Category: Crittografia


EFF e Tor Project hanno rilasciato qualche mese fa un’estensione per FireFox la quale permette di visitare ogni sito Internet che ne dia la possibilità prediligendo HTTPS come protocollo predefinito, e rendendo quindi la nostra navigazione ancora più sicura, perché completamente criptata. Ciò permette di evitare attacchi di tipo man-in-the-middle o lo sniffing del traffico passante per ogni tipo di dato, non solo quelli sensibili. Basti pensare che tanti siti (come anche MySpace) non usano SSL neanche per le pagine di login!

L’estensione si regge su alcuni file XML che contengono le regole di riscrittura delle URL. Nativamente supporta molti siti famosi (tra cui Google, WordPress, Wikipedia), ma non tutti. Vuol dire che non funziona indiscriminatamente con ogni sito, ma solo con quelli previsti dalle regole. Se si vuole, seguendo la guida dedicata, si possono modificare le regole esistenti o crearne di nuove. Semplice ma geniale!

Ciao a tutti! Sono alcuni giorni che non scrivo, ma come sapete questo week-end sono stato impegnato…

Innanzitutto, due parole su Woodstock. Devo dire che ci voleva proprio. Finalmente un luogo dove poter respirare l’aria di un domani fatto di libertà ed onestà, dove i nickname diventano facce di persone come te, persone belle, pulite, educate, con la testa che macina idee
e la vita che vuole esplodere. Grazie a tutti coloro che hanno contribuito, in un modo o nell’altro. Molto bello l’articolo su byteliberi.com riguardo l’evento. E, visto che c’ero, mi permetto di aggiungere che la situazione reale non era quella fotografata dall’informazione di regime. A prescindere dalle stime di affluenza fortemente sottovalutate, mi sento in dovere di dire che, ovviamente, i tg non hanno inquadrato tutta la folla che era intervenuta alla manifestazione. L’ippodromo di Cesena è grande, e vi posso assicurare che moltissima gente (che tra l’altro ormai è molto incazzata con le istituzioni) non è stata inclusa nei filmati trasmessi. Meglio così, noi non abbiamo bisogno dei media tradizionali, ne facciamo volentieri a meno. Basta vedere cos’è stato RAIperunanotte… c’è stato il supporto di alcune emittenti televisive, fuori dalla sfera di controllo del Caimano, ma se Santoro & Co. non avessero raccolto i 125.000 euro necessari tramite donazioni volontarie non se ne sarebbe potuto fare nulla. Comunque vada esiste una massa di persone (in continua crescita) che desidera il vero cambiamento per questo paese, e ne abbiamo avuta la conferma.

Ma purtroppo, accanto a questa notizia rassicurante, ce ne sono altre abbastanza tristi, quantomeno inquietanti. La prima, come è riportato sul blog del Movimento ScambioEtico, è che il rapporto Gallo, nonostante la pubblicazione di una lettera aperta che evidenziava irregolarità plateali nella presentazione di una raccolta firme a favore della risoluzione, è stato approvato settimana scorsa. Trucchetti penosi come ricorrere a firme false o di persone morte sono elementi che dimostrano la scarsa bontà delle intenzioni delle major, disposte a tutto pur di perseguire i propri scopi. Come si dice nell’articolo, l’approvazione di questo rapporto non è legalmente vincolante per gli Stati membri dell’Unione, i quali rimangono sovrani sui propri territori, ma rappresenta un segnale politico molto forte. Esso può infatti essere utilizzato dai cultori dello status quo per giustificare interventi incostituzionali nel nome del mantenimento della posizione di determinati monopoli. So di ripetermi, ma esorto ciascuno legga questo mio intervento a fare tutto ciò che ritenga giusto per fermare questo indebito esproprio dei diritti digitali fondamentali. Ne va della nostra libertà. La nostra libertà non è un regalo, non ci è stata concessa dall’alto. È macchiata del sangue di chi è morto e di chi muore tuttora per essa. La libertà che abbiamo, ce la siamo presa con la forza. Non dimentichiamolo, MAI.

