martedì 4 febbraio 2014

Come Funziona Il PGP Inventato Da Phil Zimmermann (Pretty Good Privacy)

PGP, letteralmente Pretty Good Privacy,  è un software che permette l'utilizzo di un autenticazione e privacy crittografica. Esso fu creato nel 1991 da Phil Zimmermann.


FUNZIONI ED UTILIZZI
Il software è usato per proteggere la privacy, per aggiungere un filtro di sicurezza alle comunicazioni e per dare autenticità ai messaggi in formato elettronico. Potete criptare ogni informazione privata e personale (sia che si tratti di e-mail, file o un intero hard-disk) rendendo difficile intercettare o rubare i contenuti originali delle comunicazioni a persone non autorizzate. Inoltre, offre una funzionalità chiamata “firma digitale”, che vi permette d’inviare messaggi verificabili dal ricevente, dandogli la sicurezza che il messaggio non è stato modificato durante il processo d’invio e che siete gli unici mittenti. Ciò per evitare il Phishing. Anche le altre forme di frode o le mail contraffatte che riceviamo tutti i giorni scomparirebbero, perché ai criminali non converebbe più investire in un attacco che dà pochi frutti.


OPEN SOURCE
Dato che il codice sorgente di PGP è disponibile per il download, può essere esaminato per verificare la presenza di bug e backdoor o anche solo essere studiato. Si tratta di un aspetto molto importante, soprattutto dopo alcune ultime rivelazioni secondo le quali alcune importanti agenzie per la sicurezza hanno provato a eludere la crittografia per i protocolli moderni di comunicazione.


COMPATIBILITA' 
Ci sono strumenti specifici per ogni sistema operativo.
Ad esempio, per Mac OS X esiste GP Suite, che comprende un plugin per Apple Mail, una keychain per gestire tutte le chiavi, e funzionalità per criptare/decifrare/firmare e verificare testi, file e altro. Inoltre, c’è anche MacGPG, la versione equivalente di GnuPG. Per gli utenti Windows c’è GPG4Win, che comprende una porta per GnuPG, una keychain, plugin per i principali client di posta elettronica e tutto quanto serve per cominciare.


COME FUNZIONA
Nella crittografia asimmetrica si ha bisogno di due chiavi separate, una privata (per la decifrazione o la firma digitale) e una pubblica (per criptare il testo in chiaro del messaggio o per verificare la firma digitale)che può essere data a varie persone. Tranquilli, non è necessario capire tutto subito, man mano che prendete dimestichezza con il programma diverrete sempre più esperti.
Per chiave s’intende una stringa di testo alfanumerico; essa può essere esportata a un file o caricata su un server che custodisce altre chiavi. In questo modo potete condividerla con tutti (si tratta della chiave pubblica). Questa particolare chiave viene generata da PGP mediante una vasta gamma di algoritmi per la crittografia. Bisogna ricordare che entrambe le chiavi (pubblica e privata) sono matematicamente collegate all’algoritmo; per questo motivo è possibile condividerne una parte senza compromettere la sicurezza del sistema. Da non sottovalutare un aspetto: la sicurezza della chiave non solo dipende dalla passphrase che si usa per crearla, ma anche da come si custodisce la chiave.
Se qualcuno all’infuori di voi riuscisse ad avere accesso al vostro file con le chiavi e alla passphrase (ad esempio attraverso un keylogger), l’intero sistema di sicurezza verrebbe seriamente compromesso.
È dunque di fondamentale importanza non consegnare ad altri la propria chiave privata.


LUNGHEZZA DELLE CHIAVI
Quando si crea una nuova coppia di chiavi con PGP, bisogna scegliere una lunghezza adeguata della chiave e una passphrase che protegga la chiave privata.
Maggiore è la lunghezza della chiave, maggiore sarà il tempo necessario per il processo di generazione della stessa. Tuttavia, dal momento che si tratta di un’operazione da fare una volta sola, vi consiglio di scegliere una lunghezza di almeno 4096 bit. Per una sicurezza a più lungo termine, l’ideale sarebbe una lunghezza di 8192 bit, anche se ci vorrà un pochino e quindi vi toccherà essere pazienti.
Perché è così importante scegliere una lunghezza adeguata della chiave e una passphrase forte? Mettiamo il caso che qualcuno riesca ad accedere alla vostra keychain e a ottenere una copia del file contenente la chiave privata. Se questa persona non conosce la passphrase, un modo per craccare la chiave sarebbe attaccare direttamente il sistema di crittografia; con la lunghezza della chiave consigliata (4096 o 8192 bit), ci vorrebbe troppo tempo e comunque, con le tecnologie ora a disposizione, probabilmente il malintenzionato neanche ci potrebbe riuscire.
Eventualmente si può pensare a un attacco a dizionario o a un attacco di forza bruta, per trovare una corrispondenza con la passphrase scelta per proteggere la chiave.
In definitiva, creando una chiave privata lunga, viene scoraggiato qualsiasi tentativo di attacco.


CHIAVE PUBBLICA PER DECRIPTARE I MESSAGGI
Una volta ottenuta la vostra coppia di chiavi PGP, potete procedere in questo modo: date a tutti la chiave pubblica, scrivetela ad esempio in calce alle vostre email dove si trova la firma, oppure comunicatela agli amici che vi scrivono più spesso. Anche loro devono utilizzare un sistema simile PGP per criptare i loro messaggi inserendo la vostra chiave pubblica.
Nessuna persona esterna potrebbe decifrare il messaggio, è impossibile farlo disponendo solo della chiave pubblica. Solo voi, con la vostra chiave privata, potrete decifrare il contenuto.
Per rispondere al messaggio in forma criptata, dovrete utilizzare la chiave pubblica del vostro amico.
Il meccanismo della firma digitale è esattamente l’opposto: quando inviate il messaggio, viene “firmatoo” con la vostra chiave privata e chiunque potrà verificare l’autenticità del messaggio mediante la vostra chiave pubblica. All’inizio può sembrare un pò complicato, tuttavia, configurando adeguatamente il client di posta elettronica, alla fine è una questione di un paio di click:


PERCHE' USARLO?
I governi e le agenzie di sicurezza basano la loro stessa esistenza sulla privacy, così come anche i cybercriminali. Un tempo, prima di PGP, solo con ingenti somme di denaro si potevano ottenere sistemi di crittografia sofisticati del livello militare. Prima l’utente comune non aveva un sistema per salvaguardare le proprie comunicazioni o informazioni, né c’era interesse per l’argomento.
Questa mancanza è stata colmata da PGP e per fortuna, anche dopo vent’anni, questo programma si rivela il sistema migliore per proteggere la nostra privacy e la nostra libertà.

2 commenti:

  1. Voglio solo ringraziarvi per il lavoro che svolgono e la loro volontà di condividere. Ha creato materiali eccezionali e tutti noi beneficiare della vostra generosità.

    RispondiElimina