Vuoi davvero sicuro Gmail? Prova la crittografia GPG

Forse l'annuncio di Google secondo cui gli hacker cibernetici cinesi sono andati dopo gli account Gmail degli attivisti per i diritti umani, ti ha reso schivo del modo in cui i tuoi messaggi privati ​​sono sul servizio di posta elettronica di Google.

Bene, se vuoi fare un passo significativo nel tenere gli sguardi indiscreti lontano dalla tua corrispondenza elettronica, vale la pena guardare una buona tecnologia di crittografia che precede completamente Google. Si chiama crittografia a chiave pubblica e sto condividendo alcune istruzioni su come farlo funzionare se vuoi provarlo.

Sfortunatamente, una maggiore sicurezza va di pari passo con un maggiore disagio. Ma alcuni attivisti per i diritti umani che hanno usato Gmail in questo momento probabilmente vorrebbero sopportare un piccolo disagio per tenere a bada gli hacker. Non mi spingo fino a raccomandare l'uso della crittografia e-mail, ma penso che sia un buon momento per dare un'occhiata da vicino.

Nello specifico, mostrerò qui come utilizzare una raccolta di pacchetti software gratuiti o open source: GPG, GNU Privacy Guard, il software di posta elettronica Thunderbird di Mozilla Messaging e il suo plug-in Enigmail. CNET Download.com ospita anche Thunderbird per Windows e Mac ed Enigmail per tutte le piattaforme.

Ma prima, alcuni retroscena su come funziona.

Crittografia a chiave pubblica

La crittografia codifica i messaggi in modo che solo chi ha una chiave (o una quantità enorme di potenza di calcolo o la conoscenza di come sfruttare una vulnerabilità della crittografia) possa decodificarli. Una forma è chiamata, curiosamente, crittografia a chiave pubblica, e questo è ciò che GPG ed Enigmail usano.

Ecco la versione rapida di come funziona. Ottieni una chiave privata nota solo a te stesso e una chiave pubblica disponibile per chiunque altro. La persona con cui stai correndo ha anche un paio di chiavi. Sebbene le chiavi pubbliche e private siano collegate matematicamente, non è possibile derivarne una dall'altra.

Per inviare un messaggio privato, qualcuno lo crittografa con la tua chiave pubblica; quindi decrittalo con la tua chiave privata. Quando è il momento di rispondere, crittografate il vostro messaggio con la chiave pubblica del destinatario e il destinatario lo decodifica con la sua chiave privata.

I messaggi in transito da una macchina all'altra sono un mucchio di gobbledygook testuale fino alla decodifica. Se sei abbastanza prudente da crittografare la tua e-mail, dovresti essere consapevole del fatto che ci sono ancora alcune informazioni che si diffondono nel mondo esterno. La riga dell'oggetto non è crittografata e qualcuno potrebbe interessarsi all'identità dei tuoi contatti e-mail attivi e ai tempi e alla frequenza delle comunicazioni.

Quindi, come scopri la chiave pubblica del tuo corrispondente? Puoi recuperare la chiave di prima mano dal corrispondente, oppure cercarla su computer pubblici della rete chiamati server delle chiavi: la mia è memorizzata su pool.sks-keyservers.net.

Questa forma di crittografia ha un altro vantaggio: puoi firmare la tua e-mail elettronicamente in modo che il destinatario sappia che è veramente da te. Questa volta il processo funziona in senso inverso: tu firmi la tua e-mail con la tua chiave privata, quindi il tuo destinatario verifica che venga da te usando la tua chiave pubblica.

Svantaggi in abbondanza

Valutato in base ai vantaggi di crittografia della privacy e della firma dei messaggi è il fatto che perderai l'accesso al servizio che ti potrebbe piacere o dipendere.

Quando vedi un messaggio di posta elettronica crittografato nel Gmail basato sul Web, non ha senso. Google non lo indicizza, quindi la ricerca di Gmail non funziona. E i punti di forza del cloud computing - la lettura della tua e-mail dal tuo cellulare, dal computer del tuo amico, da un chiosco di computer all'aeroporto - non è possibile. Sei ancora una volta ancorato al tuo PC con il software di crittografia installato.

