Come crittografare e proteggere le e-mail

Published by on aprile 16, 2018 in VPN e Privacy

wrens operating the colossus

L’e-mail è una delle prime forme di comunicazione che sono state utilizzate su Internet. Se state leggendo questo articolo sicuramente possedete almeno un indirizzo e-mail. Molte persone hanno decretato che prima o poi questo strumento scomparirà, ma ad oggi rimane il mezzo di comunicazione universale più efficace che abbiamo a disposizione. Uno dei problemi principali di questo caposaldo della comunicazione elettronica è che non è privato. Infatti, la maggior parte dei servizi e-mail non forniscono, di default, la possibilità di crittografare né il messaggio né gli allegati. Questo comporta che le e-mail possano essere lette da hacker, curiosi e ladri di informazioni.

Volete crittografare le e-mail? Iniziamo col dire che, la crittografia di un’e-mail non è un processo semplice da effettuare, nonostante esistano molte app ed estensioni del browser che possono aiutarci. Non serve una laurea in crittografia ma bisogna essere un minimo esperti del mondo informatico. Inoltre in realtà non è necessario crittografare ogni singola e-mail che inviamo e non sarebbe neanche una buona idea farlo, dato che la maggior parte dei destinatari non saprebbe neanche come decifrarla. Ma crittografare una e-mail diventa davvero importante quando vogliamo inviare o ricevere in modo sicuro materiale e informazioni sensibili. I giornalisti usano questo sistema per comunicare con i loro informatori, le aziende per parlare di segreti aziendali o per l’invio di documenti riservati. Gli avvocati, invece, lo utilizzano per far sì che le comunicazioni con i clienti siano riservate. Crediamo di aver reso l’idea insomma. Siamo dell’avviso che è importante disporre di uno strumento per la crittografia delle e-mail ma che questo vada usato solo quando è strettamente necessario e non per le normali comunicazioni quotidiane.

A breve spiegheremo come crittografare le e-mail, prima però rivediamo alcuni semplici principi su come renderle più sicure.

Consigli per rendere le e-mail più sicure

Il 90% dei virus che attaccano i nostri computer provengono dagli allegati e-mail e non esiste crittografia che possa proteggervi, se non prestate attenzione. Alla luce di ciò è fondamentale effettuare sempre la scansione di tutti gli allegati, soprattutto se provengono da mittenti sconosciuti. In particolare, sono molto comuni i virus camuffati da documenti Microsoft Word. Molti client e-mail, incluso Gmail, effettuano la scansione automatica degli allegati, ma non tutti i client funzionano così.

Se non conoscete il mittente evitate di cliccare sui link che vi vengono inviati e addirittura, sarebbe ancora meglio non aprire affatto le e-mail che sembrano sospette. Un programma che blocca lo spam può essere di grande aiuto in questi casi.

Se dovete inviare lo stesso messaggio ad un gruppo molto numeroso di persone, cercate di farlo utilizzando l’opzione BCC (copia conoscenza nascosta) in modo che gli spammer non possano intercettare la lista completa dei destinatari. Viceversa, se qualcuno vi include in una lunga lista di indirizzi e-mail in copia conoscenza, valutate attentamente quale sia l’opzione migliore prima di cliccare su “rispondi a tutti”.

Infine, scegliete una password complessa per la vostra casella di posta e cambiatela di frequente. Se non sapete come impostare una buona password potete leggere la nostra guida che spiega come creare una password affidabile o utilizzare uno strumento per verificare l’affidabilità della vostra password.

Fatte queste considerazioni preliminari esaminiamo la crittografia.

Come funziona la crittografia delle e-mail

Volendo semplificare al massimo, la crittografia non è altro che un metodo per modificare il contenuto di un messaggio in modo tale che solo coloro che possiedono una chiave possano decifrarlo. È simile a uno di quei giochi che si facevano a scuola, quando ogni lettera dell’alfabeto veniva sostituita con un’altra e bisognava riconvertirla con la lettera giusta per decifrare il messaggio. I computer rendono questo processo infinitamente più complesso e impossibile da decifrare per un essere umano. Quando si effettua la crittografia di una e-mail, il contenuto viene cifrato e solo il destinatario possiede la chiave per decifrarlo.

