cavallette

Ciao,

questa email arriva da un sistema automatizzato di Autistici/Inventati che controlla lo spazio usato dagli account di posta. Il tuo account “XXXXXXXXXXX@inventati.org” sta usando *1.2 GB* di spazio!

Questo è TANTISSIMO, per favore cerca di cancellare o archiviare messaggi vecchi il prima possibile, non possiamo tollerare a lungo termine che le utenti usino così tanto spazio (è anche un po’ ingiusto
verso tutti gli altri)…

Grazie,

Autistici/Inventati”

____

Nelle ultime settimane abbiamo ripreso la buona pratica, che era già attiva qualche anno fa, di avvisare chi supera la quota del GIGA (1miliardo di Byte) nelle caselle mail.

Ovvero se il peso di un 1 Kilobyte (KB) in formato testo equivale circa ad una mezza pagina scritta, 1GB significa che avete lo spazio di 500’000 pagine per la vostra corrispondenza,

detti anche 1’000 libri belli spessi, ovvero da 500 pagine l’uno.

Ecco è troppo, vi chiediamo di essere persone più leggere e di ridurre l’archiviazione sui nostri server possibilmente alle mail che vi servono solo davvero al momento.

grazie!

Similmente potresti ricevere degli avvisi da parte nostra riguardo all’uso del disco se hai delle risorse hostate da noi o che ti ricordano di aggiornare il sito.

In nessun caso, mai forniamo un link da seguire su cui autenticarti! Quello lo sai tu.

Occhio al phishing!

Se ti è possibile, come collettivo o singola, passa ad un doppio fattore di autenticazione, sia sulla casella email che sui tuoi siti web e noblogs.org

Poi, qualunque cosa abbiate fatto, ne approfittiamo per ricordarvi di farvi il vostro backup. :)

(BACKUP = la copia di quello che avete nel PC, su un altro hardisk da tenere al sicuro e possibilmente tutto cifrato.)

DOMANDE FREQUENTI SU QUESTO ARGOMENTO:

POP3 la posta si scarica sul mio computer, ma se poi io apro la mia webmail da un altro computer o dal tablet vedrò, o non  vedrò, le mail salvate?

se la scarichi con POP3 e la cancelli dal server sara’ visibile solo sul dispositivo dove l’hai scaricata.
Puoi scegliere di non cancellare tutta la posta dal server ma solo quella piu’ vecchia di tot (in automatico nelle opzioni di thunderbird, o a mano da webmail) in modo da tenere tutta la posta recente sul server e disponibile ai vari dispositivi, oppure spostare in cartelle dedicate tutta la posta “importante”,
da tenere sempre, perche’ POP3 scarica solo la INBOX, e scaricare/cancellare dal server tutto il resto.

puoi vedere la guida qui’ per come configurare thunderbird con POP3: https://www.autistici.org/docs/mail/thunderbird
e puoi definire anche per quanti giorni lasciare i msg sul server.

Come si fa a scaricare anche le cartelle su Thunderbird?

Se non vuoi usare POP3, che è un protocollo che a differenza di IMAP, ti fa scaricare la tua posta su un solo computer, puoi attivamente scaricare ogni tanto la tua posta che occupa molto spazio così

https://www.autistici.org/docs/mail/archive

Lo spazio che usi sul server viene ricalcolato una volta al giorno, quindi devi aspettare un po’ prima di vedere quanto spazio hai salvato scaricando le email.

Tutte le altre domande frequenti… https://www.autistici.org/docs/faq/

Hello,

this is the automated system at Autistici/Inventati that looks after e-mail accounts. Your email account “XXXXXXXXXXXXXXXXX@autistici.org” is using at least 1.2 GB of space!

This is REALLY A LOT, please delete or download and archive some emails as soon as possible, we can’t tolerate such a high usage of our shared resources (it is a bit unfair to all our other users).

Thank you,

Autistici/Inventati

____

In recent weeks we have resumed the good practice, which was already active a few years ago, of alerting those who exceed the GIGA (1 billion Bytes) quota in their mailboxes.

That is, if the weight of a 1 Kilobyte (KB) in text format is roughly equivalent to half a page of writing, 1GB means you have the space of 500,000 pages for your correspondence,

also called 1,000 nice thick books, that is, 500 pages each.

Here is too much, we ask you to be lighter people and reduce the storage on our servers possibly to the mails you only really need at the moment.

thank you!

Similarly, you may receive notices from us about disk usage if you have resources hosted by us or that remind you to update the site.

Under no circumstances do we ever provide a link for you to follow on which to authenticate! You know that one.

Watch out for phishing!

