Guide@Debianizzati.Org

Mail criptate e/o firmate con standard OpenPGP usando Icedove/Thunderbird ed Enigmail: differenze tra le versioni

Pagina Discussione

Mail criptate e/o firmate con standard OpenPGP usando Icedove/Thunderbird ed Enigmail (visualizza wikitesto)

Versione delle 10:57, 17 feb 2012

4 144 byte aggiunti ,  17 feb 2012
nessun oggetto della modifica
(Creata pagina con '{{stub}} {{Versioni compatibili}} =Introduzione= La crittografia è l'unico modo per proteggere la propria privacy dall'invio di un'email fino alla sua ricezione, in quanto ga...')
 
Nessun oggetto della modifica
Riga 26: Riga 26:
=Installazione=
=Installazione=


Per l'installazione dare il seguente comando con privilegi di amministrazione:
Per l'installazione dare il seguente comando con privilegi di amministrazione, qualora qualcuno dei pacchetti utilizzati non sia ancora presente sul sistema:


<pre># apt-get install gnupg icedove enigmail</pre>
<pre># apt-get install gnupg icedove enigmail</pre>
{{Box|Nota|In caso non si utilizzino gli stessi repository per tutti i pacchetti (per esempio in presenza di backports), accertarsi che '''icedove''' ed '''enigmail''' provengano dal medesimo. In alternativa installare ''Enigmail'' in un secondo momento, dal menù '''Tools -> Add-ons''' di ''Icedove''.}}


'''GnuPG''' potrebbe essere già installato, ma non è un componente fondamentale del sistema, quindi il comando ne garantisce la presenza. Non serve utilizzarlo direttamente, salvo si siano già generate delle chiavi da utilizzare, e serve solo per permettere il funzionamento di ''Enigmail''.
'''GnuPG''' potrebbe essere già installato, ma non è un componente fondamentale del sistema, quindi il comando ne garantisce la presenza. Non serve utilizzarlo direttamente, salvo si siano già generate delle chiavi da utilizzare, e serve solo per permettere il funzionamento di ''Enigmail''.
Riga 37: Riga 35:


'''Enigmail''' è un'estensione per ''Icedove'' e ''Thunderbird'', che aggiunge al client di posta un menù '''OpenPGP''' da utilizzarsi sia per la gestione delle chiavi, sia per la codifica/decodifica e la firma/verifica delle email.
'''Enigmail''' è un'estensione per ''Icedove'' e ''Thunderbird'', che aggiunge al client di posta un menù '''OpenPGP''' da utilizzarsi sia per la gestione delle chiavi, sia per la codifica/decodifica e la firma/verifica delle email.
{{Box|Nota|In caso non si utilizzino gli stessi repository per tutti i pacchetti (per esempio in presenza di backports), accertarsi che '''icedove''' ed '''enigmail''' provengano dal medesimo. In alternativa installare ''Enigmail'' in un secondo momento, dal menù '''Tools -> Add-ons''' di ''Icedove''.}}




=Configurazione=
=Configurazione=


Avviato ''Icedove''/''Thunderbird'', aggiungere i propri account mail. La finestra dovrebbe aprirsi in automatico se non ce ne sono ancora, ma in alternativa è sufficiente utilizzare il menù ''File -> New -> Mail Account...'' e seguire la procedura guidata.
Avviato '''Icedove'''/'''Thunderbird''', aggiungere i propri account mail. La finestra dovrebbe aprirsi in automatico se non ce ne sono ancora, ma in alternativa è sufficiente utilizzare il menù ''File -> New -> Mail Account...'' e seguire la procedura guidata.


