Mettere il “Abbastanza buono” in PGP

[ware_item id=33][/ware_item]

Pretty Good Privacy (PGP) è il programma di crittografia numero uno affidabile e testato. Può essere utilizzato per crittografare testo, file, e-mail o interi dischi.


È stato creato nel 1991 da Phil Zimmermann ed è stato rilasciato come standard aperto chiamato OpenPGP nel 1997. Esiste anche un'implementazione di PGP, rilasciata sotto licenza GPL chiamata GNU Privacy Guard (GPG) dal 1999.

Zimmermann era un noto attivista anti-nucleare negli anni '80 e '90 che voleva un modo per archiviare file e informazioni fuori dalla portata del governo. Zimmerman ha creato PGP e rilasciato il software gratuitamente per tutti, includendo il codice sorgente in ogni versione.

All'inizio degli anni '90, il software di crittografia era ancora classificato come munizione militare e la sua esportazione era severamente vietata. Per contestare questi regolamenti, Zimmermann stampò il codice sorgente nei libri, quindi li distribuì in tutto il mondo. La logica era che mentre le munizioni erano rigorosamente controllate, il testo era protetto dal Primo Emendamento. Gli Stati Uniti hanno indagato su Zimmermann per tre anni, ma hanno abbandonato tutte le accuse nel 1996.

PGP è un sistema pseudonimo. Gli usi principali sono mantenere privato il contenuto dei tuoi dati e garantire l'autenticità di tutte le comunicazioni e i file. Se utilizzato insieme a software come Tor, può migliorare notevolmente l'anonimato. Tuttavia, la funzionalità di firma PGP fa esattamente l'opposto di mantenerti anonimo, viene utilizzato per dimostrare digitalmente che hai scritto una dichiarazione o rivisto un file.

A causa di questi standard aperti, è diventato possibile creare una varietà di software per tutti i dispositivi che possono interagire con un altro.

In PGP, ogni utente deve creare una chiave pubblica e una chiave privata. La chiave privata rimane sul computer dell'utente e la chiave pubblica può essere caricata in sicurezza sul Web o assegnata ad altri utenti. Non ha bisogno di essere collegato alla tua vera identità o indirizzo e-mail, ma è necessaria cautela, in modo da non confondere le chiavi!

Supponiamo che tu riceva la chiave pubblica di Alice, che potresti usarla per creare file o testo leggibili solo da Alice. Puoi anche verificare le firme di Alice, per confermare che un file proviene davvero da lei o che ha effettivamente rilasciato una dichiarazione pubblica a lei attribuita.

D'altra parte, se si dispone della chiave privata di Alice, è possibile utilizzarla per accedere ai file destinati esclusivamente a lei. Puoi anche usarlo per firmare file e dichiarazioni come Alice. Questo è il motivo per cui è necessario mantenere privata la chiave privata e può essere pericoloso se il computer è compromesso. Se qualcuno accede al tuo computer, potrebbe anche ottenere l'accesso alla tua chiave privata.

Mentre la matematica dietro PGP è considerata a prova di proiettile, ci sono molti possibili exploit. Il problema più grande è il modo migliore per autenticare le chiavi pubbliche. Poiché chiunque può caricare e distribuire una chiave con qualsiasi nome, è necessaria una verifica per assicurarsi che la chiave che si sta utilizzando appartenga davvero alla persona a cui si ritiene appartenga.

PGP cerca di risolverlo con ciò che chiamano "la rete della fiducia". L'idea è che sebbene tu non abbia incontrato la persona con cui stai interagendo, forse un tuo amico fidato lo ha fatto. O un amico fidato del tuo amico fidato, e così via. Per ricreare questa catena di fiducia, ogni utente dovrebbe firmare la chiave del proprio amico. Tuttavia, questo processo può rivelare informazioni private e compromettenti ed è un processo piuttosto stancante. Di conseguenza, la rete di fiducia non è abbastanza usata per renderla utile.

Impostare

Per configurare PGP sul tuo dispositivo dovrai installare un programma e creare la tua chiave PGP. Esistono molti programmi per esigenze diverse, ma ci concentreremo solo su quelli più utilizzabili.

Mac

Mac OS X: GPGTools https://gpgtools.org/

iOS

iOS: iPGMail https://ipgmail.com/

finestre

Windows: GPG4Win https://gpg4win.org/

androide

Android: Guardian Project https://guardianproject.info/code/gnupg/

Linux

Ubuntu: Seahorse https://wiki.gnome.org/Apps/Seahorse/
Ubuntu: Enigmail https://www.enigmail.net/home/index.php

Crea la tua chiave ed esegui il backup

Per utilizzare PGP è necessario creare una chiave PGP. Il programma PGP scelto richiederà un nome e un indirizzo e-mail. Anche se non importa quale identità scegli, sarà molto più semplice integrare PGP nel tuo programma di posta se usi un indirizzo email di tua proprietà.

ExpressVPN consiglia di impostare una data di scadenza sulla chiave, per circa 2-3 anni in futuro. Puoi sempre modificare questa data, purché tu non abbia perso l'accesso alla tua chiave PGP.

ExpressVPN consiglia inoltre di creare una chiave con la dimensione massima (almeno 2048 bit) e impostare una password lunga e complicata (che è possibile generare con il nostro generatore di password casuali).

Se perdi la password, perderai anche l'accesso alla tua chiave PGP e non sarai in grado di decrittografare tutti i file ad essa associati. Assicurati di eseguirne il backup e, se non ti fidi di te stesso per ricordare la password, esegui il backup separatamente. Potresti salvarlo nel tuo gestore di password o semplicemente scriverlo e tenerlo in un luogo sicuro.

Ora hai la tua chiave PGP! Congratulazioni! Ora puoi caricarlo su un server pubblico in modo che le persone possano vederti usare PGP e trovare la tua chiave.

Certificato di revoca

Il prossimo passo è creare un certificato di revoca. Non preoccuparti di proteggere il tuo certificato di revoca. In effetti, vuoi mantenerlo il più accessibile possibile! Invialo a te stesso come allegato e-mail, inseriscilo nella directory di Dropbox e mantienilo sull'unità standard. Se si perde la chiave privata, si dimentica la password o, peggio ancora, se qualcun altro vi accede, è possibile revocare la chiave con il certificato di revoca. La revoca della chiave privata farà sì che gli altri non ti invieranno più file con quella chiave. Questo impedisce anche due chiavi valide di te che fluttuano intorno, un'altra fonte di confusione.

di riserva

Il backup della chiave è più complicato. Volete che il vostro backup sia il più sicuro possibile. Spero che non sia necessario preoccuparsi troppo che sia accessibile.

Assicurati sempre di eseguire il backup della chiave PGP e della sua password separatamente. Ad esempio, è possibile scegliere di conservare la password nel gestore password e archiviare la chiave su una chiavetta USB nella propria cassetta di sicurezza o banca.

Se hai impostato backup automatici per i tuoi dati ordinari, puoi tenerli insieme, ma assicurati che siano crittografati correttamente!

Sicurezza e accessibilità sono spesso in conflitto. Più la chiave è accessibile a te, più sarà accessibile anche agli altri. Pensa alle tue preferenze di rischio quando prendi decisioni sulla complessità della password e sulla posizione dei tuoi backup. Qualcuno in fuga da un governo autoritario dovrebbe impegnarsi maggiormente nella propria sicurezza rispetto a un comune cittadino che vuole solo difendere il proprio diritto alla privacy online.

Ottieni le chiavi

Dovrai ricevere le chiavi PGP pubbliche dei tuoi contatti prima di poter inviare loro messaggi crittografati o verificare i tuoi file e dovrai anche pubblicare i tuoi.

Puoi caricare la tua chiave PGP su un key server, che è probabilmente il posto più comodo per ricevere i tuoi contatti. Puoi anche ospitarlo sul tuo sito Web, collegarti ad esso nella tua biografia di Twitter o utilizzare un servizio dedicato come keybase.io. Puoi persino caricare la tua chiave PGP sulla tua pagina Facebook.

Una chiave PGP può essere identificata con un ID utente (un nome o un indirizzo e-mail), un ID chiave (come 0x0BACE776) e un'impronta digitale (come 509E 7B97 D266 A283 DC10 5E6F 57ED 72A2 0BAC E776). Mentre l'ID chiave e l'impronta digitale sono entrambi calcolati dalla chiave PGP stessa, l'ID chiave è un po 'troppo breve per identificare in modo univoco la chiave, quindi è preferibile invece l'impronta digitale. Perché non stamparlo sul tuo biglietto da visita per rafforzare la tua identità e il tuo stato online come persona esperta e attenta alla privacy?

Crittografa i file

Per crittografare i file, è necessaria la chiave pubblica della persona a cui si desidera inviare i file crittografati. Puoi anche scegliere la tua chiave pubblica o utilizzare più chiavi PGP diverse.

Puoi usare PGP per conservare comodamente il tuo portafoglio Bitcoin su una chiavetta USB. I vantaggi sono numerosi e non dovrai preoccuparti di chi ha accesso alla chiavetta USB o se potrebbe essere stato copiato a tua insaputa. Non è inoltre necessario ricordare una password o comunicare la password al destinatario previsto del file, che è spesso impossibile senza canali crittografati.

Il software moderno semplifica la crittografia e la decrittografia dei file. Spesso è semplice come fare clic con il pulsante destro del mouse sul file in questione. Seleziona una chiave e il processo creerà un file .gpg o .pgp che può essere inviato in sicurezza su Internet, archiviato su un'unità di archiviazione esterna o conservato nel cloud.

Firma i file

Chiunque può crittografare un file e inviarlo a te e anche se il file proviene dall'indirizzo email del tuo contatto, non è garantito che il file sia stato effettivamente inviato da loro. PGP offre la possibilità di firmare file, il che dimostra senza dubbio che il file proviene dal tuo contatto.

Puoi scegliere di crittografare e firmare un file, solo per crittografarlo o semplicemente firmarlo. È possibile utilizzare questa funzione per firmare dichiarazioni pubbliche o per firmare versioni di software. È molto comune tra i progetti software open source firmare qualsiasi codice e programma.

Se il software non fosse stato firmato, sarebbe molto difficile verificarne l'autenticità, poiché un utente malintenzionato avrebbe potuto introdurre backdoor nel software senza la conoscenza degli sviluppatori.

Questi file di firma hanno generalmente lo stesso nome dei file che rappresentano, oltre alle terminazioni .asc o .sig.

In alcuni software è possibile verificare una firma semplicemente facendo doppio clic sul file della firma o eseguendo il comando gpg –verify file.sig

È necessario disporre della chiave PGP del firmatario per verificare la firma.

Sebbene sia impossibile per un utente malintenzionato modificare un file crittografato senza che il proprietario lo scopra, potrebbe essere comunque molto utile per l'utente malintenzionato sapere chi ha crittografato il file in primo luogo. Le persone in cerca di anonimato devono creare con cura nuove chiavi PGP per ciascuno dei loro contatti, il che può essere complicato e soggetto a errori. In tali casi potrebbe essere più appropriato utilizzare la tecnologia dei messaggi crittografati come OTR, che offre crittografia e autenticazione affidabili.

Firma e crittografa il testo

—– INIZIA MESSAGGIO FIRMATO PGP—–

Hash: SHA1

Con PGP puoi firmare e crittografare praticamente qualsiasi cosa. In alcuni software, è sufficiente scrivere semplicemente il testo in un editor di testo, quindi firmarlo o crittografarlo con un clic destro.

Ecco come apparirà la tua firma PGP. Può essere pubblicato in un commento Reddit, post di blog o e-mail, per dimostrare che sei davvero tu a fare un commento:

—– INIZIA FIRMA PGP—–

Versione: GnuPG v1

iQIcBAEBAgAGBQJWVXw0AAoJEIMuYyhAgNc6wKoP / AwSaInjpoSQKUBPukE + TY4vXWnoh1dCiOcLzCsbAz7IvLmtoILlGxfLwi0XUhAUQTKEAHxpWKbUTY / 5MNFA1UUscHSH4t + aCtlFxNk4mMCtZO7c3JPh91U1rgN1K9J5YE9flpk + P5F5fdEhF4iD05P67uf4 + t / k5cupD + pZv8pGnB + 5rpPPe7ODE5ptA3DyI3i8srrvKVkictxYub9RDknqYJAaE / xxFZ7 + mAZxM64gnN8Rwf + euDqdrf3PqiIUW6kcdvqJOyx7WZt + ows84kEze8AR3QhS1FBJfP3xAhsibBfy0sUSJopyl9kKIEDCcfGDf9Mthe3kzVUUayxz8AOrGC5ce6isg3YN4Nsi8K7idhPQyPgjBWtKWfuuYSUG + dPObVD + pFUkgOnrm07Qhp4ZVXKbuOnqf4swqc4vnW9C / 9ADwk2 / fat071fik8ohDzF9l4Cpm + iLj5w7Pv5iivvfe2oz0WCxnr6wj4XX5MsDTNOmMmObCWbnla + uYEJtDlbWse8XOq7q / DiMT9p + ZtHkSwrQ + 3TLNHxxJK7UJJFdlfZUZqC06LsSb2yEBh7rJytoN2PrpjB5H7Zx99DC5v + i1klr4hbrLeHtd + fVl1AGrMz + agcO6YQGpHJ0hhJXVrRruJjLJzOhJkzUU3o0rHeHRk69jKdAKpsOqABsunt5 = / qhs

—–END FIRMA PGP—–

Crittografa le email

Quando scrivi e-mail private, non è una buona idea scriverle nella cartella bozze del tuo provider di posta elettronica. Tutto ciò che fai in quella cartella viene salvato per sempre e non sai chi ha accesso ad essa. Un'alternativa è scrivere le tue e-mail nel blocco note, crittografare il testo e incollare il testo crittografato nell'e-mail. Scrivere e-mail nel blocco note può essere faticoso e copiare e incollare ancora di più le versioni crittografate. Fortunatamente, ci sono plugin per software di posta come Thunderbird (Enigmail) e Apple Mail (GPGTools) che facilitano il processo di decrittografia e crittografia. È una protezione della privacy molto forte anche dagli avversari più sofisticati.

Una grande cosa che puoi fare all'istante è caricare la tua chiave PGP su Facebook e ricevere tutti gli aggiornamenti e le notifiche in forma crittografata. Ciò è particolarmente utile per informazioni sensibili sulla sicurezza come il ripristino di una password. L'uso di un PGP su Facebook impedirebbe a un hacker di dirottare il tuo account Facebook tramite il tuo account e-mail.

Metadati e sicurezza

PGP è progettato per nascondere il contenuto di file e messaggi, ma non protegge i tuoi metadati. I metadati possono includere nomi di file, dimensioni di file, intestazioni di e-mail, date di creazione e destinatari. Un hacker potrebbe imparare molto da tali conoscenze, quindi è importante rimanere cauti su ciò che condividi, anche quando usi PGP.

È anche facile per chiunque possieda un file crittografato vedere per chi è crittografato e chi lo ha firmato. PGP non offre segretezza diretta, quindi se la tua chiave viene compromessa un utente malintenzionato può accedere a tutte le tue comunicazioni crittografate di file. Possono decifrare tutto, compromettendo potenzialmente anni di e-mail e trasferimenti di file.

Ecco perché dovresti crittografare le tue chiavi con una buona password, utilizzare più chiavi in ​​più situazioni e sostituire regolarmente le tue chiavi PGP.

È anche importante sapere che PGP non crittografa i nomi dei file o le intestazioni delle e-mail. Quindi fai attenzione a ciò che scrivi in ​​essi!

Mettere il "Abbastanza buono" in PGP
admin Author
Sorry! The Author has not filled his profile.