La comunicazione via mail, come tutti sanno, è basata sul protocollo SMTP (Simple Mail Transfer Protocol), un sistema “semplice” che, appunto, non consente una comunicazione sicura: in altre parole, tutto il contenuto del messaggio viaggia in chiaro lungo le linee digitali. Non solo, ma rimane conservato sui server del provider per anni!!! (meditate gente… meditate) Il sistema GPG si propone di risolvere questo problema, criptando e decriptando i messaggi spediti e ricevuti.
Da buon Maccanico alle prime armi, proverò a spiegarvi come.
Principio base di funzionamento
Il meccanismo si basa sulla creazione e sull’uso di un set di due chiavi: una chiave pubblica (pub), da diffondere e pubblicare, e una chiave privata (sec), da custodire con grande cura. Le due chiavi sono generate dal sistema con un’unica operazione, utilizzando degli algoritmi matematici. Senza scendere troppo in dettaglio, ci basta sapere che GnuPG (The GNU Privacy Guard) è il progetto GNU che si occupa dello sviluppo di OpenPGP.
Ogni utente, dicevamo, avrà quindi un proprio set di chiavi.
Ecco come funziona…L’utente A vuole spedire una mail all’utente B; la mail contiene tutte le rivelazioni sulle notti alcoliche dei Maccanici genovesi, con tanto di foto compromettenti allegate! Capirete bene! È meglio che non cada nelle mani sbagliate. Per fortuna, A e B sono entrambi in possesso di una coppia di chiavi GPG. E si sono scambiati le reciproche chiavi pubbliche (e solo quelle!).
L’utente A scrive il messaggio, vi appone la propria firma univoca, e all’atto di spedirlo ne cripta il contenuto usando la chiave pubblica di B. Tale messaggio potrà essere decifrato solo usando la chiave privata di B.
La chiave privata di B è (per ipotesi) posseduta esclusivamente da B, il quale deve evitare di condividerla o perderla. In tal modo, solo il legittimo destinatario è in grado di leggere il contenuto del messaggio.
In altro modo possiamo semplificare così. La chiave pubblica di B è come una cassaforte che può essere liberamente consegnata ad A.
L’utente A scrive la lettera, prende il foglio (lo firma) e lo chiude nella cassaforte. Adesso la cassaforte (di B) può essere fatta viaggiare in tutto il mondo, in modo sicuro, poiché solo B è in possesso della chiave, ovvero del codice che la potrà aprire, e avrà anche la possibilità di controllare se la firma di A è autentica.
Ma attenzione: il meccanismo è sicuro nell’ipotesi in cui le chiavi private non vadano perse o condivise; in tali casi, il meccanismo crolla!
Cosa ci serve:
– un programma di posta adatto: Mail o Thunderbird, per esempio.
– GPGTools, 18,7 MB. Lo si scarica da qui: http://www.gpgtools.org. Con un doppio click su GPGTools.pkg ci chiede la password da amministratore e in solo colpo installiamo in Mac OS X il sistema di cifratura OpenPGP, i plugin aggiuntivi per Mail (per Thunderbird installare anche il plugin Enigmail), il pannello GPGTools nelle Preferenze di Sistema e infine il programma GPG Keychain Access.
-ovviamente gli strumenti (programma di posta, Pgp) devono essere installati sia da chi spedisce che da chi riceve.
Adesso che facciamo?
1) Creiamo il nostro set di chiavi: avviamo l’app “GPG Keychain Access”. In alto a sinistra c’è un simbolo della chiave con la scritta New. Un clic e inizia la creazione, il vostro Big Bang! Il programma vi avvisa: Generate a new key pair (state per generare una coppia di chiavi). Lasciate pure impostato il tipo su RSA default e la lunghezza a 2048. Se volete, potete dare una data di scadenza alla chiave, come per le mozzarelle (ma non è indispensabile). In Full Name scegliete se mettere il vostro vero nome o il vostro nick. Poi l’indirizzo mail associato e c’è spazio per un commento (facoltativo!). Scegliete con cura perché queste impostazioni (esclusa la data di scadenza) non saranno modificabili (almeno nei miei tentativi fatti… NdA). Siete pronti? ok, cliccate su “Generate Key”: una finestra consiglia di compiere delle azioni nel frattempo, al fine di migliorare l’interazione con il generatore di numeri casuali che lavora in background. L’altra finestra invece vi chiede una PASSPHRASE (che non è la password da amministratore). Più è lunga e complessa, più sicura sarà la vostra cassaforte. La data di nascita dei vostri figli oppure forzabrasile non lo è, mai! Inserite di nuovo la passphrase e date l’ok.
Ecco! Nella finestra dell’applicazione è apparsa la vostra coppia di chiavi. Nella colonna Tipo c’è scritto sec (ovvero secure), identifica la vostra chiave privata da custodire gelosamente.
Nella colonna ShortID c’è il numero univoco che la identifica. Adesso clic su Export e salvate la vostra chiave pubblica (solo quella) in un file ascii (“ShortID”.asc)
2) Aprite Mail. Sotto l’intestazione è apparsa una riga PGP. Create un nuovo messaggio a cui allegate il file .asc, cioè la vostra chiave pubblica. In pratica state inviando la “cassaforte” al vostro amico. Lui a sua volta userà GPG Keychain Access, tasto Import, e salverà così la vostra chiave pubblica sul suo Mac. Il primo passo è fatto, ora inizia il divertimento. (memo: dopo aver importato la chiave pubblica, è opportuno fare dal menu Messaggio > OpenPGP > AGGIORNA LE CHIAVI; oppure chiudere e riaprire Mail)
3) Il vostro amico, a sua volta, apre Mail per rispondervi, ma questa volta nella finestra del nuovo messaggio, metterà un flag su “Firmato” (per garantire la propria identità) e su “Cifrato”: nel menu a tendina sulla destra sceglierà la vostra chiave pubblica precedentemente importata. Finisce di scrivere il corpo del messaggio, di mettere gli allegati e quindi vi invia la mail criptata, chiusa nella “vostra” cassaforte.
4) Ecco, vi è arrivata una nuova mail, la selezionate, una riga con un bel lucchetto vi dice: “Questo messaggio è stato cifrato con PGP” e vi appare una finestra che chiede la vostra Passphrase, ovvero l’unica chiave che permetterà di leggere la mail. inseritela… et voilà! La cassaforte vi svela il contenuto: i nomi e la foto de iMaccanici ubriachi, addormentati con la testa sul tavolino… che figura!
Facile no?
Qualcuno di voi, spero perdonerà la sintesi e la superficialità di questo tutorial. Poche righe per spiegare il “meccanismo” e le istruzioni minime per iniziare ad usarlo. Servirà invece da stimolo per chi, più curioso, vorrà approfondirne aspetti importanti, come ad esempio la ricerca o l’upload delle chiavi pubbliche sui “server delle chiavi”. A questo indirizzo potrete cercare e scaricare la chiave pubblica nientemeno che di Steve Jobs e usarla: “Caro Steve, ti scrivo dal mio Mac…”
Buone mail sicure a tutti!