Poi si crea (o si importa, se era già stata generata) una coppia di chiavi per ciascun account dal menù '''OpenPGP -> Setup Wizard''', che guiderà passo-passo alle configurazioni più comuni, effettuando le scelte più tecniche in modo automatico. Di default sceglie inoltre di firmare tutte le email, ma si può rivedere questa scelta dalle impostazioni del proprio account, a cui è stata aggiunta una voce dalla nuova estensione.
Poi si crea (o si importa, se era già stata generata) una coppia di chiavi per ciascun account dal menù '''OpenPGP -> Setup Wizard''', che guiderà passo-passo alle configurazioni più comuni, effettuando le scelte più tecniche in modo automatico. In particolare fa scegliere se firmare in automatico tutte le email, il che non comporta problemi di compatibilità per nessun destinatario; se criptare in automatico tutte le email, il che comporta problemi in assenza della chiave pubblica del destinatario e di default farebbe scegliere quale chiave pubblica utilizzare (ma se il destinatario non possiede la corrispondente chiave privata la mail risulterà illeggibile) ed è pertanto sconsigliata. È anche possibile impostare regole personalizzate in un secondo momento. Le chiavi sono generate automaticamente con RSA di 2048 bit e scadenza di 5 anni.


È possibile procedere manualmente nella creazione delle chiavi con ''OpenPGP -> Key Management'', che aprirà una nuova finestra. In tal caso si ricorda solo che è consigliabile l'uso di chiavi RSA di almeno 2048 bit e di chiavi con una scadenza non superiore ai 10 anni.
{{Box|Creazione chiavi RSA|La creazione di buone chiavi RSA dipende dalla generazione di numeri casuali non predicibili, anziché pseudocasuali, il che può portare a un periodo di attesa di qualche minuto, a seconda anche della grandezza della chiave. Effettuare altre attività che impegnino CPU, disco fisso e anche digitare testo con la tastiera velocizzano la procedura, in quanto producono l'entropia che sarà "consumata" nella generazione dei numeri casuali.}}


In entrambi i casi la scelta della ''passphrase'' è molto importante e serve a prevenire il furto della propria chiave privata.
È possibile procedere manualmente nella creazione delle chiavi con ''OpenPGP -> Key Management'', che aprirà una nuova finestra. In tal caso si ricorda solo che è consigliabile l'uso di chiavi RSA di almeno 2048 bit e di chiavi con una scadenza non superiore ai 10 anni. Per vedere tutte le chiavi presenti e gestite da '''GnuPG''' mettere la spunta sull'opzione relativa, altrimenti di default verranno visualizzate solo quelle che hanno un qualche problema.


Ora tutto è pronto, ci manca soltanto la chiave pubblica di ogni contatto a cui desideriamo inviare mail criptate. A sua volta tale contatto necessiterà di conoscere la nostra chiave pubblica per poterci rispondere in modo criptato.
Che si scelga la strada guidata o quella manuale per la generazione della coppia di chiavi RSA, la scelta della ''passphrase'' è molto importante e serve a prevenire il furto della propria chiave privata. Dovrà poi essere inserita ogni volta che si decripta una mail ricevuta o se ne firma una da inviare, ma può essere tenuta in memoria per tot minuti per ridurre il numero di richieste. Altrettanto importante è il certificato di revoca (''Revocation certificate''), da generare e tenere al sicuro per evitarne l'uso da parte di terzi, meglio su supporto esterno dato che non ha utilità per nessuna operazione ordinaria, ma serve per comunicare che la propria chiave privata è stata compromessa.


Per firmare una mail invece non è necessaria nessuna delle due cose. Conoscere la nostra chiave pubblica serve al destinatario unicamente per poter verificare l'autenticità della nostra firma digitale, ma può essere data anche in un secondo momento. È quindi possibile inviare email firmate anche a contatti che non utilizzano ''OpenPGP'', purché non siano criptate.
Si consulti per maggiori dettagli la [http://enigmail.mozdev.org/documentation/quickstart-ch2.php.html documentazione] sul sito ufficiale per le impostazioni base, e [http://enigmail.mozdev.org/documentation/advanced.php.html questa] per quelle avanzate.


Se si è preoccupati soltanto della propria privacy e non si hanno dubbi sull'autenticità dei mittente delle email scambiate, è sufficiente l'uso di email cifrate senza firma digitale.


=Scambio delle chiavi pubbliche=


=Scambio delle chiavi pubbliche=
Ora tutto è pronto, ci manca soltanto la chiave pubblica di ogni contatto a cui desideriamo inviare mail criptate. A sua volta tale contatto necessiterà di conoscere la nostra chiave pubblica per poterci rispondere in modo criptato. Sono possibili diversi metodi, con diversi pregi e difetti a seconda dell'ampiezza della propria rete di contatti che ricorre a email criptate e/o autenticate con firma digitale.


