Crittografia delle e-mail: come il PGP protegge il contenuto delle vostre e-mail

Anche se oggigiorno una parte considerevole della comunicazione su Internet avviene tramite messaggi brevi sui Social Network e messaggistica istantanea, l’e-mail riveste comunque un’importanza fondamentale. Soprattutto quando si tratta di informazioni sensibili, come dati di un contratto, coordinate bancarie ecc., vengono di solito utilizzate le e-mail invece delle chat. In molte aziende lo scambio di messaggi tramite e-mail è all’ordine del giorno. Ancora più importante è proteggere queste informazioni evitando che i contenuti delle e-mail inviate possano essere letti. Specialmente i criminali, che vogliono spiare i dati sensibili degli utenti, ma anche i servizi segreti alla ricerca di informazioni utili, possono approfittare delle e-mail in chiaro. Affinché nessuno riesca a leggere il contenuto delle vostre e-mail, dovreste crittografarle.

Crittografia PGP: proteggere la sfera privata con coppie di chiavi

La cosiddetta crittografia PGP offre un’eccellente protezione del contenuto delle vostre e-mail. Il termine PGP è un’abbreviazione di “Pretty Good Privacy”, nome utilizzato per un software sviluppato da Phil Zimmermann nel 1991 per la crittografia delle e-mail. Con il passare degli anni il nome è passato a indicare più in generale il metodo di crittografia utilizzato da questo software.

La crittografia PGP si basa su un procedimento a chiave pubblica in cui viene utilizzata una coppia di chiavi, una pubblica e una privata, assegnata in modo permanente. La chiave pubblica viene resa disponibile per potenziali contatti e-mail comunicandola direttamente o caricandola sul keyserver. Con l’aiuto di queste chiavi i vostri contatti cifrano tutti i messaggi di posta elettronica che gli inviate. La chiave privata è esclusivamente in vostro possesso e viene anche protetta da una password. Sempre grazie ad esse decifrate la posta ricevuta, precedentemente codificata con chiave pubblica. Per comunicare in modo sicuro, anche il vostro partner di comunicazione deve utilizzare i PGP e comunicarvi la sua chiave pubblica. Il procedimento a chiave pubblica viene definito anche procedimento asimmetrico, in quanto entrambe le parti utilizzano chiavi diverse. Grazie alle firme elettroniche garantite inoltre l’autenticità dei vostri messaggi.

Crittografia e-mail PGP: solo roba da esperti?

Proteggere i propri messaggi con i PGP, sembra a prima vista un’impresa difficile: innanzitutto è necessario procurarsi un software PGP gratuito o a pagamento (anche se i costi sono piuttosto contenuti) e installarlo. Durante l’installazione la coppia di chiavi viene creata automaticamente, ma il resto è di responsabilità dell’utente: la chiave privata viene archiviata sul proprio sistema, mentre quella pubblica viene caricata su un server esterno, per esempio sul proprio server, o inoltrata direttamente per e-mail ai contatti amici. Questo però non basta, in quanto i contatti coinvolti devono ricorrere ugualmente alla crittografia PGP e farvi pervenire la loro chiave pubblica. Soltanto voi siete obbligati a verificare l’affidabilità delle chiaviricevute e a gestirle, ma in questo modo siete davvero certi che le vostre e-mail siano cifrate con PGP.

I passi necessari alla configurazione sono relativamente semplici. Per rendere le e-mail sicure anche a un pubblico più ampio, negli ultimi anni sono stati sviluppati plug-in come OutlookPrivacyPlugin o Mailvelope che si integrano in client di posta elettronica comuni e supportano l’utente nella fase di configurazione. Oggi sono molti i servizi di posta elettronica che riconoscono l’importanza dell’invio di e-mail criptate e, per questo, collegano il loro servizio con plug-in PGP e procedure guidate di auto installazione. Pertanto è possibile configurare una cifratura PGP in modo di gran lunga più semplice rispetto al passato. Anche memorizzare le chiavi pubbliche in una banca dati del fornitore è un servizio piuttosto utilizzato.

Come realizzare la crittografia PGP per la vostra comunicazione

Oggi molti fornitori di servizi e-mail offrono pacchetti già pronti per la configurazione della crittografia PGP e vi forniscono di solito anche istruzioni facili da seguire, che vi supportano in questa fase. Qualora non fosse questo il caso, dovreste prendere in mano la situazione e svolgere tutti i procedimenti precedentemente citati. Per questo motivo il seguente tutorial di PGP spiega più dettagliatamente l’approccio nella configurazione della crittografia.