If you can, as a collective or individual, switch to double factor authentication, both on the email box and on your websites and noblogs.org

Then, whatever you have done, take the opportunity to remind you to make your own backup. :)

(BACKUP = the copy of what you have in your PC, on another hardisk to keep safe and possibly all encrypted).

FREQUENTLY ASKED QUESTIONS ABOUT THIS TOPIC:

POP3 mail downloads to my computer, but if I then open my webemail from another computer or tablet will I see, or not see, the saved emails?

if you download it with POP3 and delete it from the server it will only be visible on the device where you downloaded it.
You can choose not to delete all mail from the server but only that older than tot (automatically in thunderbird options, or by hand from webmail) so that you keep all recent mail on the server and available to the various devices, or move all “important” mail to dedicated folders,
to keep at all times, because POP3 downloads only the INBOX, and download/delete everything else from the server.

you can see the guide here for how to configure thunderbird with POP3: https://www.autistici.org/docs/mail/thunderbird
and you can also define for how many days to leave the msg’s on the server.

How do you also download folders to thunderbird?

If you don’t want to use POP3, which is a protocol that unlike IMAP, makes you download your mail to only one computer, you can actively download your mail that takes up a lot of space from time to time like this

https://www.autistici.org/docs/mail/archive

The space you use on the server is recalculated once a day, so you have to wait a while before you see how much space you’ve saved by downloading emails.

All the others Frequently asked questions: https://www.autistici.org/docs/faq/

[ITA]

In questi giorni diversi nostri utenti hanno ricevuto una mail in cui veniva riportata una password (spesso corretta) usata dagli utenti stessi su altri servizi.

Il messaggio millanta una presunta intrusione sul PC dell’utente e l’acquisizione di video dalla webcam, con la conseguente richiesta di riscatto in bitcoin pena il disvelamento ai vostri contatti delle vostre attività onanistiche.
Si tratta di una campagna in atto da tempo che usa password rivelate in vecchie compromissioni di servizi poi diventate pubbliche.

Intanto non si tratta di una compromissione dei nostri servizi, né di una conseguenza del problema che abbiamo avuto lo scorso autunno, bensì di altri servizi su cui vi siete registrati con il vostro indirizzo di posta su A/I.

Non vi sono entrati nel PC (anche se comunque tenere un adesivo sulla webcam quando non è in uso è comunque cosa buona e giusta).

Se usate la stessa password sia su servizi esterni al nostro che per la mailbox su A/I, allora questo può essere un grosso problema. In generale, riutilizzare le stesse password è una cosa fortemente sconsigliabile, e vi consigliamo di cambiarla subito con una password unica per ogni servizio.

Se la password che avete ricevuto nella mail ricattatoria è una vecchia password che non usate più, potete tranquillamente ignorare il messaggio. Se la password che avete ricevuto è una password che usate ancora, andate sul sito (o sui siti…) dove la state usando e cambiatela subito.

Per creare nuove password sicure, potete seguire queste istruzioni.

Ovviamente ignorate la richiesta di soldi: tutto questo è comunque solo una truffa.

Se volete ricevere delle notifiche nel caso in cui il vostro indirizzo compaia in qualche nuovo leak di password, potete controllare su questo sito. (Se avete ricevuto la mail in questione, il vostro indirizzo risulterà sicuramente già positivo al controllo).

[ENG]

In the past few days several A/I users have received emails containing a password (often the real one) that they had used or were using on other platforms. (altro…)

English below.
In questi giorni di dibattito sui problemi di sicurezza delle email (EFAIL), vogliamo riportare un paio di link che ci sembrano importanti. il primo chiarisce dove sono i problemi, non in GPG ma nei client di posta (questo), l’altro ci ricorda come sia importante proteggere quel poco di buono che c’e’ e non cedere al nichilismo securitario, sindrome che ci e’ nota anche se non ne siamo mai stati particolarmente affetti.
Si intitola ‘Email crittate e nichilismo securitario‘, di Daniel Kahn Gillmore. Buone letture in inglese!

—-

In these days of debate around email security flaws (EFAIL), we want to report a couple of links that we find important. the first one clarifies where the problem lies, not in GPG but in email clients ((this one), the other one reminds us how important it is to protect the little good we have and not to surrender to security nihilism, well known syndrome to ourselves even though we’ve never been directly affected.
it’s entitled ‘Encrypted email and security nihilism‘ by Daniel Kahn Gillmore. Enjoy the read!

[ENGLISH VERSION BELOW]

I problemi di sicurezza emersi lo scorso settembre ci hanno spinto a rivalutare il valore delle password.

È inutile nasconderselo, le password sono qualcosa che geneticamente non ci appartiene.