Sono possibili diversi metodi, con diversi pregi e difetti a seconda dell'ampiezza della propria rete di contatti che ricorre a email criptate e/o autenticate con firma digitale.
Si noti che per firmare una mail non è necessaria nessuna delle due cose. Conoscere la nostra chiave pubblica serve al destinatario unicamente per poter verificare l'autenticità della nostra firma digitale, ma può essere data anche in un secondo momento. È quindi possibile inviare email firmate anche a contatti che non utilizzano ''OpenPGP'', purché non siano criptate.


Se si è preoccupati soltanto della propria privacy e non si hanno dubbi sull'autenticità dei mittente delle email scambiate, è sufficiente invece l'uso di email solo cifrate senza firma digitale.


==Scambio diretto==
==Scambio diretto==


{{Box|TO DO|Da ampliare/rivedere}}
Il più immediato è sicuramente lo scambio diretto della chiave pubblica. Si può fare in qualunque modo, compreso via email se non si è paranoici riguardo l'attacco ''man in the middle'', ma con una web mail che utilizzi il protocollo HTTPS sarebbe (teoricamente... ) possibile soltanto dal fornitore del servizio.
 
===Scambio del file===


Il più immediato è sicuramente lo scambio diretto della chiave pubblica. Si può fare in qualunque modo, compreso via email se non si è paranoici riguardo l'attacco ''man in the middle'', ma con una web mail che utilizzi il protocollo HTTPS sarebbe (teoricamente... ) possibile soltanto dal fornitore del servizio.
Il metodo più generale basta esportare la propria chiave pubblica da '''OpenPGP -> Key Management''', mettendo la spunta su ''Display All Keys by Default''. Poi cliccare con il tasto destro del mouse e scegliere ''Export Keys to file''', cliccando infine su '''Export Public Keys only''' per esportare la sola chiave pubblica.
 
Inviare in qualche modo sicuro la chiave al destinatario, il quale da '''OpenPGP -> Key Management''' la importerà dal menù '''File -> Import Keys from File'''.
 
Una volta importata e spuntato ''Display All Keys by Default'', impostare il livello di fiducia cliccando con il destro su '''Set Owner Trust''' oppure su '''Sign key'''. Si veda la parte sul livello di fiducia.
 
===Scambio via email===
 
Dal menù ''OpenPGP'' della finestra di composizione di un nuovo messaggio oppure dal menù ''OpenPGP -> Key Management -> File'', scegliere l'opzione di inviare per email la propria chiave pubblica. Chiaramente, salvo si possieda la chiave pubblica del destinatario, il messaggio deve essere inviato non cifrato.
 
Una volta ricevuto un messaggio contenente in allegato una chiave pubblica, è sufficiente aprirlo, espandere la lista degli allegati e cliccare con il tasto destro sull'allegato, un file di testo ''ASCII armored'' con nome esadecimale ed estensione ''asc'', scegilendo '''Import OpenPGP Key'''. Se era stato firmato, non possedendo ancora la chiave pubblica, l'autenticità della firma sarà giudicata non verificata (''Unverified signature''). Dopo aver importato la chiave la firma sarà invece considerata buona, nel senso che è stata effettuata con la chiave privata associata alla chiave pubblica importata, ma comunque giudicata non fidata (''Untrusted signature'') finché non si sarà impostato il suo livello di fiducia.
 
Da '''Details''', in alto a destra nel tab del messaggio ricevuto, dopo l'importazione cliccare su '''Set Owner Trust of Sender's Key''' o '''Sign Sender's Key'''. Si veda la parte successiva.
 
===Livello di fiducia===
 
Si imposta il livello di confidenza riguardo l'autenticità della chiave pubblica e la sua corrispondenza con un dato contatto.


