Come utilizzare OpenPGP per proteggere l'e-mail


Nel 1991, Phil Zimmermann ha creato Pretty Good Privacy (PGP), un programma crittografico che, per la prima volta, ha dato all'individuo medio una crittografia quasi militare. Nel corso degli anni, il codice sorgente di PGP è stato rilasciato e alla fine è nato uno standard aperto, OpenPGP. Ciò ha aperto la strada a una miriade di prodotti open source che continuano a offrire alcune delle migliori crittografie disponibili.

Chi dovrebbe usare OpenPGP

Nel corso della storia di PGP e della crittografia in generale , ci sono stati innumerevoli critici che promuovono la teoria secondo cui solo quelli con qualcosa di nefasto da nascondere hanno qualche motivo per usare una crittografia così forte. In effetti, poco dopo il suo sviluppo iniziale, Zimmermann si è trovato l'obiettivo di un'indagine da parte del governo degli Stati Uniti quando PGP si è fatto strada fuori dagli Stati Uniti, violando le leggi che vietano l'esportazione di una crittografia così potente.

In realtà, ci sono molte ragioni per cui una persona dovrebbe usare la crittografia, specialmente nel contesto della comunicazione digitale. Mentre molte persone considerano l'e-mail come qualcosa di relativamente privato e sicuro, con poche eccezioni, nulla potrebbe essere più lontano dalla verità.

L'e-mail è più simile a una cartolina di una lettera privata e sigillata. Proprio come una cartolina si fa strada attraverso più depositi, uffici postali, camion della posta e mani individuali - con il suo messaggio chiaramente visibile - una e-mail viaggia attraverso una miriade di singoli server in rotta dal mittente al destinatario finale.

Lungo la strada, un operatore di server senza scrupoli poteva visualizzare i contenuti di tali e-mail, senza che il mittente o il destinatario sapessero che la loro privacy era stata compromessa.

In_content_1 all: [ 300x250] / DFP: [640x360]->

Mentre questo è di scarsa preoccupazione quando si condivide un simpatico video per animali domestici o la tua nuova ricetta preferita, la posta in gioco diventa molto più alta quando i membri della sua famiglia discutono di problemi finanziari o problemi di salute, un dirigente che discute una politica aziendale interna, un programmatore che condivide il codice sorgente con un altro sviluppatore o un numero qualsiasi di situazioni legittime in cui è importante essere in grado di comunicare e condividere informazioni, o persino file, in modo sicuro e privato.

È proprio questo tipo di situazioni che rendono OpenPGP uno strumento importante per chiunque sia interessato alla privacy e alla sicurezza.

Come funziona

Alla base, OpenPGP è un sistema di crittografia a chiave pubblica. Questo tipo di crittografia utilizza una coppia di chiavi pubblica / privata per crittografare e decrittografare i dati. Con la crittografia a chiave pubblica, una volta crittografati i dati con una chiave pubblica, solo la chiave privata corrispondente può decrittografarli.

Quando si installa per la prima volta un client OpenPGP, viene richiesto di creare un set di coppie di chiavi e carica la tua chiave pubblica su server chiave, permettendo alle persone di cercarla con il tuo nome o indirizzo email associato.

Inoltre, OpenPGP aiuta le persone a verificare l'autenticità e l'integrità di un messaggio o di un file crittografato grazie alla firma digitale inclusa. Molte società di software includeranno una firma digitale PGP insieme al programma di installazione del loro software che i clienti possono verificare per verificare l'integrità di un download e contribuire a garantire che non sia stato manomesso o compromesso per includere codice dannoso.

Come usarlo

Nonostante il valore di OpenPGP, l'unica cosa che ha ostacolato la sua diffusa adozione è la facilità d'uso. Come molte potenti applicazioni, la sua barriera all'ingresso a volte può essere superiore a quella che molti utenti vogliono gestire.

Mentre ci sono una miriade di client OpenPGP, molto più di quanto lo scopo di questo articolo possa coprire— i passaggi seguenti dovrebbero fornire una guida generale per l'installazione e l'uso di OpenPGP.

Scarica un client

Quando scarichi un client OpenPGP, la prima scelta è decidere se scaricare lo commerciale 1o usa uno dei client open source gratuiti disponibili.

In generale, l'applicazione commerciale offre l'esperienza più snella e raffinata, con opzioni per Mac, Windows e iOS, mentre i client open source aggiungono supporto per Linux e Android, per non parlare dell'essere gratuito.

Crea le chiavi

Il prossimo passo è creare le tue chiavi pubbliche / private . Ti verrà chiesto il tuo nome e indirizzo e-mail, nonché la password per inserire i dati di crittografia e decrittografia.

Mentre ci sono un paio di scelte di algoritmi da utilizzare per la creazione delle chiavi, per la maggior parte delle persone, la scelta dell'algoritmo RSA predefinito sia per la firma che per la crittografia è l'opzione migliore. Maggiore è la chiave, più forte è la crittografia. Al momento della pubblicazione, le chiavi a 2048 bit erano state prese in considerazione o hackerate, sebbene le risorse richieste fossero ben al di là dell'applicazione pratica, rendendo una chiave a 2048 bit ancora utilizzabile per esigenze di sicurezza moderate.

La chiave a 4096 bit è quasi esponenzialmente più forte di 2048 bit, una chiave a 4096 bit è considerata inattaccabile per il prossimo futuro.

Carica la chiave

Dopo aver creato le chiavi, il prossimo passo è caricare la tua chiave pubblica in modo che altri possano trovarla. Una volta caricata la chiave, chiunque disponga di un client OpenPGP sarà in grado di cercare la chiave in base al proprio indirizzo e-mail e utilizzarla per crittografare e-mail e file che solo tu puoi aprire.

Puoi anche inviare e-mail direttamente la tua chiave pubblica per le persone con cui comunichi regolarmente in modo che possano usarla per crittografare file ed e-mail destinati a te.

Integrazione con la tua applicazione e-mail

Poiché la crittografia della posta elettronica è uno degli usi fondamentali per la crittografia OpenPGP, l'integrazione con il programma di posta elettronica scelto è il passaggio successivo. Molti pacchetti, come GPG Suite di GPGTools, installeranno automaticamente un plug-in per i client di posta elettronica più diffusi, tra cui Apple Mail, Microsoft Outlook o Mozilla Thunderbird.

Quando invii un'email a qualcuno di cui possiedi la chiave PGP, il tuo software OpenPGP dovrebbe dare la possibilità di crittografare e / o firmare l'e-mail. Allo stesso modo, quando ricevi un'email crittografata usando la tua chiave pubblica, il software ti chiederà di decrittografare il messaggio.

Senza dubbio, la crittografia OpenPGP è un potente strumento sia per i consumatori che per i professionisti. Sebbene la curva di apprendimento possa essere un po 'più ripida di quella a cui molte persone sono abituate, i vantaggi ne valgono la pena.

Sia che un giornalista lavori in un ambiente pericoloso, un uomo d'affari che discute politiche interne sensibili, sviluppatori che condividono codice o membri della famiglia scambiandosi informazioni private, OpenPGP offre ai propri utenti la tranquillità che deriva dalla crittografia quasi militare.

Post correlati:


24.07.2018