Spesso, quando compare un form da compilare con una password da inserire, ci capita di volgere lo sguardo al cielo mentre le sinapsi non trovano le giuste connessioni per ricordarci quella stramaledetta sequenza di caratteri alfanumerici.

Una soluzione utilizzata è quella – non molto accorta, in verità – di riutilizzare password simili cambiando solo il numero finale, o, peggio ancora, l’uso della stessa password su diversi servizi.

Una poco pregevole alternativa consiste nel salvare la password dentro il browser o nel client di posta, in modo che loro la ricordino al posto nostro, ma con l’inconveniente che si tratta di sistemi che con la stessa semplicità possono rivelare la password a chiunque gliela richieda (a meno di non impostare una master password, che però dev’essere complessa e va ricordata a sua volta).

Una soluzione più furba sono i password manager che, pensa, richiedono una password per essere sbloccati… Ricordare una sola password è sicuramente più semplice di ricordarne qualche decina, ma la pressione psicologica di una sola password che custodisce tutte le altre ci attanaglia: e se ce la dimentichiamo? L’apocalisse.

E comunque alla fine, qualsiasi sistema scegliate, la tendenza a dimenticare le password, e perfino le risposte alla domande di sicurezza, rimane invariata, come continuiamo a osservare nelle richieste di aiuto che ci arrivano.

Vorremmo porre fine a questo tormento, vostro e nostro.

Tutte le big data corporation stanno spingendo per soluzioni biometriche: impronte digitali, iride, riconoscimento facciale e vocale.

Noi per formazione saremmo contrari, molti dei sistemi in uso si sono già dimostrati vulnerabili, ma tant’è, il mondo è brutto e siamo alla costante ricerca di comodità a scapito di altro (privacy e sicurezza in questo caso).

Per questo stiamo terminando lo sviluppo di un piccolo “naso elettronico”.

Sapevate che ognuno di noi ha un suo odore assolutamente personale?
Esistono studi dell’Università Politecnica di Madrid UCF indirizzati a definire protocolli di identificazione e sorveglianza basata sugli odori che hanno già prodotto una collaborazione con una startup spagnola per produrre dei prototipi di apparecchi portatili.

Si tratta semplicemente di una penna USB che invece di avere una memoria al suo interno ha una piccola ventola aspirante e un microspettrometro di massa.

Il software che intendiamo usare è questo (roba da bioinformatici) e sarà inserito dentro la penna, non dovrete installare niente.

Basterà qualche giorno di training per permettere al sistema di riconoscere le vostre essenze di base e da quel momento la penna si occuperà delle operazioni di login, tramite un’estensione (compatibile per tutti i sistemi operativi) del browser e del client di posta. In un primo momento l’estensione funzionerà solo per Firefox, Google Chrome e Thunderbird, ma lo sviluppo per altri client e browser è già previsto nella nostra scaletta di marcia.

Ovviamente per chi si sente in grado di continuare con l’uso delle password, che noi comunque raccomandiamo, non cambierà nulla. Chi invece non si fida di se stesso, potrà richiedere di partecipare alla fase di beta testing. Ai primi 100 volontari invieremo gratuitamente la penna a casa per cominciare a fare delle prove.

(Spiacenti, ma le penne hanno un costo: le prime 100 le regaliamo, poi penseremo a distribuirle a prezzo di costo, circa 19 euri).

Se siete interessati andate su questa pagina e compilate il form.

Lo sentite anche voi questo fresco profumo di futuro?

[ENGLISH VERSION]

Due to the security problems we had last september, we had to reconsider the value of passwords.

Denying it doesn’t make sense: humans are not biologically made to keep passwords.

Often, when having to fill in a form with a password, we stare blankly at the sky while our synapses have a hard time finding the right connections to remind us that bloody alphanumeric sequence.

One solution – not very smart to be honest – is to re-use similar passwords with just the final number changing every time, or, even worse, to use the same password for different services

Another, not very useful, alternative consists in saving passwords inside the browser/mail client, so that they can remember it for us, but the problem is that with these tools passwords are as easy for us to store as they are for anyone else to find them (unless we set up a master password, but this needs to be complex and memorable for us).

A smarter solution is password managers, which require a password to be unlocked… Remembering just one password is certainly easier than remembering dozens, but the psychological pressure produced by having one password to protect all the others is difficult to bear: what if we forget it? It would be catastrophic.

In any case, regardless of the system you have chosen, there’s a trend to forget passwords, and even the answers to the security questions, as we keep seeing in the requests our helpdesk receives.

We would like to stop this torment, on your and on our side.

