Più sicurezza in rete: firma digitale di e-mail

Inviare e-mail con un falso mittente non è più un problema per i criminali cibernetici. Molte aziende non adottano misure di sicurezza aggiuntive quando scambiano con i clienti mail di fatture o altri documenti contenenti informazioni sensibili. Di conseguenza, queste situazioni offrono ai criminali cibernetici infinite possibilità d´azione. Particolarmente pericoloso è il cosiddetto Phishing che negli ultimi anni ha avuto un successo significativo. Con questa pratica i criminali inviano e-mail a nome di aziende o altri presunti mittenti per ottenere dati di accesso o informazioni di pagamento dei destinatari.

Una soluzione di sicurezza comprovata è l’utilizzo di firme digitali. Apponendo una firma digitale alle proprie e-mail, il destinatario può essere sicuro che i contenuti ricevuti non siano stati alterati e che il mittente sia effettivamente chi dice di essere.

La firma digitale non è da confondere con quella che possiamo apporre nei vari programmi di posta elettronica, ossia quella che viene aggiunta di norma sotto il contenuto dell’e-mail (e che il più delle volte coincide con le informazioni di contatto del mittente, come ad esempio nelle lettere commerciali). Secondo la definizione dell’Agenzia per l’Italia Digitale (AgID) si tratta di una generica firma elettronica. La legge distingue fondamentalmente tra tre forme di firme elettroniche:

• Firma elettronica
• Firma elettronica avanzata
• Firma elettronica qualificata

I tipi di firme elettroniche sopra citati si differenziano in base agli standard richiesti dalla destinazione d´uso. Per i casi che richiedono i massimi standard di sicurezza è necessaria la firma elettronica qualificata. Questo tipo di firma soddisfa i requisiti della Direttiva Europea 1999/93/CE, a cui ne sono stati aggiunti altri che prevedono l’utilizzo di un certificato di qualità esclusivo qualificato e di un dispositivo sicuro per la creazione della firma.

Chi vuole firmare in digitale le proprie e-mail ha a disposizione due possibilità: S/MIME e Open PGP. Entrambe funzionano secondo lo stesso principio base, ma utilizzano due formati di dati differenti; solo pochi software supportano contemporaneamente entrambi i formati.

Il principio della creazione una firma digitale sta nella cosiddetta cifratura asimmetrica. In questo caso il mittente possiede due chiavi: una privata e una pubblica. Il programma di posta del mittente avvia automaticamente la crittografia dei contenuti della e-mail e crea una chiave segreta che allega alla mail.

La chiave pubblica viene in genere inviata al destinatario insieme all’allegato oppure tramite una cartella pubblica. Il programma di posta elettronica del destinatario decodifica il messaggio e ne verifica i risultati. Se i risultati coincidono si può allora stare certi che le e-mail sono state firmate con la chiave segreta che si adatta alla chiave pubblica; l’autenticazione è avvenuta e la mail non può più essere manipolata.

Per poter utilizzare firme digitali bisogna aver precedentemente configurato in modo appropriato il proprio client di posta elettronica. Se si è già effettuato questo passaggio, le procedure sopra descritte vengono svolte automaticamente in background. Potete trovare ulteriori informazioni per la configurazione sulla pagina di assistenza di Microsoft Outlook e Mozilla Thunderbird.

Come si assegna una chiave pubblica a un mittente?

Questa procedura è consigliabile solo se anche il destinatario può assegnare in modo inequivocabile la chiave pubblica al mittente. Esiste una CA (abbreviazione di Certification Authority, ovvero l’Autorità Certificativa) che rilascia la chiave solo dopo l’identificazione del mittente e di conseguenza la chiave stessa acquisisce validità solo tramite il certificato della CA. Poiché il sistema di ricezione deve conoscere la chiave per garantire l’autenticità del certificato, deve caricarla e installarla nella CA. Il programma di posta vi accede in seguito automaticamente.

