3 581
contributi
Mail criptate e/o firmate con standard OpenPGP usando Icedove/Thunderbird ed Enigmail: differenze tra le versioni
Mail criptate e/o firmate con standard OpenPGP usando Icedove/Thunderbird ed Enigmail (visualizza wikitesto)
Versione delle 20:09, 8 apr 2015
, 8 apr 2015nessun oggetto della modifica
m (→Installazione) |
mNessun oggetto della modifica |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili}} | {{Versioni compatibili}} | ||
=Introduzione= | =Introduzione= | ||
La crittografia è l'unico modo per proteggere la propria privacy dall'invio di un'email fino alla sua ricezione, in quanto garantisce che venga letta soltanto a destinazione, meglio se con un client di posta esterno (anche nell'eventualità che '''OpenPGP''' sia supportato). Ciò assicura che nelle caselle mail di chi invia e riceve il messaggio resti memorizzata soltanto la versione criptata. | La crittografia è l'unico modo per proteggere la propria privacy dall'invio di un'email fino alla sua ricezione, in quanto garantisce che venga letta soltanto a destinazione, meglio se con un client di posta esterno (anche nell'eventualità che '''OpenPGP''' sia supportato). Ciò assicura che nelle caselle mail di chi invia e riceve il messaggio resti memorizzata soltanto la versione criptata. | ||
| Riga 7: | Riga 6: | ||
==WOT: Web of Trust== | ==WOT: Web of Trust== | ||
In questa guida tratto il solo standard aperto ''OpenPGP'', usando '''Icedove''' (''Mozilla Thunderbird'' su altri sistemi) con estensione '''Enigmail''' e '''GnuPG''': tutti e tre software liberi e multi piattaforma. Per maggiori dettagli rimando agli approfondimenti in fondo alla guida. Quello che è importante sapere è il funzionamento della rete di fiducia ('''WOT''': ''web of trust''), con cui si stabilisce l'autenticità delle chiavi pubbliche dei propri contatti. | In questa guida tratto il solo standard aperto ''OpenPGP'', usando '''Icedove''' (''Mozilla Thunderbird'' su altri sistemi) con estensione '''Enigmail''' e '''GnuPG''': tutti e tre software liberi e multi piattaforma. Per maggiori dettagli rimando agli approfondimenti in fondo alla guida. Quello che è importante sapere è il funzionamento della rete di fiducia ('''WOT''': ''web of trust''), con cui si stabilisce l'autenticità delle chiavi pubbliche dei propri contatti. | ||
| Riga 15: | Riga 13: | ||
==Client di posta== | ==Client di posta== | ||
Per quanto l'uso dello standard '''OpenPGP''' garantisca la compatibilità tra tutti i client che lo supportano, ho preferito utilizzare soltanto programmi diffusi su tutte le piattaforme in modo ''user-friendly'', così che si possa aiutare i propri contatti più facilmente a configurare questi programmi. Fa eccezione chiaramente la parte di installazione, che dipende dal sistema operativo utilizzato e di cui sarà qui trattata solo la parte per Debian. | Per quanto l'uso dello standard '''OpenPGP''' garantisca la compatibilità tra tutti i client che lo supportano, ho preferito utilizzare soltanto programmi diffusi su tutte le piattaforme in modo ''user-friendly'', così che si possa aiutare i propri contatti più facilmente a configurare questi programmi. Fa eccezione chiaramente la parte di installazione, che dipende dal sistema operativo utilizzato e di cui sarà qui trattata solo la parte per Debian. | ||
Ho voluto inoltre concentrarmi su software sufficientemente rodato, su cui sia sensato applicarsi un minimo per costruire qualcosa destinato a durare nel tempo. E perfino '''Enigmail''', anche se è un'estensione, ha più di dieci anni e gode di ottima salute. | Ho voluto inoltre concentrarmi su software sufficientemente rodato, su cui sia sensato applicarsi un minimo per costruire qualcosa destinato a durare nel tempo. E perfino '''Enigmail''', anche se è un'estensione, ha più di dieci anni e gode di ottima salute. | ||
=Installazione= | =Installazione= | ||
Per l'installazione dare il seguente comando con [[privilegi di amministratore]], qualora qualcuno dei pacchetti utilizzati non sia ancora presente sul sistema: | Per l'installazione dare il seguente comando con [[privilegi di amministratore]], qualora qualcuno dei pacchetti utilizzati non sia ancora presente sul sistema: | ||
| Riga 34: | Riga 29: | ||
=Configurazione= | =Configurazione= | ||
