Con S/MIME è possibile crit­to­gra­fa­re le e-mail in modo che solo il de­sti­na­ta­rio previsto possa leggerle. Si utilizza la chiave pubblica del de­sti­na­ta­rio per crit­to­gra­fa­re il messaggio. Con la chiave privata cor­ri­spon­den­te è possibile de­ci­frar­lo. I cer­ti­fi­ca­ti S/MIME possono essere fa­cil­men­te importati nei client di posta.

S/MIME: che cos’è?

Nella specifica RFC 1847 del 1995 sono state descritte due esten­sio­ni di sicurezza per lo standard MIME (Mul­ti­pur­po­se Internet Mail Extension): il formato multipart/signed per la firma dei messaggi e il formato multipart/encrypted per la crit­to­gra­fia. Quattro anni dopo la IETF (Internet En­gi­nee­ring Task Force) ha pub­bli­ca­to una nuova esten­sio­ne di MIME, chiamata S/MIME e descritta in RFC 2633. Si tratta di uno standard che supporta il formato di firma già citato, mentre per la crit­to­gra­fia utilizza la propria soluzione ap­pli­ca­tion/pkcs-mime. Nel caso di un messaggio S/MIME è a tua di­scre­zio­ne se firmarlo, crit­to­gra­far­lo o compiere entrambe le ope­ra­zio­ni.

La crit­to­gra­fia e la firma digitale S/MIME sono possibili con tutti i più popolari client di posta elet­tro­ni­ca, come ad esempio Microsoft Outlook, Thun­der­bird o Apple Mail. Una nota al­ter­na­ti­va che supporta sia multipart/signed che multipart/encrypted è lo standard del 2007 OpenPGP.

Posta elet­tro­ni­ca sicura per la tua privacy digitale
  • Pro­te­zio­ne pro­fes­sio­na­le dei dati e della sicurezza
  • E-mail crit­to­gra­fa­ta con cer­ti­fi­ca­to SSL/TLS
  • Massima pro­te­zio­ne dai virus grazie a firewall e filtri antispam
  • Backup gior­na­lie­ri

Crit­to­gra­fia e firma digitale S/MIME: come fun­zio­na­no

S/MIME si basa su un metodo di crit­to­gra­fia asim­me­tri­ca e dunque utilizza due chiavi, una pubblica (public key) e una privata (private key). Mentre la prima è condivisa con tutti i contatti di posta elet­tro­ni­ca, la seconda è nota solo all’utente. È quindi ne­ces­sa­rio sia inviare messaggi cifrati in com­bi­na­zio­ne con la chiave pubblica del de­sti­na­ta­rio sia de­co­di­fi­ca­re i messaggi ricevuti. At­tra­ver­so un cer­ti­fi­ca­to S/MIME, di­spo­ni­bi­le presso diversi provider, il client di posta elet­tro­ni­ca è in grado di generare e scambiare chiavi.

Affinché la crit­to­gra­fia di un’e-mail funzioni, ogni messaggio S/MIME è preceduto da un’in­te­sta­zio­ne (header) che fornisce al client de­sti­na­ta­rio le in­for­ma­zio­ni ne­ces­sa­rie per la com­pren­sio­ne e l’ela­bo­ra­zio­ne del contenuto. Sono qui spe­ci­fi­ca­ti il tipo di contenuto (ad esempio “enveloped data” per dati cifrati), il nome del file cor­ri­spon­den­te (ad esempio smime.p7m per dati cifrati o firmati) o il modulo di modifica. L’in­te­sta­zio­ne di un’e-mail cifrata può avere ad esempio questo aspetto:

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

La firma S/MIME, che si può inserire au­to­ma­ti­ca­men­te in un’e-mail al momento della com­po­si­zio­ne, è utile per diverse ragioni. In primo luogo, trasmette la chiave pubblica al de­sti­na­ta­rio o alla de­sti­na­ta­ria per una co­mu­ni­ca­zio­ne sicura, in modo che possa a sua volta inviare messaggi dal contenuto cifrato. Inoltre, dimostra l’identità del mittente, vale a dire che l’e-mail proviene proprio da te. A dif­fe­ren­za di PGP, la sola aggiunta di una firma non crea caratteri cifrati. Se il client de­sti­na­ta­rio rileva in­con­gruen­ze nella verifica della firma, l’au­ten­ti­ci­tà del messaggio non viene con­fer­ma­ta: questo consente all’utente di capire che i dati sono stati manomessi.

