L’invio sicuro di informazioni sensibili tramite e-mail e altri mezzi di comunicazione online può spesso sembrare un’operazione clandestina, come un lavoro per i servizi segreti. E se un malintenzionato intercettasse la mia e-mail e la usasse per qualche attività illecita? Dettagli bancari, documenti aziendali e persino la ricetta top-secret della famosa torta della nonna che ha deliziato le generazioni per decenni. Tutto questo potrebbe finire nelle mani sbagliate. E se ci fosse invece un software in grado di arginare questo problema? La risposta è Pretty Good Privacy. Creato nel 1991 da Phil Zimmermann e rilasciato come standard aperto con il nome di OpenPGP nel 1997, è un programma di crittografia collaudato che può essere utilizzato per crittografare testo, file, e-mail e interi dischi.
Puoi considerarlo come la tua guardia del corpo digitale.
Cos’è esattamente PGP? Esaminiamolo più da vicino.
Probabilmente il pacchetto software più diffuso per la protezione di e-mail e file, Pretty Good Privacy (PGP) è un sistema di crittografia utilizzato per proteggere le e-mail private da hacker e altri utenti: il contenuto può essere aperto e visualizzato solo dal destinatario previsto.
PGP raggiunge i suoi obiettivi utilizzando due chiavi o formule matematiche crittografiche standard. La prima chiave, nota come “chiave pubblica”, converte il messaggio o il file non elaborato in una forma di codice incomprensibile che nemmeno uno smanettone della Silicon Valley sarà in grado di decifrare. Il destinatario che utilizza la seconda chiave può quindi immettere un codice di decodifica per trasformare il messaggio in linguaggio corrente. Questa seconda chiave è definita come “chiave privata”.
Come funziona Pretty Good Privacy?
Ora che hai un’idea generale di PGP, entriamo più in dettaglio. PGP utilizza un sistema di chiavi in base al quale ogni utente possiede una chiave privata nota solo a lui. Utilizza una combinazione di tecnologie a chiave simmetrica e asimmetrica e di crittografia a chiave privata e a chiave pubblica per crittografare i dati quando vengono trasmessi sulle reti. Tutto ciò può sembrare piuttosto complesso, ma non è il caso di scoraggiarsi. Vediamo come tutto questo può funzionare nella vita reale con l’esempio seguente che può chiarire meglio il contesto.
Supponi di lavorare per una ONG leader nel settore della salute e di avere appena scoperto un sistema di frode clamoroso in cui sono in gioco milioni di euro. Con orrore, scopri che i vertici aziendali, assistiti da una società di revisione, hanno architettato questo schema e hanno tenuto segrete le proprie attività per quasi 10 anni. Questo non solo rischia di gettare discredito sul nome dell’azienda, ma potrebbe anche compromettere la fornitura di servizi ai beneficiari di molte comunità disagiate.
La tua coscienza non ti permetterà di ignorare questa grande ingiustizia. Se da un lato vuoi portare questo fatto all’attenzione di Giulia F., una nota (e fittizia) giornalista investigativa del tuo Paese, dall’altro vuoi proteggere la tua identità e garantire che queste informazioni arrivino al destinatario previsto, e solo a lui.
Avendo sentito parlare di Pretty Good Privacy da un amico smanettone e un po’ paranoico, consulti il tuo motore di ricerca preferito per acquistare questo programma. Quindi metti insieme tutte le tue scoperte e coinvolgi Giulia nella questione inviandole un’e-mail crittografata, il tutto grazie alla magia e alla sicurezza di Pretty Good Privacy: “Ciao Giulia, ho appena scoperto un possibile reato di frode che coinvolge XYZ e desidero portarlo alla tua attenzione. Potresti cortesemente farmi sapere se sei disponibile a un incontro per discutere di questo problema al più presto.”