Avviato '''Icedove'''/'''Thunderbird''', aggiungere i propri account mail. La finestra dovrebbe aprirsi in automatico se non ce ne sono ancora, ma in caso contrario serve solo qualche click dal menù <code>File -> New -> Mail Account...</code>, e poi basta seguire la procedura guidata o quella manuale. | Avviato '''Icedove'''/'''Thunderbird''', aggiungere i propri account mail. La finestra dovrebbe aprirsi in automatico se non ce ne sono ancora, ma in caso contrario serve solo qualche click dal menù <code>File -> New -> Mail Account...</code>, e poi basta seguire la procedura guidata o quella manuale. | ||
| Riga 42: | Riga 36: | ||
==Procedura automatica== | ==Procedura automatica== | ||
Si crea (o si importa, se era già stata generata) una coppia di chiavi per ciascun account dal menù <code>OpenPGP -> Setup Wizard</code>, che guiderà passo-passo alle configurazioni più comuni, effettuando le scelte più tecniche in modo automatico. | Si crea (o si importa, se era già stata generata) una coppia di chiavi per ciascun account dal menù <code>OpenPGP -> Setup Wizard</code>, che guiderà passo-passo alle configurazioni più comuni, effettuando le scelte più tecniche in modo automatico. | ||
| Riga 50: | Riga 43: | ||
==Procedura manuale== | ==Procedura manuale== | ||
Dal menù <code>OpenPGP -> Key Management</code> si aprirà una nuova finestra, e dal menù <code>Generate -> New Key Pair</code> sono disponibili più opzioni sulla coppia di chiavi da creare, in particolare si può scegliere una grandezza fino a 4096 bit. Si ricorda solo che è consigliabile l'uso di chiavi RSA di almeno 2048 bit e con una scadenza non superiore ai 10 anni. | Dal menù <code>OpenPGP -> Key Management</code> si aprirà una nuova finestra, e dal menù <code>Generate -> New Key Pair</code> sono disponibili più opzioni sulla coppia di chiavi da creare, in particolare si può scegliere una grandezza fino a 4096 bit. Si ricorda solo che è consigliabile l'uso di chiavi RSA di almeno 2048 bit e con una scadenza non superiore ai 10 anni. | ||
| Riga 56: | Riga 48: | ||
==Consigli e altri dettagli== | ==Consigli e altri dettagli== | ||
Che si scelga la strada guidata o quella manuale per la generazione della coppia di chiavi RSA, la scelta della ''passphrase'' è molto importante e serve a prevenire il furto della propria chiave privata. Dovrà poi essere inserita ogni volta che si decripta una mail ricevuta o se ne firma una da inviare, ma può essere tenuta in memoria per tot minuti per ridurre il numero di richieste. | Che si scelga la strada guidata o quella manuale per la generazione della coppia di chiavi RSA, la scelta della ''passphrase'' è molto importante e serve a prevenire il furto della propria chiave privata. Dovrà poi essere inserita ogni volta che si decripta una mail ricevuta o se ne firma una da inviare, ma può essere tenuta in memoria per tot minuti per ridurre il numero di richieste. | ||
| Riga 64: | Riga 55: | ||
==Esportazione delle chiavi== | ==Esportazione delle chiavi== | ||
Se si utilizzano più PC per gestire le email criptate e/o firmate è necessario esportare la propria coppia di chiavi, compresa la chiave privata, dal PC in cui sono state generate per importarla nelle altre, in caso contrario questa sezione può essere saltata. Vanno esportate anche le chiavi pubbliche ottenute mediante scambio diretto. | Se si utilizzano più PC per gestire le email criptate e/o firmate è necessario esportare la propria coppia di chiavi, compresa la chiave privata, dal PC in cui sono state generate per importarla nelle altre, in caso contrario questa sezione può essere saltata. Vanno esportate anche le chiavi pubbliche ottenute mediante scambio diretto. | ||
| Riga 72: | Riga 62: | ||
È necessario impostare il livello di fiducia su tutte le chiavi non firmate da una fonte firmata. Si veda la sezione dedicata. | È necessario impostare il livello di fiducia su tutte le chiavi non firmate da una fonte firmata. Si veda la sezione dedicata. | ||
=Gestione delle chiavi pubbliche= | =Gestione delle chiavi pubbliche= | ||
Ora tutto è pronto, ci manca soltanto la chiave pubblica di ogni contatto a cui desideriamo inviare mail criptate. A sua volta tale contatto necessiterà di conoscere la nostra chiave pubblica per poterci rispondere in modo criptato. Sono possibili diversi metodi, con diversi pregi e difetti a seconda dell'ampiezza della propria rete di contatti che ricorre a email criptate e/o autenticate con firma digitale. | Ora tutto è pronto, ci manca soltanto la chiave pubblica di ogni contatto a cui desideriamo inviare mail criptate. A sua volta tale contatto necessiterà di conoscere la nostra chiave pubblica per poterci rispondere in modo criptato. Sono possibili diversi metodi, con diversi pregi e difetti a seconda dell'ampiezza della propria rete di contatti che ricorre a email criptate e/o autenticate con firma digitale. | ||