N.B.

Se decidi di non uti­liz­za­re la firma digitale, puoi tra­smet­te­re la chiave pubblica anche in altri modi: pub­bli­can­do­la su un key server o sul tuo sito web, o sal­van­do­la come file in un supporto di memoria esterna.

Come ottenere un cer­ti­fi­ca­to S/MIME per la propria cor­ri­spon­den­za e-mail

Come già men­zio­na­to, per uti­liz­za­re S/MIME è richiesto un cer­ti­fi­ca­to digitale (X.509). In linea di principio è possibile crearne uno au­to­no­ma­men­te, a con­di­zio­ne di essere già in possesso di un cer­ti­fi­ca­to root. Inoltre, prima che avvenga la con­di­vi­sio­ne della chiave, è ne­ces­sa­rio che tutti i contatti importino il cer­ti­fi­ca­to root. La soluzione più semplice è quella di acquisire un cer­ti­fi­ca­to da un’autorità cer­ti­fi­ca­ti­va ufficiale, presso cui sono in genere di­spo­ni­bi­li soluzioni a pagamento o gratuite. È tipica la clas­si­fi­ca­zio­ne dei cer­ti­fi­ca­ti esistenti in tre categorie:

  1. Classe 1: il cer­ti­fi­ca­to ga­ran­ti­sce l’au­ten­ti­ci­tà dell’indirizzo di posta elet­tro­ni­ca.
  2. Classe 2: il cer­ti­fi­ca­to ga­ran­ti­sce l’au­ten­ti­ci­tà dell’indirizzo di posta elet­tro­ni­ca, dell’identità dell’utente e dell’esistenza dell’azienda, dove ne­ces­sa­rio. Le in­for­ma­zio­ni sono ve­ri­fi­ca­te tramite database terzi o documenti di identità.
  3. Classe 3: a dif­fe­ren­za della classe 2, l’identità dell’utente è ve­ri­fi­ca­ta di persona.

Se desideri cifrare le tue e-mail con S/MIME e sei alla ricerca di un cer­ti­fi­ca­to, non di­men­ti­car­ti mai della sua funzione prin­ci­pa­le: pro­teg­ge­re la cor­ri­spon­den­za e-mail impedendo l’in­ter­cet­ta­zio­ne e la ma­ni­po­la­zio­ne dei messaggi. Per questo motivo l’af­fi­da­bi­li­tà e la serietà del fornitore sono elementi di estrema im­por­tan­za.

Un servizio che vale la pena di rac­co­man­da­re è ad esempio Sectigo (ex Comodo), i cui cer­ti­fi­ca­ti sono con­si­de­ra­ti af­fi­da­bi­li dal 99 per cento dei client di posta elet­tro­ni­ca, secondo quanto riportato sul sito della stessa azienda. L’autorità cer­ti­fi­ca­ti­va, co­no­sciu­ta so­prat­tut­to per i cer­ti­fi­ca­ti SSL di alta qualità, offre cer­ti­fi­ca­ti per uso privato (a partire da 23 euro all’anno), con i quali è possibile im­ple­men­ta­re una cifratura sicura delle e-mail end-to-end con S/MIME.

Aumenta la pro­dut­ti­vi­tà con il ge­ne­ra­to­re di e-mail IA
  • Genera testi adatti ai tuoi in­ter­lo­cu­to­ri
  • Velocizza la lettura rias­su­men­do le e-mail
  • Traduci le tue e-mail in ben 7 lingue diverse

Come in­stal­la­re S/MIME nel proprio programma di posta elet­tro­ni­ca

Per integrare questo di­spo­si­ti­vo di sicurezza nel tuo client di posta, hai ov­via­men­te bisogno di un cer­ti­fi­ca­to S/MIME. La ricerca di un fornitore è pertanto il primo passo verso una casella di posta sicura, cui seguono la creazione e l’in­stal­la­zio­ne del cer­ti­fi­ca­to per­so­na­liz­za­to. Sotto questo aspetto le procedure dei vari provider sono tutte ab­ba­stan­za simili. Dopo l’in­stal­la­zio­ne puoi procedere con la con­fi­gu­ra­zio­ne del tuo software di posta elet­tro­ni­ca in modo che utilizzi S/MIME e acceda al cer­ti­fi­ca­to integrato. Ge­ne­ral­men­te il setup è completo dopo il riavvio del client, al termine del quale vengono attivate funzioni spe­ci­fi­che per la crit­to­gra­fia au­to­ma­ti­ca o manuale e per la firma digitale dei messaggi.

Di seguito troverai istru­zio­ni det­ta­glia­te per in­stal­la­re S/MIME con i sistemi desktop di Windows, macOS e con quelli mobili di iOS e Android.

Come in­stal­la­re S/MIME su Windows

Se desideri uti­liz­za­re S/MIME con un PC Windows, ma non intendi investire dei soldi nel pacchetto Office, puoi ricorrere a Thun­der­bird, una soluzione gratuita offerta da Mozilla, a cui si deve anche il browser Firefox. Se non hai ancora in­stal­la­to il client e creato un account, è questo il momento di farlo. Prosegui quindi in questo modo per attivare la crit­to­gra­fia S/MIME e la firma digitale:

  1. Dopo aver ottenuto il tuo cer­ti­fi­ca­to da un fornitore di tua scelta, inizia avviando Thun­der­bird e apri le Im­po­sta­zio­ni. Nel menu “Privacy e sicurezza” troverai la voce “Cer­ti­fi­ca­ti”. Clicca sul pulsante “Gestisci cer­ti­fi­ca­ti…”.
Immagine: Impostazioni di privacy e sicurezza in Thunderbird
At­tra­ver­so le im­po­sta­zio­ni “Privacy e sicurezza”, puoi accedere alle im­po­sta­zio­ni dei cer­ti­fi­ca­ti cliccando su “Gestisci cer­ti­fi­ca­ti”.
  1. Accedi al menu di gestione dei cer­ti­fi­ca­ti. Qui seleziona la scheda “I tuoi cer­ti­fi­ca­ti” e importa il cer­ti­fi­ca­to ricevuto e salvato dal tuo fornitore cliccando su “Importa” e se­le­zio­nan­do­lo. Suc­ces­si­va­men­te, inserisci la password che hai ricevuto dal fornitore per com­ple­ta­re il processo.
Immagine: Importare il certificato su Thunderbird
Fai clic sul pulsante “Importa” per se­le­zio­na­re il cer­ti­fi­ca­to S/MIME del tuo utente.
  1. Naviga ora nelle im­po­sta­zio­ni dell’account dell’e-mail per cui desideri con­fi­gu­ra­re la crit­to­gra­fia. Clicca sulla voce di menu “Crit­to­gra­fia end-to-end”. Qui troverai una voce su S/MIME e potrai se­le­zio­na­re il cer­ti­fi­ca­to appena importato per firmare e crit­to­gra­fa­re le tue e-mail cliccando sul pulsante “Seleziona”.
Immagine: Selezione del certificato su Thunderbird
Nelle im­po­sta­zio­ni del tuo account, puoi cliccare sul pulsante “Seleziona” per impostare il cer­ti­fi­ca­to S/MIME appena importato per crit­to­gra­fia e firma.
  1. Suc­ces­si­va­men­te, quando scrivi un’e-mail, puoi se­le­zio­na­re o de­se­le­zio­na­re i pro­ce­di­men­ti in­di­vi­dual­men­te tramite il tasto S/MIME nella barra degli strumenti e decidere anche se uti­liz­za­re S/MIME per la crit­to­gra­fia, la firma o entrambe:
Immagine: Attivazione della crittografia su Thunderbird
Quando scrivi un’e-mail, puoi ora attivare o di­sat­ti­va­re la crit­to­gra­fia e la firma con un clic su “S/MIME”.

In­di­pen­den­te­men­te dal fatto che la crit­to­gra­fia e la firma su Thun­der­bird vengano aggiunte ma­nual­men­te o au­to­ma­ti­ca­men­te, dovresti ricordare che l’oggetto rimane comunque leggibile.

Come funziona S/MIME su macOS e iOS

I di­spo­si­ti­vi Apple hanno un proprio client di posta elet­tro­ni­ca integrato, chiamato “Mail”. A dif­fe­ren­za dei software standard di Microsoft, esso consente sin dall’inizio la crit­to­gra­fia e la firma digitale delle e-mail con S/MIME. Se sei in possesso di un account di posta elet­tro­ni­ca, puoi creare un cer­ti­fi­ca­to con il tuo fornitore senza in­stal­la­re alcun programma ulteriore. La procedura è la stessa di Windows: apri la pagina del fornitore e il cer­ti­fi­ca­to viene creato in base ai tuoi dati personali. Procedi quindi con l’in­stal­la­zio­ne del cer­ti­fi­ca­to e la con­fi­gu­ra­zio­ne della crit­to­gra­fia S/MIME:

  1. Apri l’e-mail che hai ricevuto dal tuo fornitore e scarica il cer­ti­fi­ca­to in una cartella a tuo pia­ci­men­to. Su macOS si può aprire il file ottenuto di­ret­ta­men­te con un doppio clic e ag­giun­ge­re all’Accesso Por­ta­chia­vi. Se desideri uti­liz­za­re S/MIME anche sul tuo iPhone o iPad, puoi inviarlo tramite e-mail al tuo di­spo­si­ti­vo mobile.
  2. Una volta in­stal­la­to il cer­ti­fi­ca­to, è suf­fi­cien­te avviare o riavviare Apple Mail per integrare la crit­to­gra­fia e la firma digitale.
  3. Per testare S/MIME, invia un’e-mail crit­to­gra­fa­ta e firmata. Apri Apple Mail e crea un nuovo messaggio. Nel campo “Da”, seleziona l’account e-mail per il quale è ar­chi­via­to un cer­ti­fi­ca­to S/MIME nel por­ta­chia­vi. Nell’in­te­sta­zio­ne dell’e-mail compaiono ora due simboli: un segno di spunta per la firma e un lucchetto per la crit­to­gra­fia.

Come con­fi­gu­ra­re S/MIME su un di­spo­si­ti­vo Android

Come Windows, anche Android non ha un proprio client con S/MIME integrato. Esistono tuttavia alcune ap­pli­ca­zio­ni che lo sup­por­ta­no e che possono essere scaricate da Google Play Store. Tra le soluzioni gratuite è presente l’ap­pli­ca­zio­ne open source FairEmail (a pagamento nella versione pro senza pub­bli­ci­tà). In maniera analoga all’im­po­sta­zio­ne della crit­to­gra­fia S/MIME e della firma con Windows e macOS, è ne­ces­sa­rio prima di tutto un cer­ti­fi­ca­to valido che puoi generare nel modo già descritto. I passi suc­ces­si­vi sono i seguenti:

  1. Per importare il cer­ti­fi­ca­to generato, apri in­nan­zi­tut­to il menu “Crit­to­gra­fia” nelle im­po­sta­zio­ni dell’app. Scorri fino al punto “S/MIME” e premi su “Importa chiave privata”.
Immagine: FairEmail: importa chiavi
Puoi uti­liz­za­re FairEmail non solo per l’im­por­ta­zio­ne di cer­ti­fi­ca­ti S/MIME, ma anche per l’im­por­ta­zio­ne di chiavi PGP.
  1. Nel medesimo menu, specifica quale algoritmo di firma e di crit­to­gra­fia devono essere uti­liz­za­ti. Suc­ces­si­va­men­te, puoi stabilire nella parte superiore del menu di crit­to­gra­fia (“Generale”) quando i tuoi messaggi devono essere crit­to­gra­fa­ti, ad esempio per im­po­sta­zio­ne pre­de­fi­ni­ta o in risposta a un messaggio crit­to­gra­fa­to ricevuto.
Immagine: FairEmail: impostazioni di crittografia
Se hai importato diverse chiavi di firma, hai la pos­si­bi­li­tà di definirne l’utilizzo.
  1. Quando ora scrivi messaggi, la crit­to­gra­fia e la firma vengono aggiunte au­to­ma­ti­ca­men­te, se hai scelto questa opzione nel passaggio pre­ce­den­te. In caso contrario, puoi uti­liz­za­re i pulsanti alla fine della finestra del messaggio per attivare i mec­ca­ni­smi di pro­te­zio­ne.
Vai al menu prin­ci­pa­le