Crit­to­gra­fia PGP: come pro­teg­ge­re il contenuto delle tue e-mail

Per le aziende che co­mu­ni­ca­no prin­ci­pal­men­te tramite e-mail la sicurezza è par­ti­co­lar­men­te im­por­tan­te, so­prat­tut­to per impedire che persone non au­to­riz­za­te leggano i contenuti della posta elet­tro­ni­ca. Di seguito ti spie­ghia­mo come crit­to­gra­fa­re le tue e-mail con PGP.

Cos’è la crit­to­gra­fia PGP?

La crit­to­gra­fia PGP rap­pre­sen­ta un’ottima pos­si­bi­li­tà di pro­teg­ge­re le in­for­ma­zio­ni e di cifrare il contenuto delle tue e-mail. Ini­zial­men­te il termine PGP, ab­bre­via­zio­ne di “Pretty good privacy” (in italiano let­te­ral­men­te “una privacy piuttosto buona”), è stato usato già nel 1991 da Phil Zim­mer­mann, che ha svi­lup­pa­to un software di cifratura delle e-mail. Tuttavia, con il passare degli anni il nome si è affermato come termine generico per il metodo di crit­to­gra­fia usato da questo software.

La crit­to­gra­fia PGP si basa sull’in­fra­strut­tu­ra a chiave pubblica (anche co­no­sciu­ta come crit­to­gra­fia asim­me­tri­ca). Funziona mediante una coppia di chiavi, una pubblica e una privata (chiamate Key). La chiave pubblica viene messa li­be­ra­men­te a di­spo­si­zio­ne di po­ten­zia­li contatti e-mail, tra­smet­ten­do­la di­ret­ta­men­te o ca­ri­can­do­la su un key-server esterno. Con l’aiuto di questa chiave i tuoi contatti possono decifrare tutte le e-mail che invii loro. Tu sei l’unica persona a possedere la chiave privata, la quale è in grado di de­co­di­fi­ca­re le e-mail criptate con la chiave PGP pubblica. Per poter co­mu­ni­ca­re in modo sicuro con questo metodo, PGP deve essere usato anche dall’altro in­ter­lo­cu­to­re, che a sua volta fornirà all’altro la sua chiave pubblica.

In passato con­fi­gu­ra­re la crit­to­gra­fia PGP era un’ope­ra­zio­ne molto complessa. A causa dei diversi passaggi necessari, le persone meno esperte si guar­da­va­no bene dall’usare questo tipo di tec­no­lo­gia. Negli anni passati, tuttavia, sono stati svi­lup­pa­ti plugin che hanno reso di­spo­ni­bi­le la crit­to­gra­fia PGP a un pubblico più ampio. Due di questi plugin sono FlowCrypt e Mail­ve­lo­pe. Nel frattempo, anche diversi provider di posta elet­tro­ni­ca hanno svi­lup­pa­to i propri plugin PGP e as­si­sten­ti di con­fi­gu­ra­zio­ne, in­te­gran­do­li nel proprio servizio e-mail.

Esempi di utilizzo della crit­to­gra­fia PGP

Le in­fra­strut­tu­re asim­me­tri­che come PGP non sono nulla di nuovo nel mondo in­for­ma­ti­co e trovano impiego in diversi ambiti. Di seguito ti elen­chia­mo alcuni ambiti di utilizzo frequenti della crit­to­gra­fia PGP.

1. Crit­to­gra­fia di e-mail con­fi­den­zia­li: la crit­to­gra­fia delle e-mail e anche di altri tipi di messaggi è il caso d’uso più frequente di PGP.
2. Crit­to­gra­fia di dati e sistemi di dati: oltre alla cifratura di mezzi di co­mu­ni­ca­zio­ne con­fi­den­zia­li, PGP può essere usata per crit­to­gra­fa­re file sia su dischi rigidi locali sia su server.
3. Firme digitali: PGP viene spesso impiegata anche per ve­ri­fi­ca­re l’integrità di un de­ter­mi­na­to messaggio o file. Con una firma PGP è possibile as­si­cu­rar­si che un messaggio provenga realmente dalla persona che lo ha inviato, e che non sia stato in­ter­cet­ta­to e mo­di­fi­ca­to da terzi. Allo stesso modo è possibile usare la firma digitale per ve­ri­fi­ca­re l’integrità di dati (ad esempio di programmi).

Tutorial: come con­fi­gu­ra­re la crit­to­gra­fia PGP

Numerosi provider e-mail sono già dotati di pacchetti pronti per con­fi­gu­ra­re la crit­to­gra­fia PGP e di solito for­ni­sco­no istru­zio­ni fa­cil­men­te com­pren­si­bi­li, che aiutano a com­ple­ta­re il pro­ce­di­men­to. Qualora non sia il caso del proprio provider di posta è ne­ces­sa­rio occuparsi per­so­nal­men­te dei passaggi necessari. Di seguito ti pre­sen­tia­mo un tutorial su PGP che ti aiuterà a in­stal­la­re e a uti­liz­za­re cor­ret­ta­men­te la crit­to­gra­fia PGP.

