers publish every key they receive, without checking that the included information is correct. It is therefore extremely easy to create a key with someone else’s identity and to upload it to one of these servers.

This is what happened to us some weeks ago: someone created a key in our name and uploaded it on the keyservers. We don’t know what was their purpose (a joke? an experiment? a clumsy attempt to intercept communications with our users?), but we need to warn you: not every key connected to our email address that you will find online is authentic. So when you download our public key, check its fingerprint and, if you can, use the Web of Trust.

The fingerprint of our key [as of March 2015] is

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Distrust imitations!

Tags: , ,

Comments are closed.