Big data corporations are all pushing for biometric solutions: fingerprints, iris scans, facial and vocal recognition.

Given our background, we should be against this, since a lot of these systems have already been hacked, but as we all know the world is evil and users are constantly looking for comfort and convenience, even if this means reducing their privacy and security as in this case.

For this reason we are developing a small “electronic nose”.

As some of you may know, everyone has their own personal smell.
Studies have been carried out at the Polytechnic University of Madrid UCF with the purpose of defining identification and surveillance protocols based on smell, and a Spanish startup company has started to produce prototypes of portable devices.

The electronic nose is simply a USB stick equipped with a small suction fan and a tiny mass spectrometer.

The software we intend to use to control the hardware is this (stuff only bioinformatics experts understand anyway). It will be pre-installed in the USB stick: you won’t have to install anything.

After some training days, the system will be able to recognize your basic essence and you will be able to use the stick to login to your mailbox with a browser extension or your favourite mail client (the stick will be compatible with all operating systems). During the beta testing stage, the extension will only be available for Firefox, Google Chrome, and Thunderbird, but the development for more clients and browsers is in the roadmap.

Obviously we recommend to continue to use the passwords and keep your memory trained, but if you don’t trust yourselves you can ask to be part of the beta testing program.

The first 100 beta testers will get the USB Nose delivered for free, but unfortunately the sticks cost money, so after the first 100 we will ask you to cover the expenses, with a contribution of about 19 euros.

Here is the link for the request.

Can you smell this fresh scent of future too?

Nell’ambito della reinstallazione e della messa in sicurezza dell’infrastruttura, abbiamo deciso di generare una nuova chiave GPG, non perché quella precedente fosse palesemente compromessa, ma perché stiamo procedendo con la massima cautela possibile dopo quanto abbiamo scoperto.

La nuova chiave GPG che useremo d’ora in poi è questa. Potete scaricarla anche dai keyserver, per esempio qui.

While reinstalling and securing our infrastructure, we have decided to generate a new GPG key. The key had not been clearly compromised, but we wanted to be as cautious as possible after the breach in our servers.

From now on, the GPG key we will use is this. You can also download it from the keyservers, for example here.

[English version below]

Nelle ultime settimane abbiamo aggiornato l’infrastruttura di Autistici/Inventati, concentrandoci in particolare sul servizio di instant messagging Jabber/XMPP. L’obiettivo era permettervi di usare Jabber su dispositivi mobili, offrendo un’alternativa ai sistemi più diffusi, che sono centralizzati, appartengono spesso a grandi aziende e sono quindi esposti a misure censorie e repressive. Inoltre abbiamo scritto nuovi manuali per facilitare la configurazione di nuovi client per il nostro server Jabber.

Dettagli tecnici e nuove funzionalità

(altro…)

[English version below]

Con grande gioia vi annunciamo un altro passo avanti negli strumenti che mettiamo a disposizione per una comunicazione libera e autonoma.

tl;dr: grazie a Let’s Encrypt la CA non serve più!

… che poi vorrebbe dire: avete presenti quei messaggi inquietanti che vi mandava il vostro browser quando aprivate le pagine di A/I e di Noblogs? Be’, quella storia è finita! Ora potete andare a festeggiare, oppure continuare a leggere le nostre spiegazioni più sotto (noi vi raccomandiamo la seconda opzione…). Ma soprattutto ricordate: se continuate a ricevere messaggi inquietanti, stavolta vale la pena di preoccuparsi.

Come sapete, i nostri servizi online supportano – o in certi casi richiedono – l’uso di SSL, un sistema crittografico basato sulla distribuzione di certificati che garantiscono una connessione sicura ai vari server. L’integrità di questi certificati è fondamentale e non abbiamo mai accettato di partecipare al sistema di distribuzione commerciale dei certificati SSL; questo avrebbe significato mettere il rapporto di fiducia tra noi e i nostri utenti nelle mani di soggetti di cui non ci si può fidare: stati, forze “dell’ordine”, aziende il cui solo fine è il profitto.
Perciò finora abbiamo gestito la cosa autonomamente con una nostra Autorità di Certificazione (CA). Il rovescio della medaglia era la necessità – per i nostri utenti, ma anche per i semplici visitatori dei siti web – di seguire una procedura un po’ complicata per installare il certificato della nostra CA.

Non siamo mai state completamente contente di questa situazione, perché crediamo che per risultare efficace la crittografia debba essere utilizzabile senza difficoltà. Da questo punto di vista, il progetto Let’s Encrypt è un’importante risorsa per chiunque usi internet, ma il beneficio per noi e voi è ancora maggiore, perché l’utilizzo di SSL con i server di A/I ora diventa più semplice.

