Dopo il precedente articolo su TrueCrypt, strumento di crittografia simmetrica, questa volta parleremo di crittografia asimmetrica, e nella fattispecie di GPG.

Prima di cominciare, che cos’è la crittografia asimmetrica? La crittografia asimmetrica (o a chiave pubblica) è un particolare tipo di crittografia che utilizza una coppia di chiavi diverse: ciò che viene codificato con la prima, può essere decodificato solamente dalla seconda. Per chi vuole approfondire questo argomento affascinante, quale è la crittografia, rimando alla pagina su wikipedia, a mio avviso fatta molto bene.

GPG (acronimo di Gnu Privacy Guard), omologo open-source del più famoso PGP – Pretty Good Privacy, applica questo principio allo scambio sicuro di informazioni su Internet. Ogni utente deve prima di tutto generare una coppia di chiavi, una pubblica e una privata, insieme al certificato di revoca. Questa coppia di chiavi è univoca, ed è associata agli indirizzi e-mail dell’utente che l’ha generata. La chiave pubblica deve essere diffusa più che si può: la si può caricare su server appositi come http://pgp.mit.edu/ o si può allegare un link ad essa nelle firme di forum, newsgroup e messaggi e-mail. La chiave privata ed il certificato di revoca vanno conservati invece con estrema cura al riparo da occhi indiscreti. GPG obbliga ad impostare un passphrase per poter criptare la chiave privata e conservarla tranquillamente su hard disk. Per il certificato di revoca, o lo stampate e conservate il foglio con cura, o lo copiate su un volume TrueCrypt. Qualora qualcun altro venga in possesso della chiave privata, la coppia di chiavi ne risulterebbe compromessa. In questo caso è fondamentale il certificato di revoca, che deve essere utilizzato per invalidare la coppia di chiavi e renderla inservibile. GPG è un software a linea di comando, ma esistono delle ottime interfacce grafiche che permettono di compiere ogni azione senza aprire mai la shell. Su Gnome troviamo Seahorse, mentre su KDE c’è Kgpg.

Ma ora passiamo alla parte pratica. La potenza di questo software sta nella protezione fornita nella scambio di informazioni on-line, ad esempio messaggi e-mail. Il funzionamento (molto semplicemente) è il seguente:

  1. Alice e Bob raccoglieranno tramite i propri GPG le chiavi pubbliche dei loro amici, cercandole sui server appositi, o raccogliendole nelle firme di messaggi sui forum;
  2. se Alice deve mandare un messaggio e-mail a Bob, Alice cripterà questo messaggio con la chiave pubblica di Bob, e all’occorrenza lo firmerà con la propria chiave privata;
  3. Bob riceve il messaggio da Alice, lo decripta con la propria chiave privata e usa la chiave pubblica di Alice per verificare la firma digitale.

Questo sistema garantisce un ottimo livello di sicurezza, perché si è sicuri che, una volta criptata una e-mail, potrà leggerla solo colui al quale l’abbiamo inviata, perché l’unica in possesso della propria chiave privata. Se qualcuno vuole inviarci una mail, non fa altro che criptarla con la nostra chiave pubblica; potremo decriptarla solo noi con la nostra chiave privata. Ecco perché è di vitale importanza la salvaguardia della chiave privata e del certificato di revoca personali.

Provate a guardare gli header di un messaggio e-mail ricevuto: potrete vedere come quel messaggio, nel viaggio dal mittente a voi, è rimbalzato su almeno 5-10 server diversi, che ne trattengono una copia per questioni di sicurezza. Inutile dire che le e-mail viaggiano in chiaro sulla Rete. Adottando GPG siete sicuri di preservare la vostra privacy.

Ma sei non hai nulla da nascondere non hai alcun motivo per opporti a questi sistemi di sorveglianza, dopotutto sono fatti per garantire la nostra sicurezza…” Per chi la pensa così, rimando a questo mio precedente articolo.

Per maggiori informazioni riguardo la tutela della propria privacy on-line, vi segnalo un articolo di Autistici/Inventati intitolato “Come e perché tutelare la privacy della tua posta“.

Rimango disponibile per ogni dubbio o quesito vorrete pormi. A presto!

Annunci