Per essere sicuri che solo il legittimo destinatario possa decifrare il messaggio, la crittografia delle e-mail utilizza una tecnica chiamata anche crittografia a chiave pubblica. Questo significa che ogni persona ha una coppia di chiavi, ovvero i codici digitali che permettono di cifrare e decifrare il messaggio. La vostra chiave pubblica viene conservata su un server di chiavi a cui tutti possono accedere, insieme al vostro nome e all’indirizzo di posta elettronica. Allo stesso modo, sullo stesso tipo di server, potete trovare le chiavi pubbliche di altre persone, nel caso abbiate bisogno di inviare loro delle e-mail crittografate.

Quando si effettua la crittografia di una e-mail si utilizza la chiave pubblica del destinatario per codificare il messaggio. Questa tecnologia è costruita in modo che la chiave pubblica non possa essere usata per la decodifica. L’e-mail, infatti, può essere decifrata solo utilizzando la chiave privata del destinatario, che è conservata in un posto sicuro sul suo computer.

Tipi di crittografia per le e-mail

Sono due i tipi di crittografia per le e-mail di cui dovete essere a conoscenza: S/MIME e PGP/MIME. Il primo è integrato nella maggior parte dei dispositivi OSX e iOS. Quando ricevete un’e-mail inviata da un Macbook o da un iPhone a volte questa include anche un allegato di 5 KB chiamato “smime.p7s”. Questo allegato serve a verificare l’identità del destinatario ed essere sicuri che solo quella persona possa leggere il messaggio. S/MIME si basa su un’autorità centralizzata che sceglie il metodo crittografico e le dimensioni della chiave, è facile da utilizzare ma è complesso da configurare su client web. È un metodo abbastanza diffuso grazie agli sforzi di Apple e Outlook.

L’altro metodo estremamente diffuso è PGP/MIME che è quello che tratteremo in modo più approfondito nella seconda parte di questo articolo. PGP/MIME ha delle modalità più flessibili per effettuare la cifratura, si basa su un modello di fiducia decentralizzato distribuito ed è inoltre facile da utilizzare con client e-mail basati su web. Con PGP/MIME è inoltre semplice, a differenza di S/MIME, ottenere un certificato (con S/MIME lo si ottiene all’acquisto un iPhone o un Macbook). Con PGP non solo si può scegliere la modalità della crittografia, ma si può anche determinare il livello di crittografia che il messaggio in ricezione deve avere.

Tutto ciò rende PGP/MIME più economico e più flessibile. Prima di esaminarlo più nel dettaglio, analizziamo le funzionalità di crittografia di S/MIME presenti nei prodotti Apple e Outlook.

Crittografare le e-mail con Outlook

Trust Center screen grab

Prima di iniziare a mandare messaggi segreti con Outlook ci sono un paio di passaggi preliminari da effettuare. Il primo è ottenere un certificato digitale. Se non avete un certificato digitale creato da voi o dalla vostra azienda, dovete prima di tutto ottenerne uno:

  • Andate su File > Opzioni > Centro protezione > Impostazioni Centro protezione > Sicurezza posta elettronica > Scarica ID digitale
  • Potete scegliere da quale autorità di certificazione volete ricevere un ID digitale (noi consigliamo Comodo)
  • Riceverete il vostro ID digitale tramite e-mail

Una volta ottenuto il certificato, per utilizzarlo su Outlook dovete eseguire i seguenti passaggi:

  • Andate su Strumenti > Opzioni e cliccate sulla scheda Sicurezza
  • Inserite un nome a scelta nel campo Nome impostazioni di sicurezza
  • Accertatevi che il formato di crittografia S/MIME sia selezionato
  • Le impostazioni predefinite per i messaggi crittografati devono essere entrambe selezionate
  • Nella sezione Certificati e Algoritmi cliccate su Certificato firma e selezionate Scegli
  • Nella finestra di Selezione del certificato cliccate su Certificato Sicurezza E-mail se non è già stato selezionato
  • Spuntate poi la casella Invia certificati con messaggi firmati
  • Infine selezionate OK per salvare le nuove impostazioni e ritornare alla finestra principale di Outlook

