La riservatezza dei dati è uno dei concetti fondamentali quando si parla di privacy. La necessità di evitare che le informazioni possano essere consultate anche da persone non autorizzate rappresenta, ormai, una necessità sempre più impellente nelle comunicazioni che avvengono su internet. Questo perché è sempre più evidente e crescente l’interesse verso le informazioni degli utenti della Rete, per svariate ragioni più o meno lecite: sono infatti sempre più frequenti i casi di distribuzione, o disclosure, non autorizzata di dati personali riservati a fronte di attacchi informatici a utenti, provider di servizi email o siti web di qualsivoglia natura. Proteggere le informazioni è dunque diventato cruciale.
In questo articolo valuteremo brevemente alcuni strumenti che ci consentono di proteggere, tramite la crittografia, le comunicazioni che avvengono tramite Gmail, oggi utilizzato da circa un miliardo di utenti.
Iniziamo col dire che Gmail, oltre ad essere uno dei sistemi di posta elettronica più utilizzati al mondo, già rende disponibili una serie piuttosto estesa di funzionalità di sicurezza, come ad esempio quella di prevedere un'autenticazione a due fattori anziché la classica coppia di username e password.
Rispetto alla crittografia delle informazioni in transito, inoltre, già da tempo Gmail offre ai propri utenti la cosiddetta crittografia in transit tramite la Transport Layer Security (TLS). In altre parole, vengono eseguite azioni di cifratura dei messaggi ogni volta che questi vengono spediti o ricevuti, ma solamente se il provider al quale si vuole spedire una mail, o dal quale la si riceve, supporta a sua volta questo meccanismo.
Si tratta di una crittografia tra provider che protegge eventuali accessi non autorizzati nelle fasi di trasmissione dei messaggi e che attualmente copre tra il 75% e l’85% delle comunicazioni (a seconda che si tratti di messaggi destinati a Gmail da altri provider o viceversa). I provider che condividono con Gmail questa caratteristica sono numerosi e consultabili sul blog di Google dedicato a questo aspetto. Tra questi citiamo Amazon, Facebook, Twitter, AOL e Yahoo!
Tuttavia stiamo ancora parlando di una crittografia tra provider, che può essere ulteriormente migliorata utilizzando tecniche di cifratura end-to-end, ovvero che proteggono il nostro messaggio di posta in tutto il suo viaggio, dal momento in cui clicchiamo sul pulsante Invio al momento in cui esso viene letto dal nostro destinatario.
Mailvelope
Tra i tool di cifratura end-to-end più utilizzati troviamo sicuramente Mailvelope, che estende le funzionalità del protocollo di cifratura PGP ai nostri account Gmail su browser Chrome. Per utilizzarlo non è necessario essere degli esperti, bensì è sufficiente conoscere i rudimenti della crittografia, già trattati su HTML.it nell’apposita guida.
Per prima cosa, ovviamente, occorre scaricare dallo store di Google l’estensione di Chrome e installarla. Una volta ricercata Mailvelope dal box di ricerca sarà sufficiente selezionare il pulsante blu Installa per completare questo primo step.
Una volta installata l’applicazione, al fianco della barra degli indirizzi verrà visualizzata una nuova icona, raffigurante un lucchetto con una chiave, tramite la quale sarà possibile accedere ad alcune funzioni di configurazione e cifratura.
La prima cosa da fare è cliccarci sopra al fine di generare la nostra prima coppia di chiavi Options Generate Key
Torniamo quindi sull’icona di Mailvelope e selezioniamo Add List of E-Mail Providers provider
A questo punto abbiamo completato la nostra semplice configurazione iniziale, che non dovremo più modificare a meno di non voler cambiare la nostra coppia di chiavi. Prima di vedere come inviare una mail firmata o cifrata, tuttavia, ricordiamoci che tra le opzioni, nel pannello Key Management Import Keys chiavi pubbliche key server
Per fornire la propria chiave, è necessario esportarla mediante il pulsante Export Key Management Display Keys
Chiusa questa necessaria parentesi, l’invio di una mail firmata o cifrata
Nel caso della cifratura vi verrà richiesto di indicare il destinatario, poiché il messaggio dovrà essere cifrato con la sua chiave pubblica (in modo che lui sia l’unica persona autorizzata a leggerlo). Selezionatelo e cliccate add
Una volta composto il messaggio in questo modo, esso sarà pronto all’interno di Gmail per essere inviato. Come potete notare, il messaggio viene rappresentato con la classica struttura PGP che non consente di leggerlo agevolmente neanche accedendo in modo non autorizzato all’account da un altro computer (a meno di non avere anche la relativa coppia di chiavi).
Vediamo come funziona infine l’ultima fase, ovvero quella di lettura del messaggio
Note finali
Una volta compreso il meccanismo della crittografia utilizzando lo strumento presentato in questa mini-guida, sarà possibile utilizzare strumenti analoghi, cercando nel web ulteriori componenti aggiuntivi per Chrome o altri browser quali Firefox o Internet Explorer, nonchè utilizzare altri provider diversi da Gmail. Alcuni componenti aggiuntivi richiedono una registrazione prima di essere utilizzati, mentre altri propongono una versione free per le funzionalità di base e una premium per quelle avanzate (come quelle relative all’invio di allegati crittografati).