Nel frattempo, leggo su Tom’s Hardware un altro articolo interessante, che parla dell’intenzione, da parte degli Stati Uniti, di forzare l’inserimento in tutti gli strumenti di crittografia di porte d’accesso (backdoor) da poter utilizzare in caso di necessità. Queste backdoor permetterebbero alle Autorità, previa autorizzazione del giudice, l’accesso a qualsiasi tipo d’informazione custodita da un sistema crittografico. La crittografia usata per tutelare la privacy (per come la intendiamo noi) perderebbe completamente senso. Finora la tutela della privacy è stata affidata a sistemi sicuri perché molto molto difficili da decrittare; se questa caratteristica viene meno allora viene meno anche la definizione stessa di crittografia. Il problema è che, con la scusa della tutela della sicurezza nazionale, pian piano i governi si appropriano dei diritti fondamentali, e questo discorso funziona molto bene soprattutto negli Stati Uniti. C’è una frase nella fattispecie che, nell’articolo, mi ha colpito, e mi ha fatto sogghignare-riflettere come un film di Charlie Chaplin, ed è questa:”segue i passi di regimi come quello degli Emirati Arabi Uniti, che recentemente hanno affermato che certi strumenti sono troppo sicuri e non possono essere usati dai civili“. Troppo sicuri?!? Non ho parole. Meditate gente, meditate…

Buongiorno a tutti. Dopo aver introdotto in questo articolo il software open-source GPG, parliamo oggi delle applicazioni pratiche di questo programma.

Come credo avrete avuto già modo di notare, ogni coppia di chiavi GPG è univocamente associata ad un solo utente ed ai suoi indirizzi e-mail. Questo permette, come è già stato detto, di firmare i messaggi inviati per garantire l’identità del mittente. Ma anche così non c’è una garanzia completa. Perché un malintenzionato potrebbe benissimo creare una coppia di chiavi spacciandosi per un altro, inserendo dati fittizi nella procedura di creazione, e riuscendo comunque a convincere i suoi interlocutori di essere ciò che in realtà non è. Allora, per scongiurare questo tipo di rischio, bisogna creare una rete di fiducia, in cui gli utenti possono interagire con un livello completo di fiducia. Eh certo, perché tramite GPG si può anche impostare il livello di fiducia di una determinata persona.

Per creare una rete di fiducia bisogna firmare le chiavi degli altri. Dalla wiki di ubuntu-it.org:

Firmare la chiave di una persona significa aver controllato l’identità di quest’ultima e essersi assicurati che essa sia in pieno controllo della propria chiave privata. In questo modo si può creare una rete di individui che si fidano l’uno degli altri. Questa rete è definita come un insieme fortemente connesso, ulteriori informazioni a riguardo si possono trovare a questo indirizzo.

Firmare una coppia di chiavi significa aver verificato che quelle chiavi appartengono realmente alla persona in questione. Questa procedura va svolta sempre e solo dopo aver incontrato la persona in questione. Sempre dalla wiki di ubuntu-it.org:

Dato che firmare una chiave significa aver controllato e verificato che una certa chiave pubblica appartenga a una tale persona che possiede la relativa chiave privata, è necessario seguire questi semplici accorgimenti quando si firma una chiave:

  1. Il procedimento di firma di una chiave è sempre svolto dopo aver incontrato tale persona.
  2. Durante l’incontro è necessario scambiarsi i fingerprint delle rispettive chiavi e almeno un documento identificativo (con una fotografia all’interno). Tali fingerprint vengono solitamente distribuiti su dei foglietti, creati da degli script come gpg-key2ps (pacchetto signing-party).
  3. Controllare che il nome nella chiave corrisponda con quello del documento identificativo.
  4. Dopo questi controlli accertarsi che la persona sia veramente in possesso della chiave privata. Per fare ciò basta rispedire a lei/lui la sua chiave pubblica firmata e criptata con la rispettiva chiave pubblica. Il programma caff facilita tale procedimento. È necessario creare un file .caffrc nella propria cartella Home con i seguenti valori all’interno:
    $CONFIG{owner} = q{Nome e cognome}; $CONFIG{email} = q{L'indirizzo email della chiave}; $CONFIG{keyid} = [ qw{Gli ultimi 16 caratteri del fingerprint della chiave} ]; 

    Ora basta eseguire il seguente comando, sostituendo la dicitura «id_della_chiave» con l’ID della chiave che si vuole verificare e firmare:

    caff id_della_chiave
  5. Quando si ricevono chiavi firmate, si ricevono come allegati: salvarli e importarli con gpg. Ora è possibile inviare queste chiavi ad un server delle chiavi.

Così facendo si può allestire una rete fidata in cui gli utenti possono scambiarsi messaggi e-mail attraverso un canale crittografico sicuro. Esistono vari modi per integrare GPG ai vostri software di gestione e-mail. Su Evolution, ad esempio, basta settare le giuste impostazioni; su Thunderbird bisogna installare Enigmail; mentre se usate una webmail potete benissimo installare il plug-in FireGPG su Mozilla Firefox.

Rimango a vostra disposizione in caso di dubbi, perplessità, curiosità o altro!