A questo punto avete una firma digitale da poter aggiungere alle vostre e-mail, tuttavia questa non apparirà come impostazione predefinita. Per inserirla bisogna seguire questa procedura:

  • Cliccate su Nuovo Messaggio
  • Andate su Opzioni > Proprietà > Impostazioni di sicurezza
  • Cliccate su Aggiungi firma digitale al messaggio
  • Potete anche trascinare questo elemento sulla toolbar, per aggiungere la firma basterà solamente cliccare sul simbolo
  • Già che ci siamo possiamo aggiungere alla toolbar anche Codifica contenuto e allegati del messaggio

Ricordate però che firmare un’e-mail con firma digitale non equivale a crittografarla. Se volete inviare un messaggio crittografato tramite Outlook, è necessario che il destinatario vi abbia prima inviato almeno un messaggio contenente la sua firma digitale. Questo è il metodo tramite il quale Outlook si assicura che il mittente sia fidato. Allo stesso modo, se volete ricevere un messaggio crittografato, dovete prima inviare alla persona interessata una e-mail standard che contenga la vostra firma digitale (questa procedura, così macchinosa, rappresenta uno degli svantaggi di S/MIME). Prima di inviare la mail potete inoltre inserire la vostra firma digitale cliccando sul pulsante Firma.

Una volta aver ricevuto le rispettive firme digitali e salvato i certificati nei rispettivi portachiavi (rubriche), potete iniziare a scambiarvi e-mail crittografate. Basterà semplicemente ricordarsi di cliccare sul pulsante per effettuare la crittografia e il gioco è fatto.

Crittografare le e-mail su iOS

S/MIME è integrato di default nell’applicazione di posta dei dispositivi iOS. Dalle impostazioni avanzate, attivate S/MIME e selezionate l’opzione per effettuare la crittografia di default. Da adesso in poi, ogni volta che scrivete un nuovo messaggio comparirà un’icona con un lucchetto accanto al nome del destinatario. Basterà cliccare su questa icona per effettuare la crittografia.

iOS tramite il servizio GAL (global address list), una sorta di server di chiavi per i servizi S/MIME, controlla i contatti nel vostro ambiente Exchange e quando vengono individuati l’icona del lucchetto diventa blu.

ios email encryption

Accanto agli indirizzi di posta di alcuni destinatari potreste notare un lucchetto rosso. Ciò può significare che quei destinatari non appartengono al vostro ambiente Exchange (ad esempio perché lavorate in società diverse) o che non avete installato il certificato relativo a quella persona, per cui non potete inviarle un messaggio crittografato. In questo caso il procedimento da eseguire è simile a quello di Outlook, come abbiamo appena visto. Ogni contatto deve prima inviarvi almeno un’e-mail con la firma digitale allegata. L’opzione di allegare una firma digitale alle e-mail per default si trova nello stesso menu relativo alle impostazioni avanzate che abbiamo menzionato prima.

Una volta ricevuta questa e-mail effettuate i seguenti passi:

  • Cliccate sull’indirizzo del mittente
  • Apparirà un’icona con il punto interrogativo che indica che la firma non è attendibile. Cliccate su Visualizza Certificato
  • Cliccate su Installa. Fatto ciò, il pulsante d’installazione diventerà rosso e spunterà la scritta Elimina, quindi cliccate su Fatto nell’angolo in alto a destra.
  • Da adesso in poi ogni volta che scrivete un messaggio a quel destinatario l’icona del lucchetto diventerà blu e basterà cliccarci sopra per crittografare il messaggio.

Crittografare le e-mail con OSX

L’invio di messaggi crittografati tramite il programma predefinito per la posta su Mac OSX, è simile a iOS e Windows: occorre prima avere la firma digitale del destinatario salvata sul proprio dispositivo. Quando scrivete un messaggio e digitate l’indirizzo e-mail del destinatario apparirà un’icona con il segno di spunta per indicare che il messaggio sarà firmato.

Accanto ad esso compare anche un’icona con un lucchetto. A differenza di iOS, in cui potete scegliere a quali destinatari volete inviare la posta crittografata e a quali no, OSX non offre questa possibilità e l’unica soluzione è “o tutti o nessuno”. Se non avete i certificati di tutti i destinatari l’e-mail non può essere crittografata.

