Cittadini reali di un mondo virtuale o cittadini virtuali di un mondo reale?

Mi piace GPG.
Quando ho cominciato a gironzolare per il web con il modem una quindicina di anni fa, l'impressione era quella di essere dei fantasmi. Esistevano i canali e i newsgroup, ma al di là delle parole che scrivevi potevi essere chiunque.
Internet era anonima.
Sono passati gli anni, e all'inizio ci siamo preoccupati di non essere più così anonimi, poi abbiamo cominciato a non volerlo essere più. Internet è diventata un'estensione virtuale del nostro spazio sociale.
Con i primi social network abbiamo pensato di poter avere finalmente la cittadinanza di questo mondo virtuale, ma anche questa volta ci siamo sbagliati. Siamo diventati cittadini virtuali di un mondo reale.
Ciò che facciamo sui social network ha conseguenze sul mondo reale perché, di fatto, Internet è il mondo reale.
Ogni società ha un suo sito, univoco e riconoscibile. È difficile che un phishing o un cybersquatting non venga subito smascherato.
Solo che su Internet siamo meno reali di quanto non lo sia Internet stessa. Le nostre identità virtuali sono effimere e troppo facilmente violabili e contraffattibili. Chiunque può fingersi noi, registrandosi a nostro nome, rubandoci una password, o anche solo attribuendosi foto, video, commenti o persino interi blog.
E sempre più spesso chi non ci conosce personalmente si fa un'idea di noi con una search online.
Eppure esiste uno protocollo standard (RFC 4880), standard tanto quanto lo sono le mail e lo stessa Internet, che garantisce a ciascuno di noi una Privacy Piuttosto Buona (Pretty Good Privacy).

Chiunque sia un informatico conosce e usa SSH. Ed essendo pigro come tutti gli informatici ha imparato che si può depositare la propria chiave pubblica sui server remoti per non dover nemmeno digitare una password per collegarsi.
In verità questo meccanismo dovrebbe fornire una sicurezza migliore dell'uso delle password, ma non è così perché nessuno custodisce e conserva queste chiavi, che ad ogni cambio hardware o software vengono tranquillamente rigenerate.

Un informatico ha imparato che questo messaggio:
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
vuol dire cancella la corrispondente riga dal file ~/.ssh/known_hosts
Quasi tutti i sistemisti che conosco alla vista di quel messaggio, non vanno nemmeno a cercare la riga e cancellano l'intero portafoglio di chiavi.
E persino i rarissimi casi di persone che si preoccupano di custodire e verificare le chiavi, ne ignorano completamente l'AUTENTICITÀ.

GIT è un sistema di versionamento del codice distribuito, e per i programmatori è una rivoluzione. Ma venendo a mancare il server centrale di repository come garante delle revisioni, viene meno pure l'ultimo barlume di autenticità del codice.
Così mettiamo tutto su GitHub... ma finché ci affidiamo al solo SSH siamo punto e a capo.

GPG non è più complesso di GIT. Qualcuno si prende cura delle proprie chiavi GPG, ma a questo punto perché non le usa anche per SSH?
GPG è potente. Permette di generare delle sottochiavi della propria chiave principale (che andrebbe conservata su una memoria disconnessa e utilizzata solo quando necessario), di dotarle di scadenza, e persino di revocarle.
E a differenza dei certificati è altrettanto affidabile, è gratuito, e non richiede tempi burocratici.
Ho letto della possibilità di esportare una sottochiave come chiave pubblica per SSH, ma le notizie sulla procedura corretta scarseggiano. Siccome quando si parla di sicurezza è meglio non improvvisare, piuttosto che fare da solo ho chiesto aiuto a qualcuno che fosse esperto. Su StackOverflow () la domanda è stata addirittura bannata da un esperto di sicurezza con la motivazione che "istigava opinioni, dibattiti, discussioni, sondaggi, o accese discussioni."
Forse non interessa davvero a nessuno.
Infondo vogliamo restare cittadini virtuali di un mondo virtuale.
Shared publicly