Il famoso Pretty Good Privacy non avrà più segreti. Una guida dove trovare le procedure dettagliate e descritte passo-passo per l'utilizzo corretto del programma di crittazione più conosciuto.
Introduzione
PGP utilizza uno schema di crittografia a chiave pubblica sviluppato nel 1991 da Philip Zimmerman. Il programma è l'insieme di diversi algoritmi di crittografia che garantiscono riservatezza e integrità dei dati (Md5, Idea, Rsa). Pretty Good Privacy è considerato uno dei più potenti programmi di crittografia, grazie anche alla distribuzione del suo codice sorgente che è stato analizzato da centinaia di crittoanalisti alla ricerca di possibili debolezze. Per proteggere i dati personali presenti all'interno del proprio hd e che non devono essere trasmessi è preferibile utilizzare sistemi di crittografia a chiave singola: essi risultano molto più semplici e veloci da utilizzare pur garantendo ottimi livelli di sicurezza; i programmi di crittografia a chiave pubblica sono invece consigliati quando è necessario scambiare o condividere i dati con più persone. Durante la procedura d'installazione PGP genera una chiave privata ed una pubblica; in questa fase il programma richiederà una passphrase, che servirà a proteggere la chiave generata. La scelta della passphrase deve essere fatta in modo accurato, poichè da essa dipende in maniera fondamentale la segretezza della coppia di chiavi.
Al termine del processo di generazione il programma aggiunge la chiave pubblica così creata al keyring (un archivio di tutti i keypair personali e delle chiavi pubbliche importate). Per chiarire le idee si può paragonare il keyring a una sorta di "mazzo di chiavi", dove vengono memorizzate le chiavi pubbliche di tutti gli utenti con cui si vogliono mantenere dei contatti e le proprie coppie di chiavi locali (pubblica e privata); infatti la condizione necessaria per poter comunicare con un utente è possederne la chiave pubblica. Esistono inoltre dei database di chiavi pubbliche accessibili liberamente via Internet (keyservers), che si occupano di immagazzinare migliaia di chiavi pubbliche e renderle disponibili a chiunque ne faccia richiesta; chi vuole può rendere disponibile ad altri la propria chiave pubblica, caricandola su uno di questi keyserver, conservandone l'indirizzo e rendendolo disponibile a chiunque voglia comunicare con lui, per esempio inserendo il link sul proprio sito o nel bottom delle proprie email.
Il pacchetto PGP mette a disposizione dell'utente dei preziosissimi tools:
- PgpKeys, che consente di gestire interamente il proprio keyring locale,
- PgpTools, che permette di crittografare, firmare, decodificare e cancellare definitivamente (wipe) qualsiasi file,
- PgpDisk, che consente di creare dei dischi virtuali crittati, utilizzabili trasparentemente come qualsiasi unità fisica.
PGP è senza alcun dubbio uno dei più potenti programmi di crittografia in circolazione; la distribuzione freeware e il porting su diversi sistemi operativi gli hanno permesso di diffondersi fino a diventare uno standard non ufficiale nello scambio di dati su Internet.
Creazione delle chiavi
Eseguire il programma PgpKeys: se è la prima volta che si usa PGP, il programma eseguirà una procedura guidata che permette di creare una coppia di chiavi. Selezionare Avanti per iniziare la creazione, scrivere il proprio nome e il proprio indirizzo di posta elettronica (fondamentali per il vostro riconoscimento da parte dei destinatari della chiave pubblica). Scegliere la lunghezza della chiave: keys più lunghe garantiranno un maggior livello di sicurezza ma renderanno tutte le operazioni di codifica e decodifica più lente. PGP di default propone chiavi da 2048 bit, che garantiscono un ottimo compromesso tra sicurezza e velocità. Interessante è la possibilità di indicare una data di scadenza per le chiavi generate, che altrimenti avranno una validità illimitata. Digitare quindi la passphrase osservando la barra indicatrice della qualità della stringa scelta (è preferibile digitare una passphrase che permetta all'indicatore di raggiungere pienamente la fine).
PGP chiederà ora di digitare a caso alcune parole sulla tastiera: il programma utilizzerà l'intervallo di pressione dei tasti per generare numeri casuali, usati come entropia per la generazione delle chiavi. Infine è possibile inviare direttamente la chiave pubblica appena creata ad un keyserver.
Distribuire la chiave pubblica
Per distribuire la propria chiave pubblica occorre lanciare PgpKeys e selezionare il tasto destro in corrispondenza della propria chiave; dal menu scegliere:
- "Export" per salvare la public key su un qualsiasi dispositivo,
- "Copy" per copiarla negli appunti e incollarla successivamente come un qualsiasi testo,
- "Send To" e poi "Domain Server" per inviarla al keyserver europeo.
Firma di un file
Selezionare l'icona del file da firmare con il tasto destro del mouse; dal menu a comparsa selezionare "Pgp" e poi "Sign". Di default, PGP creerà un nuovo file con lo stesso nome dell'originale e l'estensione
.sig: questo costituisce la firma del file e dovrà essere distribuito con esso. In seguito chiunque con un doppio clic sulla firma potrà verificare l'autenticità e l'integrità del file associato.
Crittazione di un file
E' sufficiente selezionare con il tasto destro sull'icona del file che si vuole codificare. Dal menu a comparsa scegliere "Pgp" e selezionare "Encrypt". PGP chiederà per quali destinatari deve essere eseguita la codifica: scegliere dall'elenco delle chiavi pubbliche quella del destinatario o dei destinatari a cui vogliamo inviare il file (è possibile codificare un file solo per gli utenti di cui possediamo la chiave pubblica). In caso si volesse disporre della chiave pubblica di una determinata persona bisognerà richiederla al proprietario via email, o in alternativa è possibile interrogare il database di un keyserver alla ricerca di una particolare chiave pubblica.
