cifrare le mail

10 risposte [Ultimo contenuto]
Ritratto di helicon
helicon
(Guru)
Offline
Guru
Iscritto: 29/11/2013
Messaggi: 589

ciao ragazzi, come criptare le mail? ho cercato in rete ed ho trovato fondamentalmente due metodi, ma avrei ancora qualche dubbio.
premetto che uso thunderbird come client di posta e vorrei continuare ad usarlo.
primo metodo è quello di utilizzare estensioni di thunderbird per criptare la propria casella di posta. non sono andato avanti perchè sono generalmente contro le estensioni dei browser/mail client.
secondo metodo più interessante, quello di utilizzare da terminale direttamente Gnupg dando il comando:

gpg –gen-key

e configurare il tutto da li.

cosa mi consigliate?
perderò usabilità nell'inviare/ricevere mail? se cripto le mie mail non ci sono problemi di lettura per il destinatario giusto? e se ricevo una mail da un mittente che non le cripta? posso criptare solo una delle mie caselle di posta vero?

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

Scusa se puntualizzo, ma il verbo in italiano è "cifrare", non "criptare".

Certo che se cifri le email ci saranno ripercussioni sul destinatario: se non ha la chiave per decifrarle come potrà leggerle?!?

Ritratto di helicon
helicon
(Guru)
Offline
Guru
Iscritto: 29/11/2013
Messaggi: 589

capisco. come detto prima non ho chiarissimo il funzionamento della cifratura mail. quindi come funzionerebbe? come faccio a fornire la password al destinatario? come si fa a mandare mail in maniera sicura allora?

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

Si usa la crittografia asimmetrica: ognuno ha due chiavi, una la rende pubblica, l'altra la tiene privata. Le due chiavi sono "reciproche", nel senso che se cifri un messaggio con una delle due, lo puoi decifrare con l'altra e viceversa.

Se tu vuoi mandare un messaggio a me ed essere sicuro che solo io lo possa leggere, lo cifri con la mia chiave pubblica: solo io posso decifrarlo grazie alla mia chiave privata.

Devi avere la chiave pubblica di tutti i contatti a cui vuoi mandare mail cifrate (e loro devono avere la tua se vuoi che anche la risposta sia cifrata). Una simile collezione di chiavi si chiama keyring e ci sono programmi apposta per gestirla (GNOME ha Seahorse).

Ovviamente resta il problema di come ricevere la chiave pubblica dei tuoi interlocutori. Molti la pubblicano sulla loro home page, se ne hanno una, o la forniscono su richiesta. È anche consuetudine per gli appartenenti alla stessa cerchia scambiarsi le chiavi di persona durante eventi del settore (ad esempio gli sviluppatori Debian usano il "key-signing party" a margine di una DebConf).

Se non usi alcun plugin per il tuo MUA (mail user agent) devi scrivere il messaggio con un editor di testo, cifrarlo usando GPG da riga di comando (indicando la chiave del destinatario) e copiare & incollare il risultato nel corpo della mail: sarà un insieme di caratteri senza senso compreso tra due marcatori così:

-----BEGIN PGP MESSAGE-----
iD8DBQFFxqRFCMEe9B/8oqERAqA2AJ91Tx4RziVz
Y4eR4Ms4MFsKAMqOoQCgg7y6e5AJIRuLUIUikjNW
QIW63QEaAhr
-----END PGP MESSAGE------

Quando ricevi un messaggio cifrato, devi salvarlo in un file di testo, filtrarlo tramite GPG (che lo decifra usando la tua chiave privata) e leggere l'output con un editor di testo.

Come puoi immaginare, la procedura risulta poco agevole: per questo esistono appositi plugin per quasi ogni MUA in circolazione e che si interfacciano con i più diffusi sistemi di gestione dei keyring.

Ritratto di helicon
helicon
(Guru)
Offline
Guru
Iscritto: 29/11/2013
Messaggi: 589

grazie mille sei stato chiarissimo. nessuno dei miei interlocutori usa cifrare le mail e non credo che interessi anche decifrare le mie quindi credo che per me abbia poco senso tutto ciò. rimane quindi un mero esperimento. per thunderbird secondo te va bene l'estensione enigmail? poi se vorrò mandare mail non cifrate, potrò sempre farlo vero?

