Come funziona Pretty Good Privacy e come puoi utilizzarlo per comunicazioni sicure

Credito immagine: Mr. Robot Wallpaper

L'invio di informazioni riservate tramite Internet è sempre snervante. Che cosa succede se qualcun altro vede le informazioni bancarie che sto inviando? O anche quei meme umidi di cui non si dovrebbe parlare?

Fortunatamente, esiste una soluzione abbastanza buona a questo problema: Pretty Good Privacy (PGP).

Un ingegnere informatico di nome Phil Zimmermann ha creato PGP nel 1991. Era un attivista anti-nucleare e desiderava un modo per trasferire informazioni in modo sicuro su Internet.

Zimmermann si è messo nei guai con il governo degli Stati Uniti nel 1993 perché PGP ha viaggiato in acque internazionali e ha raggiunto un vasto numero di paesi in tutto il mondo, violando le restrizioni statunitensi all'esportazione di software crittografico.

Oggi PGP è "di proprietà" di Symantec, ma OpenPGP, uno standard di crittografia e-mail, è implementato da più software.

Potresti anche sentire molto sul GPG. È un altro strumento software che implementa lo standard OpenPGP.

Come funziona effettivamente PGP?

PGP è molto facile da capire, in superficie. Immagina di voler inviare i dati della tua carta di credito a un amico e di scriverli su un foglio di carta. Quindi metti la carta in una scatola e la invii per posta.

Un ladro può facilmente rubare la scatola e guardare la carta che contiene i dati della tua carta di credito. Cosa potresti fare invece?

Decidi di mettere un lucchetto sulla scatola, ma ti rendi conto che devi inviare la chiave insieme alla scatola. Non va bene.

Cosa succede se incontri di persona il tuo amico per condividere in anticipo la chiave? Potrebbe funzionare, vero? Potrebbe, ma poi entrambi avete una chiave che consente di sbloccare la scatola. Come mittente, non dovrai mai più aprire la scatola dopo averla chiusa. Conservando una copia di una chiave che può sbloccare la scatola, si crea una vulnerabilità.

Alla fine hai trovato la soluzione giusta: avrai due chiavi. La prima chiave sarà solo in grado di bloccare la scatola. La seconda chiave sarà solo in grado di aprire la casella. In questo modo, solo la persona che ha bisogno di ottenere il contenuto della scatola ha la chiave che gli consente di sbloccarlo.

Ecco come funziona PGP. Hai una chiave pubblica (per bloccare / crittografare il messaggio) e una chiave privata (per sbloccare / decrittografare il messaggio). Invieresti la chiave pubblica a tutti i tuoi amici in modo che possano crittografare i messaggi sensibili che vogliono inviarti. Dopo aver ricevuto un messaggio crittografato, utilizzare la chiave privata per decrittografarlo.

Credito immagine: OpenPGP

Un breve esempio

Esistono numerosi strumenti software che implementano lo standard OpenPGP. Tutti hanno diversi modi di impostare la crittografia PGP. Uno strumento particolare che funziona molto bene è Apple Mail.

Se si utilizza un computer Mac, è possibile scaricare GPGTools. Questa applicazione genererà e gestirà le tue chiavi pubbliche e private. Si integra anche automaticamente con Apple Mail.

Una volta generate le chiavi, vedrai un'icona a forma di lucchetto nella riga dell'oggetto, quando componi un nuovo messaggio in Apple Mail. Ciò significa che il messaggio verrà crittografato con la chiave pubblica che hai generato.

Composizione di un'e-mail crittografata con PGP tramite Apple Mail

Dopo aver inviato l'e-mail a qualcuno, sarà simile a questo. Non saranno in grado di vedere il contenuto dell'e-mail finché non lo decrittografano usando la chiave privata.

Si noti che la crittografia PGP non crittografa la riga dell'oggetto di un'e-mail. Non inserire mai informazioni sensibili nella riga dell'oggetto.

Ricezione di un'e-mail crittografata con PGP

Se stai usando un software che decodifica automaticamente il messaggio usando la tua chiave privata, come Apple Mail, sarà simile a questo:

E-mail PGP decifrata

In sintesi…

  • Pretty Good Privacy (PGP) ti consente di inviare file e messaggi in modo sicuro su Internet
  • PGP genera una chiave pubblica (per crittografare i messaggi) e una chiave privata (per decrittografare i messaggi)
  • OpenPGP è uno standard di crittografia e-mail
  • GPG è un'implementazione open source di OpenPGP
  • Puoi trovare un breve elenco di software con funzionalità PGP qui

Riferimenti

  • http://philzimmermann.com/EN/background/index.html
  • https://gnupg.org/index.html
  • https://gpgtools.org
  • http://openpgp.org
  • Diagramma del flusso di lavoro PGP

Per ulteriori aggiornamenti, seguimi su Twitter.