Un altro inconveniente è che la tecnologia, anche se a mio avviso concettualmente gestibile, diventa rapidamente complicata. È il tipo di cosa in cui trarrai beneficio da un tocco di mano dal tuo amico tecnologicamente sofisticato. La crittografia viene utilizzata principalmente dalla folla di esperti, quindi la documentazione diventa rapidamente tecnica, le opzioni vanno rapidamente oltre la comprensione della maggior parte delle persone e l'aiuto può passare rapidamente da manuali spartani a mance su pagine di risultati di un motore di ricerca.

Dato il tempo e l'esperienza, la tecnologia intrattabile può essere battuta in sottomissione, però. Il problema più grande con la posta criptata è convincere gli altri ad installare il software e ad usarlo. Fino ad allora, sarai come il proverbiale proprietario del singolo fax del mondo: bella tecnologia, ma non c'è niente che tu possa fare fino a quando qualcun altro non ne ha uno.

La mia speranza personale è che l'e-mail crittografata diventerà più comune e che un uso più ampio ne incoraggerà alcuni aspetti che funzioneranno in modo più trasparente con i sistemi esistenti, magari attraverso plug-in locali su un computer come FireGPG, anche se sembra esserci sfida a farlo funzionare con Gmail.

Nel frattempo, ecco una raccolta di software oggi disponibile per la crittografia della posta elettronica con chiave pubblica.

Installa il software

Innanzitutto, installa il software di posta elettronica Thunderbird, se non lo hai già fatto. Raccomando la nuova versione 3.0, disponibile per Windows, Mac OS X e Linux. Una caratteristica particolarmente interessante è che il software ti chiederà il tuo indirizzo e-mail e la password al primo avvio e gli utenti di Gmail troveranno che il software gestisce automaticamente il groviglio di dettagli di configurazione che in precedenza dovevano essere impostati manualmente.

Il prossimo passo è GPG, il software a riga di comando che gestisce la crittografia, la decrittazione e la gestione delle chiavi reali dietro le quinte. Scarica la copia appropriata per il tuo sistema operativo dai link "binari" nella pagina dei download di GPG. I tecnofili apprezzeranno l'uso di questo software dalla riga di comando, ma non preoccuparti: non è necessario.

Ultimo è l'installazione del plug-in Enigmail per Thunderbird. Scarica la versione appropriata dal sito di download di Enigmail e prendi nota di dove hai salvato il file.

Enigmail non è il tipo di file che fai doppio clic per installare. Invece, vai su Thunderbird, apri il menu Strumenti e fai clic su Componenti aggiuntivi. Nell'angolo in basso a sinistra della finestra di dialogo che appare, fai clic su "Installa ..." Quando ti viene richiesta una posizione, punta a dove hai salvato il plug-in; il nome del file deve essere "enigmail-1.0-tb-win.xpi" o qualche altra variazione appropriata del sistema operativo.

Imposta il software

Quindi, è ora di iniziare. Enigmail offre utili istruzioni generalmente aggiornate, sebbene non menzionino Thunderbird 3.0 e altri argomenti.

Probabilmente avrai una procedura guidata di installazione da Enigmail, che va bene. Il mio consiglio: impostalo per firmare i messaggi crittografati di default ma non per criptare i messaggi per impostazione predefinita a meno che tu non sia sicuro che lo userai molto.

Il primo compito è generare le tue chiavi pubbliche e private - la tua "coppia di chiavi". Enigmail può gestire questo compito. In Thunderbird, fai clic sul menu OpenGPG, quindi sull'opzione "Gestione chiavi". Una nuova finestra apparirà con il proprio set di menu. Fai clic sul più a destra, "Genera".

Le opzioni predefinite sono piuttosto buone, anche se l'impostazione della chiave per non scadere potrebbe essere preferibile per alcune persone. Questo può essere cambiato in seguito, se hai dei ripensamenti. Per la tua passphrase, si applicano le normali regole per le password: più è lungo e più lontano c'è qualcosa di più in un dizionario, più è difficile da decifrare.

Ora arriva la parte migliore di tutto: aiutare il generatore di numeri casuali mentre vengono generati i tasti. Non ci vuole molto tempo, ma facendo qualcos'altro mentre accade - sfogliando una pagina Web o caricando un file di elaborazione testi, ad esempio - crea eventi che iniettano effettivamente un po 'di imprevedibilità utile nell'algoritmo. È uno di quei momenti stravaganti di informatica.