Dopo il precedente articolo su TrueCrypt, strumento di crittografia simmetrica, questa volta parleremo di crittografia asimmetrica, e nella fattispecie di GPG.

Prima di cominciare, che cos’è la crittografia asimmetrica? La crittografia asimmetrica (o a chiave pubblica) è un particolare tipo di crittografia che utilizza una coppia di chiavi diverse: ciò che viene codificato con la prima, può essere decodificato solamente dalla seconda. Per chi vuole approfondire questo argomento affascinante, quale è la crittografia, rimando alla pagina su wikipedia, a mio avviso fatta molto bene.

GPG (acronimo di Gnu Privacy Guard), omologo open-source del più famoso PGP – Pretty Good Privacy, applica questo principio allo scambio sicuro di informazioni su Internet. Ogni utente deve prima di tutto generare una coppia di chiavi, una pubblica e una privata, insieme al certificato di revoca. Questa coppia di chiavi è univoca, ed è associata agli indirizzi e-mail dell’utente che l’ha generata. La chiave pubblica deve essere diffusa più che si può: la si può caricare su server appositi come http://pgp.mit.edu/ o si può allegare un link ad essa nelle firme di forum, newsgroup e messaggi e-mail. La chiave privata ed il certificato di revoca vanno conservati invece con estrema cura al riparo da occhi indiscreti. GPG obbliga ad impostare un passphrase per poter criptare la chiave privata e conservarla tranquillamente su hard disk. Per il certificato di revoca, o lo stampate e conservate il foglio con cura, o lo copiate su un volume TrueCrypt. Qualora qualcun altro venga in possesso della chiave privata, la coppia di chiavi ne risulterebbe compromessa. In questo caso è fondamentale il certificato di revoca, che deve essere utilizzato per invalidare la coppia di chiavi e renderla inservibile. GPG è un software a linea di comando, ma esistono delle ottime interfacce grafiche che permettono di compiere ogni azione senza aprire mai la shell. Su Gnome troviamo Seahorse, mentre su KDE c’è Kgpg.

Ma ora passiamo alla parte pratica. La potenza di questo software sta nella protezione fornita nella scambio di informazioni on-line, ad esempio messaggi e-mail. Il funzionamento (molto semplicemente) è il seguente:

  1. Alice e Bob raccoglieranno tramite i propri GPG le chiavi pubbliche dei loro amici, cercandole sui server appositi, o raccogliendole nelle firme di messaggi sui forum;
  2. se Alice deve mandare un messaggio e-mail a Bob, Alice cripterà questo messaggio con la chiave pubblica di Bob, e all’occorrenza lo firmerà con la propria chiave privata;
  3. Bob riceve il messaggio da Alice, lo decripta con la propria chiave privata e usa la chiave pubblica di Alice per verificare la firma digitale.

Questo sistema garantisce un ottimo livello di sicurezza, perché si è sicuri che, una volta criptata una e-mail, potrà leggerla solo colui al quale l’abbiamo inviata, perché l’unica in possesso della propria chiave privata. Se qualcuno vuole inviarci una mail, non fa altro che criptarla con la nostra chiave pubblica; potremo decriptarla solo noi con la nostra chiave privata. Ecco perché è di vitale importanza la salvaguardia della chiave privata e del certificato di revoca personali.

Provate a guardare gli header di un messaggio e-mail ricevuto: potrete vedere come quel messaggio, nel viaggio dal mittente a voi, è rimbalzato su almeno 5-10 server diversi, che ne trattengono una copia per questioni di sicurezza. Inutile dire che le e-mail viaggiano in chiaro sulla Rete. Adottando GPG siete sicuri di preservare la vostra privacy.

Ma sei non hai nulla da nascondere non hai alcun motivo per opporti a questi sistemi di sorveglianza, dopotutto sono fatti per garantire la nostra sicurezza…” Per chi la pensa così, rimando a questo mio precedente articolo.

Per maggiori informazioni riguardo la tutela della propria privacy on-line, vi segnalo un articolo di Autistici/Inventati intitolato “Come e perché tutelare la privacy della tua posta“.

Rimango disponibile per ogni dubbio o quesito vorrete pormi. A presto!

Un saluto a tutti e ben ritrovati.

Continuando il nostro discorso sugli strumenti crittografici che il mondo dell’open source ci mette a disposizione, oggi parleremo di TrueCrypt (qui la home page).

Innanzitutto, cos’è TrueCrypt? È un programmino straordinario che ci permette di criptare (tramite crittografia simmetrica) appositi file contenitori di altri file, pen drive, addirittura interi hard disk, anche con sistemi operativi installati.