Crit­to­gra­fia PGP mediante software

Primo passaggio: in­stal­la­re il software

Anzitutto è ne­ces­sa­rio trovare il software PGP adeguato, che deve essere com­pa­ti­bi­le sia con il sistema operativo che con il programma e-mail in uso. Gli utenti Linux hanno a di­spo­si­zio­ne la soluzione open source GnuPG (GNU Privacy Guard), di­spo­ni­bi­le fin dal 1997. La versione 1.4, leg­ger­men­te più datata, è pre­in­stal­la­ta per im­po­sta­zio­ne pre­de­fi­ni­ta su numerosi sistemi, mentre è possibile scaricare la variante più nuova di­ret­ta­men­te dal sito ufficiale.

Gli utenti dei sistemi operativi Windows e OS X tro­ve­ran­no anche file binari, che potranno usare per in­stal­la­re le soluzioni spe­ci­fi­che per ciascun sistema Gpg4win e Mac GPG, anch’esse basate su GnuPG.

Secondo passaggio: creare la coppia di chiavi

Dopo che il programma PGP è stato in­stal­la­to, è possibile creare una coppia di chiavi. Per fare questo, apri la riga di comando su Linux e usa il relativo comando che potrai trovare sui manuali del programma in uso. Per GnuPG il comando è ad esempio:

sudo gpg --gen-key

Suc­ces­si­va­men­te seleziona il tipo di crit­to­gra­fia, anche se ti con­si­glia­mo di di­stac­car­ti dalle im­po­sta­zio­ni standard (“RSA e RSA”) solo se disponi di co­no­scen­ze ne­ces­sa­rie. Quindi digita la lunghezza della chiave in bit. Quanto più elevato il valore, più sicure sono le chiavi, ma più lenta è la loro per­for­man­ce. Segue la richiesta di inserire la durata della validità della chiave e infine il nome e indirizzo e-mail per il quale deve valere la coppia di chiavi. Infine, sta­bi­li­sci una password per la tua chiave privata di cui avrai bisogno in un secondo momento per criptare e de­crip­ta­re i messaggi di posta elet­tro­ni­ca.

In Windows e Mac OS X, la ge­ne­ra­zio­ne delle chiavi avviene tramite programmi grafici. In­di­pen­den­te­men­te dal software PGP e dalla piat­ta­for­ma, ti verrà spesso chiesto di generare la chiave premendo de­ter­mi­na­ti tasti sulla tastiera o tramite alcuni movimenti del mouse.

Terzo passaggio: con­di­vi­de­re la chiave pubblica con i propri contatti

La chiave PGP creata può essere gestita su Linux mediante il terminale o con l’aiuto del programma grafico Seahorse (per Gnome/Unity) o KGpg (per KDE). I comandi GnuPG digitati sulla riga di comando, pre­sen­ta­ti in questo tutorial su PGP, per le chiavi private sono ad esempio:

sudo gpg --list-secret-keys
sudo -K

nonché la lista di tutte le chiavi pubbliche generate:

sudo gpg --list-keys
sudo -K

Qui puoi vi­sua­liz­za­re ed esportare di­ret­ta­men­te le chiavi elencate. Il file .asc che ne deriva può essere trasmesso infine ai propri contatti o al server cer­ti­fi­ca­to. Se un contatto ha ricevuto la tua chiave pubblica e dispone di un programma di gestione delle chiavi, può inviarti e-mail crit­to­gra­fa­te che potrai de­crip­ta­re e leggere. Se anche tu desideri inviare e-mail crit­to­gra­fa­te a questo contatto, avrai bisogno della sua chiave pubblica.

Crit­to­gra­fia PGP online

Invece di in­stal­la­re un programma sul proprio sistema operativo, è possibile anche servirsi di strumenti PGP online, per creare coppie di chiavi e criptare o de­crip­ta­re messaggi con PGP. A titolo di esempio ti pre­sen­tia­mo il servizio web PGP Key Generator che consente sia di generare coppie di chiavi che di criptare o de­crip­ta­re messaggi di posta elet­tro­ni­ca.

Lo strumento PGP Key Generator è un programma Ja­va­Script che può essere eseguito nei normali browser web e consente di generare una coppia di chiavi. Il servizio open source è gratuito e di­spo­ni­bi­le senza dover ef­fet­tua­re alcuna iscri­zio­ne.

Il primo passaggio consiste nel compilare il modulo secondo le spe­ci­fi­che de­si­de­ra­te per le chiavi. Facendo clic su “Generate Keys” è possibile avviare la ge­ne­ra­zio­ne di chiavi, dopodiché è possibile vi­sua­liz­za­re le chiavi generate.