Una volta generate le chiavi, carica le tue su un server delle chiavi in ​​modo che i tuoi amici possano trovare la tua chiave. È semplice: fai clic sul menu "Server di chiavi", "Carica chiavi pubbliche" e utilizza il server pool.sks-keyservers.net predefinito.

Provalo

Ora è il momento di diventare virali. Devi trovare qualcuno su cui fare esperimenti. Passa attraverso la tua lista di amici nerd, orientati alla sicurezza, forse un po 'paranoici e inizia a reclutare. Un cappello di carta non è un prerequisito per l'utilizzo della crittografia e-mail, ma c'è una connessione.

Una volta che hai un compagno - o imposta una seconda coppia di chiavi con un altro account e-mail - inizia un nuovo messaggio e-mail e digita una riga dell'oggetto e del testo. Nel menu OpenPGP, seleziona "firma messaggio", "crittografia messaggio" e se il destinatario del messaggio utilizza Enigmail, "Usa PGP / MIME per questo messaggio". (Quest'ultima opzione ha alcuni vantaggi, ma non è supportata universalmente.)

Quando si invia il messaggio, è necessario utilizzare la chiave pubblica del destinatario per crittografare il messaggio e la propria passphrase per firmare il messaggio con la chiave privata.

Quando è il momento di leggere, avrai bisogno della chiave pubblica del tuo corrispondente per verificare la firma e la tua passphrase per decrittografarla.

L'invio e la ricezione è il luogo in cui questi server di chiavi pubbliche sono utili. Cerca, e se non lo trovi, chiedi al tuo amico di inviarti un'e-mail con la chiave pubblica.

C'è un intero nuovo mondo di crittografia - la rete della fiducia, la firma delle chiavi, le impronte digitali e così via - che non entrerò qui. Raccomando di dare un'occhiata al manuale di configurazione di Enigmail e al Manuale di Enigmail.

Se sei un pazzo da riga di comando, ti consiglio l'introduzione pratica di Brendan Kidwell e, con le mie solite riserve sull'assoluta mancanza di esempi informativi, la pagina man GPG. Gli appassionati di storia possono controllare le pagine di Wikipedia (la saga di Phil Zimmermann contro il governo degli Stati Uniti riguardo al precursore di GPG, PGP, o Pretty Good Privacy, è particolarmente notevole), e una retrospettiva del decimo anniversario del fondatore Werner Koch.

In chiusura: salva la tua chiave

C'è un ultimo compito a cui dovresti partecipare: esportare la tua coppia di chiavi. Enigmail può gestire questo fine: nel campo di ricerca, digita il tuo nome fino a quando non viene visualizzata la chiave, fai clic per selezionarlo, quindi fai clic su "File" e "Esporta chiavi su file".

Questo backup sarà utile per decodificare la tua posta su un nuovo computer, installare software da zero o gestire in altro modo le inevitabili transizioni digitali della tua vita. Ma attenzione: la chiave privata è ciò che qualcuno ha bisogno di rompere la crittografia, quindi non lasciarla dove qualcuno può trovarla.

Non sono convinto che il GPG regnerà sul mondo. In effetti, sono preoccupato che tanta documentazione che ho incontrato per questo articolo sia stata scritta prima dell'arrivo di Windows Vista.

Ma sono convinto che vi siano gravi lacune con le nostre attuali disposizioni in materia di sicurezza e privacy. Una chiave di crittografia da 2.048 bit non ostacolerà le truffe di phishing o altri attacchi di social engineering che sembrano essere stati impiegati nel caso Google-China, ma è un buon punto di partenza.

E l'uso della crittografia invia un messaggio al mondo della tecnologia: forse è ora di iniziare a prendere sul serio la nostra sicurezza. Google ha optato per le connessioni di rete Gmail crittografate, anche se tasserebbe i propri server con una maggiore elaborazione, il che è un buon inizio. Una maggiore sicurezza può essere scomoda e costosa, ma non dimenticare di considerare gli svantaggi di una scarsa sicurezza.

Messaggi Popolari

Imposta la scheda Connetti di Twitter per mostrare solo menzioni su Android, iOS

Menu di avvio 'segreto' di Windows 10

Risolvi un backup di Time Machine bloccato in OS X

I componenti aggiuntivi di Firefox eseguono automaticamente il backup di tutto ciò che scrivi

3 app che disinstallano le app su OS X nel modo giusto

Come risolvere i problemi di integrazione di Twitter in iOS 5

 

Lascia Il Tuo Commento