Cosa cambia nella pratica?

• La nostra CA e la procedura di installazione del suo certificato scompaiono.
• I certificati SSL dei domini di A/I sono ora firmati dalla CA di Let’s Encrypt.
• … e soprattutto il certificato della CA di Let’s Encrypt è già installato nel browser che state usando: Non serve quindi fare nient’altro per poter navigare correttamente sui nostri siti web via HTTPS o per stabilire una connessione sicura con i nostri server di posta.
• L’unica cosa che vi raccomandiamo di fare è di controllare che i vostri
  client siano tutti configurati per non accettare certificati SSL non validi
  (come per esempio consigliavamo di fare per Xchat).

Troverete informazioni aggiornate nella pagina di documentazione specifica su SSL.

[English version]

We have some good news about the tools for a free and autonomous communication we provide you with.

tl;dr: thanks to Let’s Encrypt our CA has become useless!
(altro…)

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

1. Accedi al tuo pannello utente.
2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

• La 2FA è per la webmail: per il resto dovrai generare una password specifica.
  Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
• Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
  1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
  2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
• Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

(altro…)

[English version below]

Ultimamente ci è stato segnalato un tentativo di phishing a nostro nome.
Il testo era questo:

Your AUTISTICI.ORG Mailbox Has Exceeded Its Quota Limit And You May
Not Be Able To Send Or Receive New Mails Until You Re-Validate.

To Re-Validate, Please Click: RE-VALIDATE For More
Storage Data to Be Added To Your Mailbox

Thank You,
AUTISTICI.ORG Mail Team

E come in ogni tentativo di phishing che si rispetti, il link inserito nel testo non rimandava a un nostro sito ma da qualche altra parte dove qualche simpatico gruppo di malintenzionati si sarebbe appropriato del nome utente e della password del/la malcapitato/a.

Sono cose che capitano e che tutte e tutti noi abbiamo già visto, ma giusto per una ripassatina, ecco alcuni consigli:

• Nelle nostre comunicazioni noi non vi chiediamo mai di cliccare su un link: molto più probabilmente il nostro invito sarà di accedere al vostro pannello utente, come fate di solito per leggere la vostra mail, all’indirizzo: https://www.autistici.org/pannello/.
• Quando ricevete una mail che vi chiede con urgenza di cliccare su un link, controllate sempre che il mittente sia chi dice di essere. Nel nostro caso, la mail arriverà da un dominio @ autistici.org — molto probabilmente da info @ autistici . org
• Se l’indirizzo del mittente vi sembra convincente, controllate che anche il link lo sia.
• Per ulteriori informazioni potete leggere questo manuale dell’Electronic Frontier Foundation (in inglese e altre lingue ma non ancora in italiano).

English version
(altro…)

Importante: questo post è del 2015. Potete trovare la nostra nuova chiave qui.

Important: this post was written in 2015. You can find our new key here.

[english version below]

PGP e la sua implementazione libera GnuPG è uno degli strumenti che consigliamo ai nostri utenti per comunicare sia tra di loro che con noi. Per comunicare attraverso PGP è necessario avere la chiave, cosiddetta pubblica, del destinatario. È molto importante assicurarsi che la chiave che si ha appartenga effettivamente alla persona con cui vogliamo comunicare e non a qualcun altro: in questo caso infatti si rischia nel migliore dei casi di mandare un’email illeggibile al nostro destinatario e nel peggiore di essere intercettati e di perdere le garanzie di sicurezza che pensavamo di avere usando PGP.

La nostra chiave pubblica si può trovare sul nostro sito, oppure si può richiedere a uno dei tanti keyserver, che si possono paragonare a servizi di “pagine gialle” delle chiavi crittografiche. La maggior parte di questi server pubblica tutte le chiavi che gli vengono inviate, senza controllare l’effettiva autenticità delle informazioni riportate. È quindi estremamente facile creare una chiave a nome di un’altra persona e caricarla su uno di questi server.

È quel che è successo a noi solo qualche settimana fa: qualcuno ha deciso di creare una chiave a nostro nome e di caricarla sui keyserver. Non ne conosciamo le motivazioni (uno scherzo? un esperimento? un goffo tentativo di intercettare le comunicazioni coi nostri utenti?), però dobbiamo avvisarvi: non tutte le chiavi a nostro nome che trovate su internet sono autentiche. Quindi quando scaricate la nostra chiave pubblica, controllate le firme e se potete utilizzate il Web of Trust.

La fingerprint della nostra chiave [al marzo 2015] è

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Diffidate delle imitazioni!

(altro…)