| Riga 83: | Riga 71: | ||
==Scambio diretto== | ==Scambio diretto== | ||
Il più immediato è sicuramente lo scambio diretto della chiave pubblica. Si può fare in qualunque modo, compreso via email se non si è paranoici riguardo l'attacco ''man in the middle'', ma con una web mail che utilizzi il protocollo HTTPS sarebbe (teoricamente... ) possibile soltanto dal fornitore del servizio. | Il più immediato è sicuramente lo scambio diretto della chiave pubblica. Si può fare in qualunque modo, compreso via email se non si è paranoici riguardo l'attacco ''man in the middle'', ma con una web mail che utilizzi il protocollo HTTPS sarebbe (teoricamente... ) possibile soltanto dal fornitore del servizio. | ||
===Scambio dei file=== | ===Scambio dei file=== | ||
Il metodo più generale basta esportare la propria chiave pubblica da <code>OpenPGP -> Key Management</code>, mettendo la spunta su <code>Display All Keys by Default</code>. Poi cliccare con il tasto destro del mouse e scegliere <code>Export Keys to file</code>, cliccando infine su '''Export Public Keys only''' per esportare la sola chiave pubblica. | Il metodo più generale basta esportare la propria chiave pubblica da <code>OpenPGP -> Key Management</code>, mettendo la spunta su <code>Display All Keys by Default</code>. Poi cliccare con il tasto destro del mouse e scegliere <code>Export Keys to file</code>, cliccando infine su '''Export Public Keys only''' per esportare la sola chiave pubblica. | ||
| Riga 95: | Riga 81: | ||
===Scambio via email=== | ===Scambio via email=== | ||
Dal menù '''OpenPGP''' della finestra di composizione di un nuovo messaggio oppure dal menù <code>OpenPGP -> Key Management -> File</code>, scegliere l'opzione di inviare per email la propria chiave pubblica. Chiaramente, salvo si possieda la chiave pubblica del destinatario, il messaggio deve essere inviato non cifrato. | Dal menù '''OpenPGP''' della finestra di composizione di un nuovo messaggio oppure dal menù <code>OpenPGP -> Key Management -> File</code>, scegliere l'opzione di inviare per email la propria chiave pubblica. Chiaramente, salvo si possieda la chiave pubblica del destinatario, il messaggio deve essere inviato non cifrato. | ||
| Riga 103: | Riga 88: | ||
==Livello di fiducia== | ==Livello di fiducia== | ||
Si imposta il livello di confidenza riguardo l'autenticità della chiave pubblica e la sua corrispondenza con un dato contatto. | Si imposta il livello di confidenza riguardo l'autenticità della chiave pubblica e la sua corrispondenza con un dato contatto. | ||
| Riga 113: | Riga 97: | ||
==Keyserver== | ==Keyserver== | ||
Per semplificare la fase di diffusione della propria chiave pubblica, è possibile effettuare l'upload su un keyserver, che sarà interrogato da chi intende comunicare con noi per recuperare la nostra chiave. | Per semplificare la fase di diffusione della propria chiave pubblica, è possibile effettuare l'upload su un keyserver, che sarà interrogato da chi intende comunicare con noi per recuperare la nostra chiave. | ||
| Riga 119: | Riga 102: | ||
===Upload=== | ===Upload=== | ||
'''Enigmail''' si occupa in automatico di tutto e possiede già una lista dei keyserver più diffusi. La lista può essere modificata in <code>OpenPGP -> Preferences</code>, scegliendo di mostrare le impostazioni avanzate e accedendo alla tab keyserver. | '''Enigmail''' si occupa in automatico di tutto e possiede già una lista dei keyserver più diffusi. La lista può essere modificata in <code>OpenPGP -> Preferences</code>, scegliendo di mostrare le impostazioni avanzate e accedendo alla tab keyserver. | ||
| Riga 125: | Riga 107: | ||
===Ricerca=== | ===Ricerca=== | ||
Se si vuole verificare la firma digitale di una mail autenticata oppure si vuole inviare una mail criptata a un destinatario di cui non si ha la chiave pubblica, è necessario ricercarla su un keyserver, purché chiaramente ne sia stato effettuato l'upload. | Se si vuole verificare la firma digitale di una mail autenticata oppure si vuole inviare una mail criptata a un destinatario di cui non si ha la chiave pubblica, è necessario ricercarla su un keyserver, purché chiaramente ne sia stato effettuato l'upload. | ||
