La sicurezza e la confidenzialità delle informazioni, soprattutto nello scambio di dati via e-mail, sono temi critici nella società dell'informazione. Scienziati e sviluppatori cercano quotidianamente di progettare software di semplice utilizzo supportino l'utente nell'invio e nella ricezione di messaggi di provenienza e contenuto certi.
L'articolo esaminerà gli strumenti con cui crittografare le comunicazioni del client di posta elettronica più utilizzato in rete: Microsoft Outlook. In particolare tratteremo la versione 2003 di Microsoft Outlook, mentre per quanto riguarda i programmi di crittografia e firma ci riferiremo a GnuPG, ed nella fattispecie al progetto Gpg4win.
In questo ambito entrano in gioco tutti gli argomenti che riguardano in generale la crittografia a chiave pubblica e la firma digitale, ma che per brevità rimanderemo ad ulteriori approfondimenti e letture.
GnuPG è un programma libero da restrizioni, supportato da finanziamenti concessi dal Ministero tedesco per l'Economia e la Tecnologia, che permette di crittografare e/o firmare documenti e mail. Per questa ragione risulta lo strumento ideale per proteggere la privacy delle proprie comunicazioni oppure per "certificare" la propria identità in Internet oppure ancore per assicurare l'integrità di programmi scaricabili.
Come detto, in questo articolo, vista la necessaria interazione con il software Outlook, faremo particolare riferimento al progetto Gpg4win che rappresenta una versione per Windows di GnuPG. La suite rende disponibili anche ulteriori programmi a corredo, nello specifico:
- GnuPG, il software principale della suite;
- WinPT, un gestore delle chiavi per Windows che per la risoluzione di alcuni problemi specifici;
- GPA, un tool per la creazione della coppia di chiavi crittografiche e per la loro gestione;
- GPGol, un plug-in per Microsoft Outlook 2003;
- GPGee, un plug-in per Microsoft Explorer e la crittografia dei file;
- Claws Mail, un programma di mail completo integrato con GnuPG.
Per i contenuti dell'articolo è stato utilizzato il package più aggiornato al momento della stesura di questo testo, ovvero la suite istallabile dal file gpg4win 1.1.3.exe. Tale file è il punto di partenza per avere a disposizione tutte le funzionalità di crittografia e di firma che abbiamo introdotto poco sopra. Il download, circa 9Mb per la versione full, è disponibile alla URL ufficiale del progetto Gpg4win o dalla pagina che contiene tutte le versioni, anche sorgenti, della suite.
Il processo di istallazione è, come per le classiche applicazioni Windows, molto semplice e rapido.
Lanciato il wizard l'utente viene guidato all'interno degli step di istallazione con cui di scegliere quali software, di quelli inclusi nella suite, istallare. È importante sottolineare che all'interno del package sono disponibili anche alcune guide (alcune purtroppo solo in lingua tedesca) dedicate soprattutto a chi si avvicina per la prima volta a questa tipologia di programmi.
Una volta istallato il software, la prima azione propedeutica all'utilizzo completo di GnuPG è la generazione di una coppia di chiavi crittografiche. Per ottenere questo risultato è sufficiente lanciare il programma GPA dal menu Start e, quando richiesto, selezionare la voce Generate key now.
A questo punto il wizard di creazione delle chiavi chiederà l'inserimento di alcune informazioni ed in particolare nome identificativo, indirizzo e-mail e passphrase. È evidente che la scelta di una passphrase quanto più possibile sicura è necessaria per la sicurezza dell'intero meccanismo. Per tale ragione valgono tutte le considerazioni sulle regole di generazione di password, tra cui quella più generica di non preferire la semplicità di memorizzazione a scapito della complessità e sicurezza della stessa.
Segue la necessaria elaborazione di generazione delle password, che potrebbe richiedere, anche su computer particolarmente prestanti, qualche istante per la conclusione del processo. In questa fase verrà proposta la scelta, ed è consigliato rispondere in modo affermativo, di generare una copia di backup delle chiavi e di indicare la relativa directory di destinazione. Ad ogni modo sarà possibile eseguire il backup delle chiavi anche in un momento successivo, attraverso il menu key / backup.
Terminato questo passo, le chiavi sono disponibili all'utilizzo e verranno mostrate in dettaglio all'interno della finestra principale del tool GPA. A seconda dell'esperienza e dell'utilizzo per le quali queste chiavi sono state generate è possibile modificare in un secondo momento alcuni di questi parametri definiti in automatico. Ad esempio è possibile indicare la durata della validità delle chiavi, anziché mantenere l'impostazione predefinita never expires.