Ricordatevi di aggiungere la firma digitale solo dopo aver terminato di scrivere il messaggio, infatti se questo viene modificato dopo l’apposizione della firma, verrà rilevato come non più affidabile.

La crittografia delle e-mail su Android

Per quanto riguarda Android abbiamo un paio di opzioni aggiuntive per la crittografia delle e-mail. L’app CipherMail offre infatti la possibilità di inviare e ricevere e-mail crittografate S/MIME utilizzando l’applicazione predefinita per Gmail oltre ad alcune app di terze parti come K-9. Segue le stesse regole per i certificati di cui abbiamo parlato in precedenza.

L’altra opzione è quella di utilizzare PGP/MIME, che per salvare i certificati richiede l’utilizzo sia di un’app per e-mail che di un portachiavi. PGP è leggermente più complicato in fase di impostazione ma non è necessario ricevere la firma digitale del destinatario per poter inviare una e-mail crittografata.

OpenKeychain è un portachiavi gratuito semplice da utilizzare che consente di salvare i certificati di altri utenti. Funziona molto bene con K-9 ma dovrebbe essere compatibile anche con altre app di posta elettronica.

Con OpenKeychain potete creare sia le vostre chiavi pubbliche che quelle private. Basta inserire l’indirizzo di posta elettronica, il nome e una password e l’app genererà le chiavi per voi. Se siete già in possesso di una chiave potete importarla, mentre se volete usare una delle chiavi generate con OpenKeychain su altri dispositivi o applicazioni dovete esportarla.

OpenKeychain è utile anche per cercare le chiavi pubbliche di altri utenti e poter mandare loro e-mail crittografate. Una volta aggiunta la chiave pubblica di un utente al vostro portachiavi questa verrà salvata in modo da renderne più veloce l’utilizzo in futuro.

Per utilizzare OpenKeychain su un’app per e-mail basta andare sulle impostazioni dell’app stessa e impostare OpenKeychain come opzione predefinita per quanto riguarda il provider OpenPGP. Questo procedimento varia a seconda dell’app che volete utilizzare ma trovare questa impostazione dovrebbe essere abbastanza semplice. Va ricordato che non tutte le app di posta (inclusa Gmail) supportano la crittografia.

Crittografia online (Gmail)

Per client di posta elettronica basati sul web come Gmail, vi consigliamo una soluzione di tipo PGP/MIME, poiché è più facile da aggiunge rispetto a S/MIME. Per gli scopi di questo tutorial utilizzeremo l’estensione di Google Chrome chiamata Mailvelope con Gmail. Quasi tutte le estensioni di questo tipo funzionano allo stesso modo e seguono gli stessi principi. Come alternative potete anche utilizzare, ad esempio, EnigMail, GPGTools, and GNU Privacy Guard.

Prima di tutto, installate l’estensione e aprite il menu delle opzioni. Il primo passaggio è quello di generare la vostra chiave: inserite il nome, l’indirizzo di posta e una password e cliccate su Generate (Genera). La maggior parte delle estensioni utilizzate per crittografare la posta è dotata di un generatore di chiavi e di un portachiavi. Per cui se possedete già una chiave selezionate il menu di importazione e utilizzate la funzione copia-incolla.

mailvelope 1

Adesso avete una chiave di crittografia, ma questa da sola serve a poco se nessuno è in grado di trovare la vostra chiave pubblica e inviarvi posta crittografata. Dovete quindi fare l’upload della vostra chiave pubblica su un server di chiavi. Noi consigliamo il server di chiavi MIT che è molto diffuso, gratuito e semplice da usare. Dalle impostazioni di Mailvelope andate su Display Keys (Mostra chiavi) e cliccate sulla chiave che avete appena creato. Selezionate Export (Esporta) per vedere i caratteri di cui è composta e copiatela nei vostri appunti.
mailvelope 3

Andate ora sul server di chiavi PGP MIT e copiate la vostra chiave nel campo Submit a Key (Inserisci una chiave) e inviatela. Fatto ciò, potete andare sulla home page del server di chiavi MIT e ricercare il nome che avete inserito: la vostra chiave dovrebbe apparire nell’elenco.

mailvelope 2

Prendete nota dell’ID della chiave che è visualizzato sia nelle impostazioni di Mailvelope sia nell’elenco MIT. Questo ID, costituisce un identificatore univoco ed è molto utile nel caso in cui sul server di chiavi sia presente un altro utente che ha il vostro stesso nome. I giornalisti, nei loro profili online e sui social media, spesso pubblicano l’ID della loro chiave così chi è interessato a scrivere loro è sicuro di rivolgersi al destinatario giusto.