PgpDisk: dischi virtuali crittografati
Lanciare il programma PgpDisk, e scegliere la voce "New" dalla barra degli strumenti: inizierà la procedura guidata per la configurazione di un disco virtuale crittografato. Indicare il nome del file che PGP dovrà creare ed utilizzare per immagazzinare i dati del disco virtuale; successivamente scegliere la dimensione del disco e la lettera cui identificarlo. Digitare una passphrase considerando lo stesso criterio adottato per la creazione del proprio keypair e scegliere Avanti. Premere alcuni tasti sulla tastiera per permettere a PGP di generare l'entropia di protezione del disco virtuale. Fare clic su Avanti e poi su Fine. A questo punto, dopo la procedura di creazione del disco sarà visualizzata la finestra di formattazione. Formattare l'unità per rendere possibile la scrittura e la lettura dei propri dati. Ora sarà possibile utilizzare il disco virtuale come una qualsiasi unità fisica presente nel pc, con qualsiasi applicazione: sarà infatti PgpDisk ad occuparsi della codifica e della decodifica dei dati.
All'avvio successivo del sistema, per chiari motivi di sicurezza, i dischi virtuali verranno montati automaticamente. Per attivarli procedere nel seguente modo:
- lanciare PgpDisk, selezionare il "Mount" e scegliere il disco che si vuole montare,
- fare doppio clic sul file con estensione .pgd che rappresenta il disco virtuale scelto; l'unità sarà di nuovo accessibile insieme ai dati in essa contenuti.
PgpTools: e-mail sicure
PgpTools, come dice il nome, è la raccolta di tutte le utilities che compongono il pacchetto PGP, tra cui spicca il programma di crittazione per la posta elettronica. Utilizza gli algoritmi base di PGP, gli stessi utilizzati per la codifica dei file locali dell'utente: ricordiamo tra i principali il CAST, l'AES, il 3DES, il Twofish, l'RSA e l'hashing MD5. L'algoritmo RSA, per intenderci, è utilizzato generalmente dai server di transazione per proteggere dati sensibili (quali per esempio numeri di carte di credito).
Ma analizziamo il caso specifico dell'uso di PGP per la messa in sicurezza dei messaggi di posta elettronica. Qualunque persona può inviare email a nome di un altro utente senza che quest'ultimo lo sappia, oppure alterare i dati di una mail inviata: con i messaggi firmati ed eventualmente codificati utilizzando PGP questo non può più avvenire, e tramite le Autorità di Certificazione delle chiavi pubbliche si ha la certezza legale che l'email sia stata effettivamente inviata da colui che compare come mittente (naturalmente a patto che l'Autorità di Certificazione abbia un sistema incorruttibile).
Ecco i passaggi fondamentali eseguiti per la crittazione:
- si genera l'hash del messaggio tramite l'algoritmo MD5
- l'hash che caratterizza il messaggio in maniera univoca viene codificato con la chiave privata del mittente e viene allegato al messaggio (tramite la codifica con la chiave pubblica, se l'hash del messaggio corrisponde all'hash allegato, si ha la certezza della provenienza della mail)
- sia il testo che il suo hash vengono compressi in formato ZIP
- viene creato un numero random di 128bit
- il messaggio viene criptato tramite un algoritmo di crittografia convenzionale, utilizzando come chiave (session key) il numero casuale generato in precedenza
- PGP applica l'algoritmo di crittografia a chiave pubblica RSA per codificare la session key, ed il risultato viene concatenato al messaggio
- si utilizza infine l'algoritmo ascii Armor Radix-64 per trasformare il testo in modo che contenga solamente caratteri dell'American Standard Code International Interchange.
Chi riceve il messaggio deve decrittarlo utilizzando la public key del mittente (per decodificare un messaggio RSA crittato con key a 1024 bit senza la chiave pubblica di chi l'ha spedito ci vogliono dai 10 ai 100 anni, utilizzando cluster formato da 1.000.000 computers, quindi non so qunto convenga tentare una simile operazione).
Crittare un'email è facile:
- copiare il testo del messaggio da codificare utilizzando la combinazione CTRL+C
- da PgpTools scegliere il secondo pulsante ("Encrypt", per codificare il messaggio) oppure il quarto ("Enctypt and Sign", per codificarlo e firmarlo)
- nella finestra che si apre cliccare sul pulsante "Clipboard"
- selezionare la chiave pubblica del destinatario (o dei destinatari)
- cliccare su OK
- creare un email normalmente, inserire l'indirizzo del destinatario (o dei destinatari), inserire l'oggetto e utilizzare la combinazione CTRL+V per incollare l'ascii codificato nel corpo del messaggio (nel quale si può aggiungere anche del testo in chiaro)
- non resta che spedire l'email.
Naturalmente la procedura di decrittazione di un messaggio codificato è complementare a quella appena descritta, ed è altrettanto semplice:
- copiare il messaggio ascii crittato
- da PgpTools scegliere il quinto pulsante ("Decript/Verify")
- nella finestra che appare cliccare sul pulsante "Clipboard"
- si apre una finestra denominata "Text Viewer" dove è possibile leggere il messaggio in chiaro e copiarlo eventualmente per un uso successivo (pulsante "Copy to Clipboard").
Conclusioni
Questo metodo di protezione dei propri files e messaggi di posta elettronica è talmente sicuro da essere considerato dalle autorità americane una vera e propria arma. Dato che l'algoritmo PGP è stato inventato in America e che là le armi non possono essere esportate, Zimmerman ha dovuto ricompilare una versione debole del PGP (cioè quella che ho descritto fino adesso) per la distribuzione mondiale, e purtroppo ci si deve accontentare di quella.