Per poter comunicare attraverso mail sicure ogni interlocutore deve avere accesso alla chiave privata dell'altra parte in causa. In altre parole, per poter inviare un messaggio criptato è necessario avere la chiave privata del destinatario.
Per lo scambio delle chiavi è possibile procedere in due differenti modalità: la prima prevede lo scambio via mail, la seconda, che non tratteremo in questo articolo, implica la pubblicazione delle chiavi sul Web per renderle disponibili a tutti, purtroppo anche ad eventuali spammer.
La chiave privata, dopo averla esportata attraverso il pulsante Export del tool GPA, può essere copiata senza problemi come testo all'interno di una mail, ricordandosi di prendere tutto il testo contenuto all'interno delle direttive -----BEGIN PGP PUBLIC KEY BLOCK-----
e -----END PGP PUBLIC KEY BLOCK-----
.
Con il procedimento inverso, pulsante Import, è possibile memorizzare le chiavi delle persone con le quali dialoghiamo più spesso, in modo da non doverle scambiare ad ogni interazione.
Procediamo quindi con la gestione della sicurezza nella posta elettronica, ricordandoci che in fase di istallazione abbiamo scelto tra i componenti da istallare GPGol, un plug-in di Microsoft Outlook che integra le funzionalità di GnuPG nel meccanismo di invio e ricezione delle mail. All'avvio di Outlook successivo all'istallazione di GnuPC sarà disponibile una nuova scheda all'interno della voce Opzioni del menu Strumenti e una serie di icone sulla finestra principale e sul dettaglio dei messaggi in ingresso/uscita.
Le configurazioni presenti in questa scheda definiscono il comportamento di default dell'applicazione in termini di firma e crittografia dei messaggi. Chiaramente, così come per molte delle configurazioni di Outlook, è possibile scegliere al momento di invio del messaggio quali impostazioni di default mantenere e quali eliminare.
L'opzione Save decrypted message automatically memorizzerà gli allegati una volta decriptati. In questo modo, per le successive visualizzazioni, non sarà necessario procedere nuovamente all'operazione di decifratura. L'opzione Automatically sign attachments implica la firma automatica su tutte le mail e gli allegati in uscita. Ogni allegato incluso nel messaggio sarà quindi firmato separatamente dagli altri allegati. L'opzione Also encrypt message with the default key garantisce l'ulteriore crittografia del messaggio utilizzando la propria chiave privata, mentre l'opzione Also decrypt in preview window decripterà il contenuto dei messaggi e degli allegati nella visualizzazione in preview, ed è quindi consigliato solo se il computer sul quale lavoriamo ha una capacità elaborativa molto elevata.
L'ultima opzione, Show HTML view if possible, indica di visualizzare i messaggi in formato HTML, se possibile. Altrimenti, il messaggio verrà visualizzato sottoforma di semplice testo.
Una volta selezionate le opzioni d'interesse il nostro client di posta è pronto ad inviare e ricevere mail firmate e crittografate con le funzionalità GPG. Ad esempio quando si riceve un messaggio criptato con PGP, è sufficiente selezionare Decode and verify tra gli strumenti PGP per decodificare il messaggio e verificare le firme degli allegati. PGP, una volta decodificato il messaggio lo mostrerà in un apposita finestra di visualizzazione. Al contrario per inviare un messaggio crittografato, una volta composto nella classica maniera, è necessario selezionare Encrypt Message Before Sending o Sign Message Before Sending utilizzando i pulsanti disponibili nell'angolo in alto a destra della finestra di composizione del messaggio stesso.
Ora che sappiamo inviare e ricevere messaggi con Outlook, per concludere l'articolo andiamo brevemente ad illustrare due possibilità di integrazione delle funzionalità GPG con altri strumenti a disposizione sul nostro PC.
In primo luogo introduciamo una estensione per Firefox rilasciata con licenza GPL, chiamata FireGPG, che genera all'interno del browser un nuovo menu contestuale che permette di accedere ad alcune funzioni della suite crittografica GnuPG. Tramite questa interfaccia l'utente può usufruire delle funzionalità di firma, verifica, cifratura, decifratura con qualsiasi testo presente nelle pagine web.
Inoltre, FireGPG offre una caratteristica che potrebbe interessare la consistente quantità di utenti Gmail, ovvero il supporto diretto per l'interfaccia Web di Google Mail aggiungendo quindi alla classica pagina Web di Gmail alcune funzioni per la gestione dei contenuti crittografati delle e-mail.
In secondo luogo, con l'istallazione di Gpg4win, gli utenti potranno beneficiare di alcune voci aggiuntive del menu visualizzabile con il tasto destro del mouse, con le quali crittografare e firmare ogni tipo di file presente sull'hard disk e che magari abbiamo intenzione di utilizzare come allegato.