Una volta che ci troviamo sul server di chiavi MIT possiamo anche utilizzarlo per cercare le chiavi pubbliche di altri utenti. Cliccate sull’ID della chiave della persona che vi interessa per mostrare i caratteri che la compongono. Copiatelo e poi incollatelo nella sezione Import (Importa) di Mailvelope per aggiungerla al vostro portachiavi.

mailvelope 4

Ora che avete aggiunto i destinatari al vostro portachiavi e reso la vostra chiave pubblica accessibile ad altri, potete iniziare a inviare e ricevere la vostra posta crittografata. Mailvelope aggiunge un pulsante nella schermata di scrittura del messaggio di Gmail che apre un’altra finestra in cui potete digitare il testo da inviare. Una volta completata la scrittura premete sul pulsante per crittografare, scegliete il destinatario e trasferite il testo crittografato nell’e-mail. Potete anche aggiungere del testo in chiaro, purché il testo crittografato non venga più modificato.

mailvelope 5

Quando ricevete un’e-mail crittografata, l’estensione dovrebbe riconoscerla automaticamente e presentarvi l’opzione di decodifica. Il destinatario di una e-mail crittografata, per leggere questo tipo di messaggi, ha bisogno di un’estensione o di un decodificatore PGP. Se utilizzate Mailvelope vi basta cliccare sull’icona che appare sul testo cifrato, inserire la password e il tutto avviene in modo automatico.
mailvelope 7

Lo svantaggio principale di Mailvelope e delle altre estensioni basate su web è che non sono in grado di crittografare gli allegati. Tuttavia, è possibile utilizzare Gnu Privacy Guard per crittografare gli allegati con PGP prima di fare l’upload usando la stessa coppia di chiavi. Altrimenti potete utilizzare un’altra di queste applicazioni per la crittografia di file.

Indirizzi e-mail usa e getta

La crittografia è utile per nascondere il contenuto del messaggio ma non l’indirizzo e-mail del mittente. Per varie ragioni a volte si ha la necessità di inviare una e-mail totalmente anonima, per proteggere la propria identità. Per fare ciò, ci sono dei servizi e-mail che vi assegnano un indirizzo di posta elettronica “finto” temporaneo.

Guerrilla Mail è la nostra opzione preferita. Vi consente di impostare un indirizzo e-mail “usa e getta” tramite il quale potete inviare e ricevere messaggi. Include anche un password manager per aiutarvi a gestire le password dei nuovi account. E, cosa ancora migliore, è totalmente basata su web e non richiede alcuna registrazione, cosa che rende ancora più efficace la protezione della vostra identità.

Zmail, se preferite un’applicazione desktop anziché web, è un’alternativa valida per inviare e-mail da indirizzi finti.

Considerazioni finali

Molte applicazioni e servizi e-mail dicono di effettuare la crittografia dei messaggi di posta elettronica ma non utilizzano S/MIME o PGP/MIME. Sono indubbiamente più semplici e veloci da utilizzare e configurare ma utilizzano i propri algoritmi di cifratura, che spesso non forniscono gli stessi livelli di privacy. Un esempio sono SafeGmail e Virtru e vi sconsigliamo di utilizzarli.

Anche se non è strettamente necessario, vi suggeriamo di effettuare l’upload della vostra chiave pubblica PGP su un server di chiavi. Potete semplicemente inviarla in chiaro alle persone dalle quali volete ricevere la posta crittografata.

Vedi anche: il datore di lavoro può leggere le vostre e-mail personali?

Argomenti correlati: cercate una VPN per proteggere la vostra privacy? Potete leggere la lista delle migliori VPN qui.

Operatori al lavoro sul computer ‘Colossus’, 1943Bletchley Park Trust / Science & Society Picture Library – licenza CC BY 2.0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.