Pretty Good Privacy genera una chiave di sessione univoca dopo che il file è stato compresso. Utilizzando la crittografia a chiave simmetrica, questa chiave crittografa il testo in chiaro convertendolo in testo cifrato. Ora puoi rilassarti un po’ perché le tue comunicazioni con la giornalista investigativa sono più sicure e le possibilità che vengano esposte sono minime. Giulia F., che non lascerà nulla di intentato per indagare su questa frode, riceve quindi il testo cifrato, la chiave di sessione crittografata e la firma digitale. Quando arriva alla giornalista, il messaggio potrebbe avere un aspetto simile al seguente:
y/masPq7TSrGUAeTY7Kcbjt5jKR/k37yVca0ZgRVn3ADSV0x3lznpJKx5siH91Hh3z2OrQObmp2Nco2U0+58
DPX2Seic5o+YaW+J8fsjNInEsqcncbbJ54OWb6wIGUf/PPXHdgH/Haisfv6vxt0gL1gDlt0X5aBftQLz6SgTaTe9ph
V9M72hStbFCrMiXry8/EOwiuTuUpYrI6B1Cz1u0vWWZXsCYi2K+kasSusr+2Uj61NC9qjDHMblxCG+RsXC
Come farà Giulia a leggere il tuo messaggio? Lo decrittografa utilizzando la sua chiave privata. In questo modo il codice viene riportato al formato originale, cioè al testo originale. E la parte migliore? È improbabile che qualcuno sappia che sei appena diventato un informatore (tranne tu e Giulia F., ovviamente, e il gatto che ti stava in grembo mentre scrivevi prima della crittografia).
Come faccio a installare Pretty Good Privacy?
Quindi hai deciso di inviare messaggi crittografati? Ecco come procedere:
1) Scegli il tuo provider PGP. A seconda del sistema operativo, ci sono diverse opzioni disponibili. I marchi più diffusi includono:
- GPG4Win (Windows)
- GPGTools (macOS)
- Engmail (Linux Ubuntu)
- OpenKeyChain (Android)
- iPGMail (dispositivi mobili iOS)
Devi semplicemente trovare e scaricare una versione aggiornata (e assicurarti che provenga direttamente dal produttore o da un’alternativa altamente affidabile!) e seguire le istruzioni per installarla. Fin qui è come qualsiasi altro programma, ma l’utilizzo di PGP richiede un piccolo sforzo in più.
2) Genera una chiave PGP e non farti spaventare dal lungo elenco di istruzioni. È alla portata di tutti, anche di chi è alle prime armi. Ecco un esempio di GPGTools per Mac:
- All’avvio del software viene visualizzata la finestra pop-up “Crea una nuova coppia di chiavi”.
- Immetti nome, indirizzo e-mail e password e clicca su “Crea chiave”. Quando crei una password, prendi in considerazione l’utilizzo di un gestore delle password come Avira Password Manager, che aiuta a generare, memorizzare e gestire le password in modo più sicuro.
- Un breve messaggio indica che la chiave è stata generata e una seconda finestra pop-up conferma che la chiave è stata creata correttamente. A questo punto puoi caricare la tua chiave pubblica cliccando su “Carica chiave pubblica” o ignorare questa operazione selezionando “No, grazie”. La chiave e la sua impronta digitale sono ora visibili quando avvii l’app GPG Keychain.
3) Crea un certificato di revoca PGP: se perdi o dimentichi la chiave privata o se qualcuno se ne appropria illecitamente puoi utilizzare il certificato di revoca per revocare la chiave. Per creare un certificato di revoca, seleziona la chiave PGP, clicca con il pulsante destro del mouse e seleziona “Crea certificato di revoca” nel menu.
Quanto è sicuro Pretty Good Privacy e vale la pena?
A condizione che sia usato correttamente da singoli individui e dipendenti di organizzazioni, PGP è considerato estremamente sicuro. Il metodo di crittografia impiega algoritmi generalmente considerati inviolabili, per cui proteggere i dati con PGP rende quasi impossibile l’intercettazione da parte degli hacker.
In definitiva, la crittografia con PGP può essere uno strumento potente per proteggere i tuoi dati e la tua privacy online e perfino la tua stessa sicurezza se le informazioni che condividi potrebbero causarti guai seri se dovessero cadere nelle mani sbagliate. Ma in un’epoca in cui si possono fare tante cose con un solo gesto su un telefono cellulare, dal fissare un appuntamento all’acquisto di un frigorifero, PGP può risultare complesso e macchinoso da usare. Tutto dipende dalla quantità di privacy di cui hai veramente bisogno e da quanto vuoi impegnarti per ottenerla. Per la maggior parte di noi esistono altre soluzioni più semplici, economiche e persino gratuite per tutelare la nostra vita digitale. Avira offre una serie di prodotti e servizi dedicati alla sicurezza, alla privacy online e alle prestazioni dei dispositivi. Ad esempio, esplora le funzionalità e i vantaggi di Avira Free Security.