Ritratto di helicon
helicon
(Guru)
Offline
Guru
Iscritto: 29/11/2013
Messaggi: 589

ho installato enigmail e l'ho testato, sembra funzionante anche se ho qualche dubbio dovo alcuni test.

ho inviato alcuni messaggi cifrati ad un'altra mia casella di posta elettronica. il messaggio veniva agevolmente decifrato (sempre leggendolo da thunderbird) senza che io inviassi la chiave pubblica..cioè arrivava e veniva automaticamente decifrato? è normale tutto ciò? il messaggio quando vado a leggerlo si presenta in una frazione di secondo in maniera cifrata e poi compare "messaggio cifrato da enigmail" ed il testo reale. a questo punto: è enigmail che fa tutto in automatico? io semplicemente quando invio clicco sulla opzione cifra con enigmail e basta, senza allegare la chiave pubblica. è normale?

edit: si funziona. andando a leggere il messaggio dal web(cioè da tiscali) compare cifrato. quindi il destinatario a questo punto dovrebbe fare l'iter che mi hai descitto giusto? e di conseguenza per renderlo capace devo inviargli la mia chiave pubblica, cliccando sull'opzione di enigmail:allega chiave pubblica, a meno che il destinatario non l'abbia già, giusto?

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

Non ho mai usato Enigmail, ma sì, dovrebbe proprio essere come dici tu. Non fa altro che automatizzare le operazioni che ho descritto prima.

Inoltre offre la firma digitale. Questo è un concetto collegato con la cifratura, ma "duale". In pratica tu cifri con la tua chiave privata una copia(*) del messaggio, poi spedisci tutt'e due: il messaggio e la sua copia cifrata. Il destinatario può decifrare la copia cifrata usando la tua chiave pubblica e verificare che l'output e il messaggio in chiaro coincidono. Visto che solo tu hai accesso alla tua chiave privata, è la prova che solo tu puoi aver generato quel messaggio ed è quindi assimilabile a una firma.

(*) in realtà, per ragioni di efficienza, invece che una copia del messaggio si usa un "riassunto" detto hash.

Questo metodo non è limitato alle mail: si può usare anche per firmare messaggi postati in pubblico, sempre che la tua chiave pubblica sia davvero accessibile da tutti. Ecco perché molti la pubblicano sulla loro home page e magari in calce a ogni email ne citano un pezzettino (fingerprint) per maggior sicurezza (in caso la loro home page fosse hackerata).

Ci sarebbe ancora da parlare di fiducia delle chiavi e web of trust... magari nel prossimo post! Wink

Ritratto di helicon
helicon
(Guru)
Offline
Guru
Iscritto: 29/11/2013
Messaggi: 589

capisco :)mi sfugge però una cosa, o anzi avrei un dubbio. quando vado a leggere la mail cifrata, thunderbird mi chiede la password di enigmail e me la cifra. ma il destinatario in realtà non ha la mia password, questo vuol dire dunque che dovrà mettere la sua ed il suo enigmail provvederà alla decifrazione?e io gli ho fornito dunque la chiave pubblica mia via mail, che quindi dovrà scaricare, giusto? la mia paura è che io riesco a decifrare solo perchè la mia stessa chiave pubblica è ovviamente salvata nella mia configurazione di thunderbird/enigma...

Ritratto di helicon
helicon
(Guru)
Offline
Guru
Iscritto: 29/11/2013
Messaggi: 589

i miei dubbi erano fondati: accedendo alla stessa casella di posta, sempre con thunderbird (in realtà icedove ma non cambia nulla) da un'altra partizione dove ho lo stesso client con la stessa casella configurata, mi è impossibile decifrare il messaggio, che dunque riesco a leggere solo da thunderbird della partizione da cui ho inviato.eppure la chiave pubblica l'ho inviata in allegato(file .pgp che non so manco come aprire) e sull'icedove in cui non riesco a leggere in chiaro la mail ho enigmail...

Ritratto di helicon
helicon
(Guru)
Offline
Guru
Iscritto: 29/11/2013
Messaggi: 589

con un po' di prove ho capito tutto, adesso funziona Big Grin

last edit: ho generato un paio di chiavi in più, che ora ho revocato ed in seguito eliminato: devo fare qualcos'altro per provvedere alla loro distruzione?

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

Se non le hai disseminate in giro non è nemmeno necessario revocarle: basta cancellarle da qualsiasi postazione le abbia usate.