Passo 1: scegliere e installare il software PGP adatto

Come prima cosa c’è la ricerca del software PGP più adatto, che deve essere compatibile sia con il sistema operativo sia con il programma di posta elettronica utilizzati. I sostenitori di Linux fanno una buona scelta con la soluzione open source GnuPG (GNU Privacy Guard), già rilasciata nel 1997. Il software funziona quasi con tutte le distribuzione GNU/Linux e consente la crittografia secondo lo standard OpenPGP con tutti i più importanti programmi di posta elettronica come Evolution, Kmail o Thunderbird. La versione un po’ più datata 1.4 è preinstallata su molti sistemi in modo standard; la versione più recente invece potete scaricarla sul sito ufficiale.

Gli utenti di Windows o dei sistemi operativi OS X trovano anche file binari, con i quali possono installare i programmi specifici per questi sistemi, come Gpg4win e Mac GPG, che si basano su GnuPG

Passo 2: generare le coppie di chiavi

Se è stato installato un programma PGP, è possibile generare una coppia di chiavi. Se utilizzate Linux potete aprire la riga di comando e utilizzare la rispettiva istruzione che potete ricavare dal manuale del programma utilizzato. La riga di comando di GnuPG è:

sudo gpg --gen-key

Dopo scegliete il tipo di crittografia, avendo cura di evitare l’impostazione standard (“RSA e RSA”), se possedete le giuste conoscenze. Infine inserite la lunghezza della chiave in bit. Quanto più alto è il valore, tanto più sicure sono le chiavi e tanto più lentamente funzionano. In presenza di chiavi RSA gli esperti di sicurezza consigliano una lunghezza di 4096 bit. In seguito è necessario specificare il periodo di validità delle chiavi e, infine, il comando, il nome e l’indirizzo e-mail per cui dovrebbe valere la coppia di chiavi. Per concludere, confermate la correttezza dei dati e definite la passphrase per le vostre chiavi private. Di quest’ultime ne avrete bisogno in seguito, per cifrare e decodificare i vostri messaggi elettronici.  

Con Windows e Mac OS X cominciate la creazione di chiavi su programmi grafici. Indipendentemente dal software PGP e dalla piattaforma, vi verrà spesso richiesto di intraprendere la generazione di chiavi, digitando sulla tastiera o muovendo il mouse.

Passo 3: condividere la chiave pubblica con i contatti

Con Linux potete gestire le chiavi generate o tramite terminale o con l’aiuto di un programmo grafico come Seahorse (per Gnome/Unity) o KGpg (per KDE). Le righe di comando presentate in questo tutorial e adatte a GnuPG sono per le chiavi private

sudo gpg --list-secret-keys
sudo -K

e

sudo gpg --list-keys
sudo -K

per ricevere un elenco di tutte le chiavi pubbliche create. Qui potete non solo vedere le chiavi elencate, ma anche esportarle direttamente. In questo modo create un file .asc, che può essere inviato contestualmente per e-mail (come allegato) ai contatti desiderati, caricati su un server certificato o trasmessi tramite chiavetta USB. Se un contatto ha ricevuto la vostra chiave pubblica e possiede anche un programma per la gestione di chiavi, può inviarvi messaggi criptati, che decodificate con una chiave privata corrispondente inclusiva di passphrase. Se volete far pervenire a questo contatto delle e-mail criptate, avete bisogno di nuovo della relativa chiave pubblica.

Codifica e decodifica di PGP online

Invece di programmi che installate sul vostro sistema, potete anche ricorrere a strumenti di PGP online, per generare coppie di chiavi o per crittografare i vostri messaggi di posta elettronica o decodificare le e-mail ricevute. A titolo esemplificativo vi forniamo in questa sede un’introduzione al servizio web PGP Key Generator e allo strumento di crittografia online sela.

PGP Key Generator

Lo strumento web PGP Key Generator è un programma JavaScript che può essere eseguito sui comuni browser e consente la generazione di una coppia di chiavi. Potete utilizzare il servizio open source in modo gratuito e senza registrazione. Nel primo passaggio inserite semplicemente alla voce “opzioni” del modulo le specifiche desiderate per le chiavi: il vostro nome, l’indirizzo di posta elettronica, l’algoritmo di crittografia desiderato (RSA/ECC), la lunghezza della chiave (fino a 4096 bit), il periodo di validità (fino a otto anni) nonché una passphrase. Cliccando su “generate keys” cominciate la generazione di chiavi, che richiede del tempo. Se il procedimento viene concluso, vedete la chiave pubblica nonché la chiave privata nell’omonima finestra. Tramite il rispettivo pulsante di download li scaricate entrambi nel formato .asc.