| Riga 131: | Riga 112: | ||
Per inviare una mail criptata, dopo aver spuntato <code>OpenPGP -> Encrypt Message</code>, se non si possiede la chiave pubblica del destinatario verrà chiesto quale utilizzare (usarne una diversa renderà il messaggio illeggibile per il destinatario, salvo uno stesso contatto utilizzi più account o comunque abbia accesso alle relative chiavi private). Cliccare invece su '''Download Missing Keys''' per scaricarla da un keyserver. | Per inviare una mail criptata, dopo aver spuntato <code>OpenPGP -> Encrypt Message</code>, se non si possiede la chiave pubblica del destinatario verrà chiesto quale utilizzare (usarne una diversa renderà il messaggio illeggibile per il destinatario, salvo uno stesso contatto utilizzi più account o comunque abbia accesso alle relative chiavi private). Cliccare invece su '''Download Missing Keys''' per scaricarla da un keyserver. | ||
=Utilizzo= | =Utilizzo= | ||
Dopo che due contatti sono entrati in possesso della chiave pubblica dell'altro, possono iniziare a comunicare in modo cifrato e a verificare l'autenticità delle firme digitali. | Dopo che due contatti sono entrati in possesso della chiave pubblica dell'altro, possono iniziare a comunicare in modo cifrato e a verificare l'autenticità delle firme digitali. | ||
| Riga 147: | Riga 126: | ||
Ciò avviene perché si è entrati in possesso della chiave pubblica del contatto, ma non si è ancora scelto per essa un livello di fiducia in <code>OpenPGP -> Key Management</code> che la chiave pubblica sia associata a quell'indirizzo email. Rivedere la sezione sul livello di fiducia.}} | Ciò avviene perché si è entrati in possesso della chiave pubblica del contatto, ma non si è ancora scelto per essa un livello di fiducia in <code>OpenPGP -> Key Management</code> che la chiave pubblica sia associata a quell'indirizzo email. Rivedere la sezione sul livello di fiducia.}} | ||
=Disinstallazione= | =Disinstallazione= | ||
Se si desidera disinstallare il programma, è bene ricordare che '''tutte''' le mail criptate non saranno più leggibili se non si dispone di altro software compatibile con '''OpenPGP'''. C'è quindi il problema anche di comunicare ai propri contatti di non utilizzare più la propria chiave pubblica, se necessario anche sfruttando il certificato di revoca precedentemente creato, oltre che rimuovendo la propria chiave dai keyserver in cui è stato effettuato l'upload. | Se si desidera disinstallare il programma, è bene ricordare che '''tutte''' le mail criptate non saranno più leggibili se non si dispone di altro software compatibile con '''OpenPGP'''. C'è quindi il problema anche di comunicare ai propri contatti di non utilizzare più la propria chiave pubblica, se necessario anche sfruttando il certificato di revoca precedentemente creato, oltre che rimuovendo la propria chiave dai keyserver in cui è stato effettuato l'upload. | ||
| Riga 156: | Riga 133: | ||
{{Warningbox|Il pacchetto '''gnupg''' potrebbe essere stato già presente.}} | {{Warningbox|Il pacchetto '''gnupg''' potrebbe essere stato già presente.}} | ||
=Fonti= | =Fonti= | ||
I collegamenti ai software utilizzati ne facilitano il recupero su altre piattaforme. Per Windows in particolare '''GnuPG''' è distribuito in forma binaria all'interno della suite di programmi '''Gpg4win''', che include anche altre cose e di cui è sufficiente la versione ''Light''. E non è necessario che le versioni in uso siano equivalenti per poter comunicare. | I collegamenti ai software utilizzati ne facilitano il recupero su altre piattaforme. Per Windows in particolare '''GnuPG''' è distribuito in forma binaria all'interno della suite di programmi '''Gpg4win''', che include anche altre cose e di cui è sufficiente la versione ''Light''. E non è necessario che le versioni in uso siano equivalenti per poter comunicare. | ||
| Riga 176: | Riga 151: | ||
; [http://it.wikipedia.org/wiki/GNU_Privacy_Guard GnuPG (GNU Privacy Guard)] | ; [http://it.wikipedia.org/wiki/GNU_Privacy_Guard GnuPG (GNU Privacy Guard)] | ||
; [http://enigmail.mozdev.org/documentation/handbook.php.html Handbook di Enigmail] | ; [http://enigmail.mozdev.org/documentation/handbook.php.html Handbook di Enigmail] | ||
{{Autori | {{Autori | ||
|Autore = [[Utente:HAL 9000|HAL 9000]] | |Autore = [[Utente:HAL 9000|HAL 9000]] 18:55, 18 feb 2012 (CEST) | ||
}} | }} | ||
[[Categoria: Crittografia]][[Categoria: Client_Mail]] | [[Categoria: Crittografia]][[Categoria: Client_Mail]] | ||