Close

Poiché questo provider web è open source, gli esperti e le esperte possono vi­sua­liz­za­re in qualsiasi momento il codice sorgente. In tal modo è possibile ve­ri­fi­ca­re se il ge­ne­ra­to­re è ef­fet­ti­va­men­te sicuro e af­fi­da­bi­le. Come con tutte le ap­pli­ca­zio­ni Java-Script, i criminali possono trovare delle falle di sicurezza nel servizio web e le possono usare per attaccare il sistema ed entrare in possesso di dati sensibili.

Crit­to­gra­fia PGP per servizi di webmail

Chi comunica prin­ci­pal­men­te mediante servizi di webmail come Gmail, Yahoo, GMX o Outlook.com, può usare Mail­ve­lo­pe. Questa si basa su Open PGP.js ed è di­spo­ni­bi­le per Google Chrome, Microsoft Edge e Mozilla Firefox. Non appena in­stal­la­to il com­po­nen­te ag­giun­ti­vo, sulla barra delle ap­pli­ca­zio­ni del browser apparirà l’icona Mail­ve­lo­pe, dalla quale è possibile ri­chia­ma­re l’in­ter­fac­cia utente. Da qui puoi creare, importare e gestire le tue chiavi nonché le chiavi pubbliche degli in­ter­lo­cu­to­ri o caricare le chiavi pubbliche create su un server di chiavi pubbliche.

Close

Dopo aver in­stal­la­to Mail­ve­lo­pe e aver aperto la casella di posta elet­tro­ni­ca nel browser il com­po­nen­te ag­giun­ti­vo la scansiona alla ricerca di messaggi con PGP. In tal modo può mostrare elementi specifici per la crit­to­gra­fia o la de­co­di­fi­ca di un’e-mail. Nelle opzioni è possibile attivare o di­sat­ti­va­re la crit­to­gra­fia PGP per Gmail, Outlook e gli altri servizi.

Crit­to­gra­fia PGP sui di­spo­si­ti­vi mobili

Per poter usare la crit­to­gra­fia PGP sui di­spo­si­ti­vi iOS e Android è ne­ces­sa­rio un client di posta elet­tro­ni­ca in grado di sup­por­ta­re questo tipo di cifratura, nonché un software per la gestione delle chiavi. Abbiamo se­le­zio­na­to un’app per la gestione delle chiavi per iOS e Android, per salvare e gestire la chiave PGP dei propri contatti.

PGPro per iOS

PGPro è un’app iOS mediante la quale è possibile creare, gestire ed esportare chiavi PGP. Questa app è open source e si basa sullo standard openPGP. Inoltre, tutti i messaggi e le chiavi generate vengono salvati solo in locale sul di­spo­si­ti­vo.

Dopo aver in­stal­la­to l’ap­pli­ca­zio­ne dall’App Store di Apple, è possibile generare o importare nuove coppie di chiavi PGP nella scheda “Keychain”. Alle voci “En­cryp­tion” e “De­cryp­tion” è possibile crit­to­gra­fa­re i messaggi con una chiave pubblica o de­crip­tar­li con una chiave privata.

Close

Open­Key­chain: Easy PGP per Android

Per gli utenti Android con­si­glia­mo l’uso di “Openchain: Easy PGP”, un’app open-source e basata sullo standard OpenPGP.

Dopo aver in­stal­la­to l’ap­pli­ca­zio­ne è possibile vedere, importare e gestire alla voce “Keys” chiavi pubbliche e private. Nel menu “Encrypt/Decrypt” è possibile criptare/de­crip­ta­re file e messaggi.

Close

Contenuti criptati e con­nes­sio­ni criptate

Numerosi utenti credono che la co­mu­ni­ca­zio­ne per e-mail con i propri contatti sia già criptata con il solo uso di cer­ti­fi­ca­ti SSL ovvero TLS. Questo però è vero solo in parte, poiché uti­liz­zan­do i cer­ti­fi­ca­ti SSL/TLS, viene co­di­fi­ca­to solamente il percorso di tra­smis­sio­ne dei messaggi elet­tro­ni­ci tra i server di posta. Lo svan­tag­gio è che le notizie possono essere in­ter­cet­ta­te e lette in chiaro da terzi quando vengono caricate sul server.

Inoltre, al contrario di PGP, il pro­to­col­lo SSL/TLS non firma l’e-mail e quindi non ne ga­ran­ti­sce l’au­ten­ti­ci­tà. Infine, i cer­ti­fi­ca­ti SSL/TLS con­sen­to­no lacrit­to­gra­fia delle varie com­po­nen­ti e-mail che restano in chiaro anche con PGP, ad esempio in­for­ma­zio­ni relative al mittente, al de­sti­na­ta­rio o all’oggetto dell’e-mail.

Una com­bi­na­zio­ne di crit­to­gra­fia PGP e SSL/TLS è quindi la soluzione ottimale per pro­teg­ge­re i contenuti delle e-mail. Ulteriori in­for­ma­zio­ni sulla tra­smis­sio­ne criptata sono di­spo­ni­bi­li sulla nostra guida “Come criptare le e-mail con SSL/TLS”.