Innanzitutto, che cos’è la crittografia simmetrica? La crittografia simmetrica (o a chiave privata) è un tipo di crittografia che utilizza un algoritmo in cui la chiave usata per la codifica dei dati è uguale a quella usata per la decodifica. Per maggiori informazioni sulla scienza della crittografia, potete guardare nella pagina di wikipedia, che è fatta molto bene.

Dunque, tra i tre principali usi descritti qui sopra, la prima è la più semplice. Tramite TrueCrypt possiamo creare files di qualsiasi dimensione i quali, ogni volta ci occorre, può essere caricato dal programma stesso e montato dal sistema operativo come se fosse una normalissima chiavetta USB (diventa un disco virtuale). Viene quindi reso leggibile all’utente. Una volta fatto questo, possiamo farci di tutto: copiare, cancellare ed aggiungere nuovi files, con i pregi della crittografia on-the-fly. Possiamo fare una cosa analoga anche con delle chiavette USB: tramite TrueCrypt possiamo criptare intere memorie ed usarle ai nostri scopi. Agli occhi del sistema operativo le chiavette che hanno subito questo “trattamento” appaiono come spazio non allocato, mentre invece, quando caricate tramite TrueCrypt, rivelano il proprio contenuto.

Se spingiamo questo programmino fino all’estremo possiamo anche decidere di criptare interi hard disk. Possiamo sia decidere di criptare il disco con il sistema operativo che usiamo ed adoperare l’apposito boot-loader che all’avvio provvede alla decodifica, oppure criptare la partizione che ci interessa ed installare sull’altra un sistema operativo decoy, ovvero un’esca, da cui possiamo accedere e caricare il vero SO.

La straordinaria potenza di questo strumento risiede inoltre nella miriade di possibilità diverse che ci fornisce. Innanzitutto gli algoritmi di crittografia: AES, Serpent e Twofish, utilizzabili anche in cascata. Poi anche la possibilità di creare volumi nascosti (tramite procedimenti steganografici), invisibili anche al programma stesso a meno di non inserire la password giusta, parallelamente al volume principale. Appositamente concepito per una protezione massima (non esiste infatti alcun sistema di recovery per password dimenticate), perché se anche un malintenzionato venisse in possesso di una pen drive criptata non potrebbe sapere in nessun modo dell’esistenza di un volume nascosto (questo concetto è chiamato plausible deniability, ovvero negabilità plausibile).

Algoritmi indecifrabili, accorgimenti molto astuti e sicurezza alla massima potenza fanno di questo software, a mio avviso, il migliore presente in Rete per la conservazioni di dati sensibili. Fatene buon uso!

Un saluto a tutti. Come avrete già intuito dal titolo, oggi parleremo di questo servizio portentoso, ovverosia IPREDator.

Prima di tutto, che cos’è IPREDator? È un servizio di proxy a pagamento (149 corone svedesi per 3 mesi di abbonamento) che offre un ottimo livello di anonimato, ed è stato concepito dalle stesse persone che hanno fondato e mantengono in vita The Pirate Bay, noto servizio di tracking per file *.torrent.

Il funzionamento è il seguente: ci si iscrive al servizio sul sito http://www.ipredator.se/, e con nome utente e password ci si connette (tramite protocollo PPTP, già presente su tutti i sitemi operativi) ai server IPREDator. La connessione è però criptata, è questo il bello.

Una volta connessi infatti, tutto il traffico (siti web, chat, p2p) verrà criptato e dirottato verso i server IPREDator, che provvederanno a decrittarlo e a girarlo all’esterno. Sul web compariremo con un indirizzo IP geolocalizzato in Svezia, dove sono dislocati i server del servizio. IPREDator, per sua stessa dichiarazione, non trattiene alcuna informazione sui propri utenti, perché è stato concepito proprio per proteggerla la privacy, non per violarla. Possiamo usarlo dunque tranquillamente per ogni attività come facevamo prima.

Ecco uno schemino di come funziona il servizio dal punto di vista tecnico (immagine tratta dalla home page del servizio, clicca per ingrandirla):

Personalmente:

  • non ho notato alcun cambiamento di velocità o tempo di latenza della connessione, come di solito accade con i proxy gratuiti;
  • ho pagato in totale (tra servizio, cambio e tasse) € 15.10 con la mia PostePay, tramite servizio PaySon (omologo svedese di PayPal);
  • mi trovo bene in tutto e per tutto, lo sto usando anche adesso e tutto fila lascio come l’olio.

Per ora è tutto, aspetto ogni vostro commento al riguardo!

%d blogger hanno fatto clic su Mi Piace per questo: