Firma digitale e crittografia dei messaggi di posta

Questa guida spiega come apporre la firma digitale ai messaggi di posta in Thunderbird, come criptarli e decriptarli per renderli sicuri.

Introduzione

L'infrastruttura dei servizi di posta elettronica che vengono utilizzati quotidianamente è, per sua stessa natura, non sicura. Benché la maggior parte degli utenti si connetta ai propri server di posta utilizzando una connessione sicura ("SSL"), alcuni server consentono accessi non sicuri. Inoltre, durante il percorso che un messaggio segue nella trasmissione dal mittente al destinatario, le connessioni tra i singoli server non sono necessariamente sicure; è quindi possibile che i messaggi di posta vengano intercettati, letti e alterati da estranei durante la loro trasmissione.

Quando si appone la firma digitale a un messaggio, al suo interno vengono incorporate le informazioni che certificano l'identità del mittente; quando invece un messaggio viene criptato, appare "scritto in codice" e può essere letto soltanto da un destinatario che sia in possesso della chiave adatta a decriptarlo. La firma digitale garantisce che il messaggio inviato sia stato effettivamente spedito da un mittente certificato; la criptazione fornisce la certezza che il messaggio non sia stato letto o alterato durante la sua trasmissione.

Per criptare i messaggi è possibile utilizzare un sistema crittografico asimmetrico o a chiave pubblica. In questo sistema, ciascun partecipante allo scambio di dati possiede due chiavi separate: una chiave di criptazione pubblica e una chiave di decriptazione privata. Per spedire un messaggio criptato, il mittente utilizza la chiave pubblica del destinatario per generare l'algoritmo di crittografia; una volta ricevuto il messaggio, il destinatario deve utilizzare la propria chiave privata per decriptarlo.

Attenzione: si raccomanda di non condividere mai con nessuno la propria chiave privata.

Il protocollo utilizzato per criptare i messaggi di posta elettronica si chiama PGP (Pretty Good Privacy). Per utilizzare PGP in Thunderbird, è innanzitutto necessario installare:

  • GnuPG (GNU Privacy Guard): un'applicazione gratuita che costituisce uno sviluppo di PGP
  • Enigmail: un componente aggiuntivo di Thunderbird

Queste due applicazioni forniscono anche gli strumenti necessari ad apporre la firma digitale sui messaggi.

Installare GPG ed Enigmail

Per installare GnuPG, scaricare il pacchetto adatto al proprio sistema operativo dalla pagina dei file eseguibili di GnuPG. Seguire le istruzioni di installazione fornite per ciascun pacchetto. Per ulteriori informazioni (in inglese) sull'installazione di PGP sui singoli sistemi operativi, fare riferimento a:

Per installare Enigmail:

  1. In Thunderbird, selezionare Strumenti > Componenti aggiuntivi.
  2. Utilizzare la barra di ricerca posizionata nell'angolo in alto a destra per avviare la ricerca di Enigmail.
  3. Selezionare Enigmail dai risultati della ricerca e seguire le istruzioni per installare il componente aggiuntivo.

Creare chiavi PGP

Per creare le proprie chiavi pubbliche e private, procedere come indicato qui di seguito:

  1. Nella barra del menu di Thunderbird, fare clic su Enigmail e selezionare Procedura guidata di configurazione.
  2. Selezionare Avvia subito la configurazione come mostrato nell'immagine sottostante. Fare clic sul pulsante Avanti per procedere.
    TB-EnigmailAvvio_Linux-IT TB-EnigmailAvvio_Win-IT
  3. La procedura guidata permette di scegliere se apporre la firma digitale su tutti i messaggi in uscita o se impostare regole differenti in base ai diversi destinatari. Generalmente è preferibile inserire la firma digitale in tutti i messaggi di posta, in modo che tutti i destinatari possano confermare che il messaggio proviene da un mittente certificato. Non è necessario che i destinatari utilizzino la firma digitale o PGP per poter leggere un messaggio dotato di firma digitale. Selezionare Firma i messaggi in modo predefinito e fare clic sul pulsante Avanti per procedere.
  4. Successivamente, la procedura guidata permette di scegliere se criptare tutti i messaggi di posta in uscita. Non è consigliabile selezionare questa opzione, a meno che non si sia in possesso delle chiavi pubbliche di tutti i possibili destinatari a cui si intende spedire un messaggio. Selezionare No, creerò regole distinte per i singoli destinatari che invieranno le loro chiavi pubbliche e fare clic sul pulsante Avanti per procedere.
  5. La procedura guidata propone poi di apportare alcuni cambiamenti alle impostazioni di formattazione dei messaggi per una migliore interazione con PGP; in questo caso, è consigliabile selezionare l'opzione . Fare clic sul pulsante Avanti per procedere.
  6. Selezionare l'account di posta per il quale si desidera creare le chiavi. All'interno del riquadro di testo "Frase segreta" è necessario digitare una password, che sarà utilizzata per proteggere la chiave privata e per decriptare i messaggi: per questo motivo, è molto importante non dimenticarla. La password deve essere composta da almeno otto caratteri e non dovrebbe contenere nessuna parola di senso compiuto (per informazioni sulla creazione di password robuste, leggere questo articolo di Wikipedia in inglese). Digitare due volte la password scelta e fare clic sul pulsante Avanti per procedere.
  7. La schermata successiva mostra le preferenze che sono state impostate fino a questo punto. Qualora non ci siano modifiche da apportare, fare clic sul pulsante Avanti per procedere.
  8. Al termine del processo di creazione delle chiavi, fare clic sul pulsante Avanti per procedere.
  9. La procedura guidata propone poi di creare un "Certificato di revoca", da utilizzare nel caso in cui sia stata compromessa la sicurezza della propria coppia di chiavi e si presenti la necessità di avvisare i propri contatti che le chiavi non sono più valide. Se si desidera creare il file con il certificato, fare clic sul pulsante Crea certificato di revoca e seguire le istruzioni che compariranno nelle schermate successive. In caso contrario, fare clic su Avanti.
  10. Un messaggio finale avvisa che la procedura guidata è stata completata. Fare clic sul pulsante Fine per uscire dalla procedura guidata.

Inviare e ricevere chiavi pubbliche

Inviare la propria chiave pubblica per email

Per ricevere messaggi criptati, per prima cosa è necessario inviare al mittente la propria chiave pubblica:

  1. Comporre un messaggio.
  2. Selezionare Enigmail nella barra del menu di Thunderbird e fare clic sulla voce Allega la mia chiave pubblica.
    TB-EnigmailAllegaChiave_Linux-IT TB-EnigmailAllegaChiave_Win-IT
  3. Inviare il messaggio secondo la normale procedura.

Ricevere una chiave pubblica per email

Per inviare messaggi criptati, è necessario ricevere e archiviare la chiave pubblica del destinatario:

  1. Aprire il messaggio che contiene la chiave pubblica.
  2. Nella parte inferiore della finestra, fare doppio clic sul file allegato che termina per '.asc' (questo file contiene la chiave pubblica).
  3. I file contenenti le chiavi PGP sono riconosciuti automaticamente in Thunderbird: apparirà una finestra di dialogo in cui si richiederà di "Importare" o di "Visualizzare" la chiave. Fare clic su Importa per importare la chiave.
    TB-EnigmailImportaChiave_Linux-IT TB-EnigmailImportaChiave_Win-IT
  4. Un messaggio di conferma avviserà che la chiave è stata importata con successo. Fare clic sul pulsante OK per completare la procedura.