Sia l’inserimento di dati sia la generazione della coppia di chiavi avvengono lato client, cioè sul browser, tramite connessione TLS. Questo tool utilizza  un certificato TLS, verificato tramite Amazon. I responsabili del servizio web non memorizzano né i loro stessi dati o l’indirizzo e-mail né le chiavi generate sui propri server (Amazon S3 e CloudFront). Solo Google Analytics registra le informazioni, fondamentalmente per motivi riguardanti l’analisi web. Come per tutte le altre applicazioni JavaScript, i criminali possono tuttavia trovare delle vulnerabilità in PGP Key Generator, tramite le quali lanciano attacchi al vostro sistema e accedono a informazioni sensibili (come la chiave appena generata inclusiva di passphrase).

sela: semplice crittografia PGP online

Il servizio web sela vi offre la possibilità di codificare e decodificare e-mail online. Avete soltanto bisogno della relativa chiave nonché della passphrase (per la decodifica). Se volete codificare un messaggio, inserite la chiave pubblica del vostro contatto nonché il contenuto e-mail nel relativo campo e cliccate su “encrypt message”. Riceverete un’impronta della chiave pubblica, che potete copiare semplicemente tramite copia e incolla.

Codifica PGP per servizi e-mail: l’estensione browser Mailvelope

Chi comunica preferibilmente tramite servizi mail come Gmail, Yahoo, Outlook, optando per Mailvelope non potrà che fare la scelta giusta. Questo componente aggiuntivo si basa su OpenPGP.js, un’implementazione JavaScript dello standard OpenPGP, ed è disponibile sia per Google Chrome sia per Firefox: sul sito di Mailvelope trovate i relativi link per scaricare le diverse estensioni. Dopo aver installato l’estensione, nella barra degli strumenti del vostro browser appare l’icona di Mailvelope, tramite la quale potete visualizzare l’interfaccia utente. Inoltre tramite questa icona potrete creare, importare e gestire le vostre chiavi nonché le chiavi pubbliche del vostro interlocutore o anche caricare le chiavi pubbliche generate su un server di chiavi pubblico.

Quando avrete installato Mailvelope e avrete visualizzato nel browser la vostra webmail, il componente aggiuntivoscansiona i messaggi PGP. In questo modo può visualizzare elementi specifici per la codifica e la decodifica, purché sia disponibile una relativa e-mail. Nelle opzioni potete attivare e disattivare la cifratura PGP per Gmail, Outlook e Co.: selezionate semplicemente il relativo servizio dalla lista dei fornitori e-mail supportati e impostate lo status su off/on.  Mailvelope è attivato in modo standard per tutti i servizi elencati.

Come utilizzare la chiave PGP sul vostro dispositivo Android

Per utilizzare la cifratura PGP su dispositivi Android, avete bisogno di un client per le e-mail, che supporti questo tipo di cifratura, e un software di gestione di chiavi. Due applicazioni si sono rivelate particolarmente utili: il programma per e-mail gratuito Squeaky Mail e l’applicazione a pagamento PGP KeyRing, disponibile anche comeversione di prova (limitato a una chiave privata e due pubbliche).

Per prima cosa installate Squeaky Mail e, con l’aiuto della procedura guidata, create una casella di posta con il vostro indirizzo e-mail. Poi potete importare la vostra coppia di chiavi con PGP KeyRing e condividere la chiave pubblica con i vostri contatti. Se questi vi inviano un’e-mail cifrata, Squeaky Mail interroga la vostra passphrase e mostra prima il contenuto dell’e-mail, se avete inserito quest’ultima in modo corretto. Affinché possiate inviare messaggi cifrati, importate anche le chiavi pubbliche dei vostri contatti. Adesso potete spuntare la voce “encrypt” al momento dell’invio e selezionare la rispettiva chiave.

Contenuti cifranti vs. connessioni cifrate

Molti utenti credono che utilizzando certificati SSL/TSL si scambiano e-mail protette: questo però è vero soltanto in parte. Con i certificati SSL/TSL viene codificato soltanto l’invio delle e-mail: lo svantaggio è che questi possono essere intercettati da terzi e i testi in chiaro delle e-mail possono essere letti. D’altra parte i certificati SSL/TSL permettono anche la cifratura di parti di e-mail, per esempio le informazioni sul mittente, il destinatario o l’oggetto, che restano indecifrati grazie ai PGP. Una combinazione di cifratura PGP e cifratura SSL/TSL rappresenta in pratica la soluzione ottimale per proteggere i contenuti delle vostre e-mail. Altre informazioni sull’invio criptato sono disponibili nel nostro articolo su questo tema.


Un momento! Prima di lasciarci scopri
la nostra offerta per il rientro dalle ferie:
dominio .it a 1 € per il primo anno!

Primo anno a 1 € IVA escl.,
poi 10 €/anno IVA escl.

Inserisci il dominio desiderato nella barra di ricerca per verificarne la disponibilità.