La riservatezza dei dati è uno dei concetti fondamentali quando si parla di privacy. La necessità di evitare che le informazioni possano essere consultate anche da persone non autorizzate rappresenta, ormai, una necessità sempre più impellente nelle comunicazioni che avvengono su internet. Questo perché è sempre più evidente e crescente l’interesse verso le informazioni degli utenti della Rete, per svariate ragioni più o meno lecite: sono infatti sempre più frequenti i casi di distribuzione, o disclosure, non autorizzata di dati personali riservati a fronte di attacchi informatici a utenti, provider di servizi email o siti web di qualsivoglia natura. Proteggere le informazioni è dunque diventato cruciale.
In questo articolo valuteremo brevemente alcuni strumenti che ci consentono di proteggere, tramite la crittografia, le comunicazioni che avvengono tramite Gmail, oggi utilizzato da circa un miliardo di utenti.
Iniziamo col dire che Gmail, oltre ad essere uno dei sistemi di posta elettronica più utilizzati al mondo, già rende disponibili una serie piuttosto estesa di funzionalità di sicurezza, come ad esempio quella di prevedere un'autenticazione a due fattori anziché la classica coppia di username e password.
Rispetto alla crittografia delle informazioni in transito, inoltre, già da tempo Gmail offre ai propri utenti la cosiddetta crittografia in transit tramite la Transport Layer Security (TLS). In altre parole, vengono eseguite azioni di cifratura dei messaggi ogni volta che questi vengono spediti o ricevuti, ma solamente se il provider al quale si vuole spedire una mail, o dal quale la si riceve, supporta a sua volta questo meccanismo.
Si tratta di una crittografia tra provider che protegge eventuali accessi non autorizzati nelle fasi di trasmissione dei messaggi e che attualmente copre tra il 75% e l’85% delle comunicazioni (a seconda che si tratti di messaggi destinati a Gmail da altri provider o viceversa). I provider che condividono con Gmail questa caratteristica sono numerosi e consultabili sul blog di Google dedicato a questo aspetto. Tra questi citiamo Amazon, Facebook, Twitter, AOL e Yahoo!
Tuttavia stiamo ancora parlando di una crittografia tra provider, che può essere ulteriormente migliorata utilizzando tecniche di cifratura end-to-end, ovvero che proteggono il nostro messaggio di posta in tutto il suo viaggio, dal momento in cui clicchiamo sul pulsante Invio al momento in cui esso viene letto dal nostro destinatario.
Mailvelope
Tra i tool di cifratura end-to-end più utilizzati troviamo sicuramente Mailvelope, che estende le funzionalità del protocollo di cifratura PGP ai nostri account Gmail su browser Chrome. Per utilizzarlo non è necessario essere degli esperti, bensì è sufficiente conoscere i rudimenti della crittografia, già trattati su HTML.it nell’apposita guida.
Per prima cosa, ovviamente, occorre scaricare dallo store di Google l’estensione di Chrome e installarla. Una volta ricercata Mailvelope dal box di ricerca sarà sufficiente selezionare il pulsante blu Installa per completare questo primo step.
Una volta installata l’applicazione, al fianco della barra degli indirizzi verrà visualizzata una nuova icona, raffigurante un lucchetto con una chiave, tramite la quale sarà possibile accedere ad alcune funzioni di configurazione e cifratura.
La prima cosa da fare è cliccarci sopra al fine di generare la nostra prima coppia di chiavi, che verranno utilizzate per la cifratura e la firma dei messaggi. Tramite il pulsante Options e la voce di menù Generate Key verrà visualizzato il pannello per la generazione delle chiavi. Inseriamo quindi il nome completo e l’indirizzo email da associare alla coppia di chiavi. Una apposita password, possibilmente complessa e differente da quella di accesso all’account Google, dovrà essere inserita e confermata.
Torniamo quindi sull’icona di Mailvelope e selezioniamo Add. In questo modo verremo direzionati verso il pannello List of E-Mail Providers, in cui sono elencati tutti i provider supportati da questa estensione di Chrome. Assicuriamoci, come mostra la figura, che il provider di Gmail sia abilitato e attivo.
A questo punto abbiamo completato la nostra semplice configurazione iniziale, che non dovremo più modificare a meno di non voler cambiare la nostra coppia di chiavi. Prima di vedere come inviare una mail firmata o cifrata, tuttavia, ricordiamoci che tra le opzioni, nel pannello Key Management e alla voce Import Keys, è possibile importare ulteriori chiavi appartenenti ai nostri contatti. Per poter inviare e ricevere mail cifrate è infatti necessario che mittente e destinatario conoscano le rispettive chiavi pubbliche. Questo può avvenire nel modo più semplice, scambiandosi preventivamente la chiave pubblica su una penna USB o in altro modo, altrimenti pubblicandola su appositi server disponibili in rete che forniscono servizi di pubblicazioni delle chiavi (i cosiddetti key server).
Per fornire la propria chiave, è necessario esportarla mediante il pulsante Export presente nel pannello Key Management, alla voce Display Keys.
Chiusa questa necessaria parentesi, l’invio di una mail firmata o cifrata risulta piuttosto semplice. Noterete come nel comporre un nuovo messaggio, all’interno della finestra di composizione comparirà una nuova icona. Selezionandola, si aprirà un pannello in cui inserire liberamente il testo della vostra email, mentre in basso a destra saranno disponibili due pulsanti per la firma e la cifratura del messaggio.
Nel caso della cifratura vi verrà richiesto di indicare il destinatario, poiché il messaggio dovrà essere cifrato con la sua chiave pubblica (in modo che lui sia l’unica persona autorizzata a leggerlo). Selezionatelo e cliccate add. È importante evidenziare che possono essere indicati più destinatari, aggiungendoli uno alla volta tramite lo stesso pannello pop-up.
Una volta composto il messaggio in questo modo, esso sarà pronto all’interno di Gmail per essere inviato. Come potete notare, il messaggio viene rappresentato con la classica struttura PGP che non consente di leggerlo agevolmente neanche accedendo in modo non autorizzato all’account da un altro computer (a meno di non avere anche la relativa coppia di chiavi).
Vediamo come funziona infine l’ultima fase, ovvero quella di lettura del messaggio. All’interno della propria inbox il messaggio apparirà normalmente come un qualsiasi altro messaggio, ma una volta aperto mostrerà un’icona speciale su cui occorrerà cliccare per leggere la mail decifrata.
Note finali
Una volta compreso il meccanismo della crittografia utilizzando lo strumento presentato in questa mini-guida, sarà possibile utilizzare strumenti analoghi, cercando nel web ulteriori componenti aggiuntivi per Chrome o altri browser quali Firefox o Internet Explorer, nonchè utilizzare altri provider diversi da Gmail. Alcuni componenti aggiuntivi richiedono una registrazione prima di essere utilizzati, mentre altri propongono una versione free per le funzionalità di base e una premium per quelle avanzate (come quelle relative all’invio di allegati crittografati).