La coppia di chiavi che si utilizza per apporre la firma digitale sulle e-mail deve essere verificata da un’autorità certificativa ufficiale. Quest´ultima verifica e accerta l’identità di chi vi fa richiesta. Ci sono diversi livelli di qualità dei certificati. I certificati possono essere di classe 1, 2 e 3 a seconda dell´accuratezza della verifica d’identità.

• Certificato classe 1: con un certificato di classe 1 il richiedente riceve soltanto una mail di conferma dall’autorità certificativa.

• Certificato di classe 2: con certificati di classe 2 il richiedente deve trasmettere una copia di un documento d’identità valido con foto all’Autorità Certificativa.

• Certificato di classe 3: la classe 3 è la forma d’identificazione più rigida e prevede che il richiedente effettui la richiesta personalmente. È inoltre previsto che il richiedente si presenti fisicamente davanti all’Autorità di Registrazione (RA) al fine di garantire la sua identità.

I certificati descritti sopra vengono di regola emessi per singolo indirizzo e-mail, cioè per un mittente. Per questo motivo all´interno di un´azienda ci sarebbe teoricamente bisogno di un certificato diverso per ogni individuo.

Una particolarità sono le certificazioni gateway e/o di dominio. Questo tipo di certificato infatti è valido per tutti gli indirizzi e-mail all’interno di uno stesso dominio (@nomeazienda.it). Il problema è che nonostante l’utilizzo di certificazioni gateway sia standardizzato a livello internazionale, alcuni client non sempre le possono elaborare. Con Outlook Express, per esempio, non è possibile né l’invio né la ricezione di e-mail con certificazioni gateway. Con Microsoft Outlook, invece, al momento della ricezione la certificazione viene dichiarata non valida e viene emesso un messaggio di errore.

Le cosiddette certificazioni per team vengono emesse per indirizzi e-mail che non sono gestiti da persone singole, come ad esempio info@nomeazienda.it o lavoraconnoi@nomezienda.it. In questo caso non ci sono problemi di ricezione e invio, poiché da un punto di vista tecnico vengono forniti gli stessi requisiti. La differenza risiede solo nella gestione tramite l’autorità certificativa.

Affinché i presupposti sopra citati siano efficaci, una firma deve soddisfare determinate condizioni. La maggior parte dei programmi, Outlook compreso, verificano automaticamente questi requisiti al momento dell’invio e della ricezione di una mail e forniscono un feedback nei casi in cui non siano soddisfatti e non sia pertanto assicurata l’integrità della firma.

Poiché una firma digitale è sempre associata ad un certificato, bisogna assicurarsi che ne esista uno aggiornato e valido. Deve inoltre essere emesso da un’autorità certificativa affidabile. In Italia la legge sulla firma digitale è regolata dall’AgID che gestisce i requisiti dell’autorità certificativa e l’emissione di certificati. L’Agenzia per l’Italia Digitale lavora alla realizzazione degli obiettivi dell’Agenda digitale italiana e contribuisce alla diffusione delle più moderne tecnologie d’informazione e di comunicazione. A questo link trovate una lista dei certificatori di firma digitale accreditati in Italia.

Le firme digitali vengono spesso utilizzate in combinazione con crittografie e-mail, anche se le une sono indipendenti dalle altre. Firmare digitalmente una e-mail significa anche autenticare la paternità della firma. L’e-mail è pertanto protetta da ogni tentativo di manipolazione esterna anche se nel suo viaggio fino al destinatario può essere letta da terzi. La differenza risiede però nel fatto che il contenuto non è più modificabile. Possiamo paragonarla ad una cartolina chiusa in una busta trasparente: leggibile ma non modificabile.

Quando crittografiamo un´email invece, possiamo pensarla come una cartolina inserita in una busta opaca. Il contenuto è sigillato e solo la persona che possiede la chiave adatta può aprire la busta. La privacy della comunicazione viene quindi completamente garantita mentre il messaggio è in viaggio. In questo articolo trovate ulteriori informazioni sulla crittografia delle e-mail con PGP.