di Andrea Monti – PC Professionale n. 100/101
Grazie all’emanazione delle norme tecniche per l’impiego della firma digitale torna alla ribalta la crittografia e – inevitabilmente – PGP, “IL” programma crittografico per eccellenza, oggetto di violente polemiche in tutto il mondo e persino delle attenzioni dei servizi segreti statunitensi che cercarono di incriminare Phil Zimmermann (l’autore del programma) per esportazione illegale di materiale equiparato alle armi da guerra.
Questa non è – come potrebbe sembrare la trama di una spy-story ma la sintetica, nuda e cruda verità.
La storia comincia nei primi anni ’90 quando un programmatore del Colorado, tale Phil Zimmermann decise di creare un programma che consentisse a chiunque di ottenere una “riservatezza niente male” (in inglese, Pretty Good Privacy), visto che fino a quel momento i cittadini statunitensi erano privi di qualsiasi baluardo contro l’abusiva cognizione dei dati di loro pertinenza. Questa decisione costò a Zimmermann parecchio, infatti venne accusato di esportazione illegale di software e violazione di brevetto.
Quanto alla prima accusa, il problema nacque dal fatto che per la legge americana la crittografia forte (quella molto difficile da decrittare) non può uscire dai confini statunitensi e quando PGP fece la sua comparsa nel resto del mondo (potenza della Rete) si cercò di punire questo novello Prometeo per avere rubato il fuoco (la crittografia) agli dei (americani) e averlo dato agli uomini (il resto del mondo).
L’altra accusa riguardava il fatto che PGP utilizzava l’algoritmo RSA, brevettato dalla RSA Data Security. Entrambe le accuse però si risolsero in un nulla di fatto e ancora oggi PGP è liberamente utilizzabile e disponibile praticamente ovunque.
Ma – potrebbe pensare qualcuno – come è possibile che PGP si trovi anche all’estero se ne è vietata l’esportazione? La risposta è tanto semplice quanto sconcertante. Noterete che le versioni non americane del programma sono contraddistinte dalla lettera “i” che sta per “international”.
Bene: ogni volta che esce una nuova versione del software, i suoi sorgenti vengono stampati e spediti in Europa dove tramite uno scanner sono digitalizzati e poi ricompilati, il tutto nella più rigorosa osservanza della legge: per l’ordinamento americano esportare software crittografici è infatti vietato, ma spedire all’estero un libro di informatica no!
Le versioni americana e internazionale sono freeware per uso personale mentre richiedono il pagamento della licenza per uso commerciale.
Qualche indicazione tecnica
PGP esiste per molte piattaforme, la versione attuale per sistemi Windows 9X/NT è la 6.02 (disponibile anche nella versione internazionale), mentre quella per Mac, UNIX e LINUX è la 5.5.3i.
La cosa fondamentale da capire per usare PGP è il concetto di crittografia a chiave pubblica. Si tratta di un meccanismo matematico che funziona con una coppia di chiavi, una pubblica (cioè nota a tutti) e l’altra privata (conosciuta solo all’utente). Molto schematicamente (mi perdonino gli esperti per le semplificazioni), quando qualcuno vuole inviarmi un messaggio ed essere sicuro che io solo possa leggerlo, è sufficiente che cifri il testo in chiaro (cioè, ad esempio, la mail) con la chiave pubblica per ottenere una sequenza di caratteri che solo il possessore della chiave privata riuscirà a decifrare.
A differenza dei sistemi tradizionali, infatti, che si basavano su una sola chiave per entrambe le operazioni, quelli a chiave pubblica ne usano una per cifrare e un’altra per decifrare: in questo modo il mittente (e nessun altro) potrà intervenire abusivamente sul testo cifrato.
Come funziona una sessione di lavoro con PGP
Il primo passo è creare la propria coppia di chiavi, funzione alla quale è dedicato il modulo PGP Keys. Dal menu “Keys” si seleziona la voce “New Keys” (oppure si fa clic sull’icona della chiave dorata in alto a sinistra) per lanciare il wizard che richiede alcuni dati per generare la coppia di chiavi. Molto importante è la generazione della passphrase, cioè di una password aggiuntiva che consente l’uso delle chiavi. In pratica l’eventuale malintenzionato che volesse decrittare i vostri messaggi dovrebbe impadronirsi non solo della chiave privata ma anche della passphrase che dunque è opportuno conservare molto gelosamente.
Terminata la generazione delle chiavi è possibile inviare quella pubblica a uno dei keyserver ad accesso pubblico, in modo che chiunque possa prelevarla o verificarne l’autenticità, ma attenzione, questi server non identificano chi si collega, per cui potrei senza alcun problema registrare una chiave a nome Joe Di Maggio o Dante Alighieri. È opportuno che lo scambio delle chiavi avvenga di persona o tramite canali sicuri, come ad esempio i PGP signing party organizzati dal CERT-IT dell’Università Statale di Milano durante i quali chi vuole, può gratuitamente farsi certificare la propria chiave in modo che il CERT si faccia garante della corrispondenza fra questa e l’utente che la impiega.
PGPKeys consente anche la gestione del “portachiavi digitale” importando ed esportando le chiavi altrui.
Un altro modulo è PGPTools che consente di firmare, cifrare e decifrare sia file che il contenuto della clipboard ma non solo. Sono infatti presenti altre due funzioni estremamente utili: il wipe e PGPDisk. Il primo comando consente di cancellare in modo definitivo file e spazi liberi del disco in modo che nemmeno programmi di data-recovery (come le Norton Utilities) possano recuperarli. Il secondo consente di creare un disco virtuale nel quale i file vengono custoditi in cifra, in pratica una specie di cassaforte elettronica. Un avvertimento: la versione per Windows di questo modulo rilasciata con PGP 6.01 contiene un bug che la rende inaffidabile, quindi è necessario impiegare la 6.02.
Per quanto riguarda la posta elettronica, PGP è fornito con i plug-in per Eudora e Outlook, ma esistono dei prodotti sviluppati da terze parti che consentono l’uso di questo programma anche in altri : ad esempio Pegasus Mail (l’e-mail client freeware), impiega QDPGP (freeware anch’esso) reperibile su http://www .pegasus.usa.com.
I siti di riferimento sono essenzialmente due: http://www.pgp.com (dove si trovano le versioni americane non esportabili) e http://www .pgpi.com (che fornisce le versioni freeware per tutte le piattaforme liberamente utilizzabili senza le restrizioni normative statunitensi).
Un ultimo avvertimento: PGP è molto robusto ma non invulnerabile per cui non fidatevi troppo del fatto che avendo protetto i dati con questo programma siate in una botte di ferro. Lo stesso manuale d’uso mette in guardia dalla falsa sicurezza generata da eccessiva fiducia. In altri termini, un conto è guidare un’autovettura convinti che sia tutto a posto ma ignorando che i freni sono difettosi, un altro conto è farlo ben consci del problema.
Avvertireste la differenza in modo tragicamente evidente alla prima curva.
Possibly Related Posts:
- Dopo SPID è ora di cancellare anche la firma digitale
- Le firme digitali scadute mettono a rischio milioni di atti giuridici
- Quello che Apple non dice (sulla sicurezza dei propri prodotti)
- Il vero “falso Klitschko” mette in crisi processi e identità digitale
- Cosa c’è di nuovo nel Metaverso?