Inviare un messaggio di posta con la firma digitale e/o criptato

  1. Comporre un messaggio secondo la normale procedura.
  2. Per apporre la firma digitale al messaggio, selezionare Enigmail dal menu di Thunderbird e fare clic sull'opzione Firma messaggio. Per criptare il messaggio, fare clic sull'opzione Cifra messaggio: prima che il messaggio venga criptato, apparirà una finestra di dialogo in cui si richiederà di digitare la frase segreta.
    TB-EnigmailCifraFirma_Linux-IT TB-EnigmailCifraFirma_Win-IT
  3. Se all'indirizzo email utilizzato per l'invio è associata una chiave PGP, il messaggio sarà criptato con quella chiave. Se all'indirizzo non è associata una chiave PGP, verrà richiesto di selezionare una chiave da un elenco.
  4. Inviare il messaggio secondo la normale procedura.
Attenzione: l'oggetto del messaggio non verrà criptato.

Leggere un messaggio di posta con la firma digitale e/o criptato

Quando si riceve un messaggio criptato, verrà visualizzato un avviso in Thunderbird in cui si richiede di digitare la frase segreta per decriptarlo. Per stabilire se un messaggio in entrata è dotato di firma digitale o è criptato, è necessario fare attenzione alle informazioni che compaiono nella barra posizionata sopra il testo del messaggio.

Se la firma viene riconosciuta, compare una barra verde (come mostrato nell'immagine seguente) sopra il messaggio.

TB-EnigmailMessaggioFirmato_Linux-IT TB-EnigmailMessaggioFirmato_Win-IT

Se il messaggio è stato criptato e dotato di firma digitale, nella barra verde compare anche la formula "Messaggio decifrato".

TB-EnigmailMessaggioFirmatoDecifrato_Linux-IT TB-EnigmailMessaggioFirmatoDecifrato_Win-IT

Se il messaggio è stato criptato ma è sprovvisto di firma digitale, la barra apparirà come nell'immagine seguente.

TB-EnigmailMessaggioDecifrato_Linux-IT TB-EnigmailMessaggioDecifrato_Win-IT
Attenzione: un messaggio sprovvisto di firma digitale potrebbe essere stato inviato da un mittente che sta tentando di assumere l'identità di qualcun altro.

Revocare la propria chiave

Se si ritiene che la propria chiave privata sia "compromessa" (cioè si ritiene che qualcun altro abbia avuto accesso al file che contiene la chiave privata personale), è consigliabile revocare quanto prima la coppia di chiavi utilizzata fino a quel momento e crearne una nuova. Per revocare la coppia di chiavi in uso, procedere come indicato in seguito:

  1. Nel menu di Thunderbird, fare clic su Enigmail e selezionare la voce Gestione delle chiavi.
    TB-EnigmailGestioneChiavi_Linux-IT TB-EnigmailGestioneChiavi_Win-IT
  2. Apparirà una finestra di dialogo come quella mostrata nell'immagine seguente. Selezionare l'opzione Mostra tutte le chiavi come impostazione predefinita per visualizzare tutte le chiavi.
    TB-EnigmailMostraChiavi_Linux-IT TB-EnigmailMostraChiavi_Win-IT
  3. Fare clic con il tasto destro sulla chiave che si intende revocare e selezionare la voce Revoca chiave.
  4. Apparirà un messaggio di avviso in cui si chiede conferma di voler davvero revocare la chiave selezionata. Fare clic sul pulsante Revoca chiave per procedere.
  5. Verrà visualizzato un altro avviso in cui si richiede di digitare la frase segreta. Digitare la frase segreta e fare clic sul pulsante OK per revocare la chiave.

Inviare il certificato di revoca ai propri contatti, per informarli del fatto che la chiave personale in uso fino a quel momento non è più valida. Questo accorgimento assicura che, qualora qualcuno tenti di utilizzare la vecchia chiave per assumere l'identità del legittimo proprietario, i destinatari saranno al corrente che quella coppia di chiavi in realtà non è valida.

È stato utile questo articolo? Attendere...

Utenti che hanno contribuito a scrivere questo articolo: Michele Rodaro, MozGianluc. Tutti possono contribuire.