Via email basta allegare la chiave pubblica (dal menù ''OpenPGP'' della finestra di composizione di un nuovo messaggio oppure dal menù ''OpenPGP -> Key Management -> File'', scegliendo l'opzione di inviare per email la propria chiave pubblica) e inviarla ai contatti con cui si vuole comunicare in modo cifrato e/o autenticato.
Firmando una chiave pubblica (''Sign Key...'') si garantisce della sua autenticità, impostando il tipo di controllo effettuato per garantirne l'autenticità. Di default la firma è solo locale, ossia non può essere esportata. È tuttavia possibile esportare la chiave pubblica altrui, e in tal caso la propria firma ricopre il ruolo di garante della sua autenticità. In tal caso è comunque buona prassi di etiquette contattare prima il possessore della chiave pubblica.


Una volta ricevuto un messaggio contenente in allegato una chiave pubblica, cliccando con tasto destro del mouse sull'allegato è possibile importarla. Successivamente dal menù ''OpenPGP -> Key Management'' la si seleziona e cliccandoci con il tasto destro del mouse si potrà impostare il suo livello di fiducia. È possibile anche firmare una chiave pubblica altrui, il che equivale a riconoscerla come autentica e a garantire della sua autenticità se la si invia ad altri, purché si sia ritenuti sufficientemente affidabili dai destinatari.
Se invece si imposta il livello di fiducia su una chiave pubblica non firmata (''Set Owner Trust...''), si determina anche la fiducia concessa al proprietario della corrispondente chiave privata riguardo le chiavi pubbliche di cui garantisce.


Se si è in dubbio è in genere preferibile firmare la chiave pubblica localmente, con spunta su ''Local signature (cannot be exported)''.


==Keyserver==
==Keyserver==
Riga 77: Riga 97:




==Utilizzo==
=Utilizzo=


Dopo che due contatti sono entrati in possesso della chiave pubblica dell'altro, possono iniziare a comunicare in modo cifrato e a verificare l'autenticità delle firme digitali.
Dopo che due contatti sono entrati in possesso della chiave pubblica dell'altro, possono iniziare a comunicare in modo cifrato e a verificare l'autenticità delle firme digitali.
Riga 88: Riga 108:
Se l'email è stata firmata il destinatario sarà informato anche sulla sua autenticità. Ovvero non solo che è stato inviato da un contatto che conosce la sua chiave pubblica (e le credenziali per accedere alla casella email del mittente), ma che possiede la chiave privata (segreta) associata al mittente (verificabile da chiunque conosca la corrispondente chiave pubblica).
Se l'email è stata firmata il destinatario sarà informato anche sulla sua autenticità. Ovvero non solo che è stato inviato da un contatto che conosce la sua chiave pubblica (e le credenziali per accedere alla casella email del mittente), ma che possiede la chiave privata (segreta) associata al mittente (verificabile da chiunque conosca la corrispondente chiave pubblica).


È infine possibile ricevere un messaggio di cui '''Enigmail''' riconosce l'autenticità della firma, ovvero che corrisponde a una chiave pubblica nota, ma che non è fidata (''untrusted''). Ciò avviene perché si è entrati in possesso della chiave pubblica del contatto, ma non si è ancora scelto per essa un livello di fiducia in ''OpenPGP -> Key Management'' che la chiave pubblica sia associata a quell'indirizzo email.
È infine possibile ricevere un messaggio di cui '''Enigmail''' riconosce l'autenticità della firma, ovvero che corrisponde a una chiave pubblica nota, ma che non è fidata (''untrusted''). Ciò avviene perché si è entrati in possesso della chiave pubblica del contatto, ma non si è ancora scelto per essa un livello di fiducia in ''OpenPGP -> Key Management'' che la chiave pubblica sia associata a quell'indirizzo email. Rivedere la sezione sul livello di fiducia.




==Esportazione delle chiavi==
=Esportazione delle chiavi=


{{Box|TO DO|Parte mancante...}}
{{Box|TO DO|Parte mancante...}}




==Disinstallazione==
=Disinstallazione=


Se si desidera disinstallare il programma, è bene ricordare che '''tutte''' le mail criptate non saranno più leggibili se non si dispone di altro software compatibile con '''OpenPGP'''.  
Se si desidera disinstallare il programma, è bene ricordare che '''tutte''' le mail criptate non saranno più leggibili se non si dispone di altro software compatibile con '''OpenPGP'''.  
HAL 9000
3 581

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/27486"