Posta Gmail più sicura con la crittografia dei messaggi

Con Gmail la posta elettronica viene crittografata ogni volta che ciò risulta materialmente possibile. Google ha spesso spiegato che non tutti i provider che mettono a disposizione una casella di posta TLS poi colloquiano in forma cifrata con i server MTA (mail transfer agent) del provider verso cui è diretta un’email. In altre parole, se nel caso degli account email TLS i pacchetti dati sono crittografati tra il dispositivo dell’utente e il provider che fornisce il servizio email, non è scontato che i messaggi viaggino in forma cifrata tra provider mittente e provider destinatario. Del problema Google ha parlato in queste pagine.

Come spiegato nell’articolo Proteggere gli account web e migliorarne la sicurezza, al paragrafo 10) Usare account di posta che supportano l’utilizzo della crittografia (protocollo TLS), Google mostra un lucchetto rosso quando un’email – con ogni probabilità – non verrà crittografata lungo tutto il percorso prima di raggiungere la casella di posta in arrivo del destinatario (qui il significato delle icone del lucchetto mostrate nell’interfaccia web di Gmail).

Chi utilizza Gmail deve inoltre sapere che il contenuto dei suoi messaggi di posta può essere letto in maniera automatizzata da parte di Google, come peraltro indicato nei Termini di servizio. Scrive infatti Google: “i nostri sistemi automatizzati analizzano i contenuti dell’utente (incluse le email) al fine di offrire funzionalità dei prodotti rilevanti a livello personale, come risultati di ricerca personalizzati, pubblicità su misura e rilevamento di spam e malware. Questa analisi si verifica nel momento in cui i contenuti vengono trasmessi, ricevuti e memorizzati“.

Utilizzando alcune soluzioni software per crittografare le email, è possibile rendere la posta Gmail più sicura evitando che terze parti, Google compresa, possano leggere il contenuto dei messaggi.

Gmail, posta cifrata con Mailvelope e FlowCrypt

Vi proponiamo due estensioni per il browser – Mailvelope e FlowCrypt – che permettono di rendere la posta Gmail più sicura attraverso la cifratura dei messaggi. Entrambe poggiano sull’utilizzo dello standard PGP (Pretty Good Privacy) e si occupano di generare una coppia di chiavi (una pubblica e una privata) sul sistema locale dell’utente.

Trattandosi di soluzioni basate sull’utilizzo della crittografia asimmetrica, basterà dapprima generare la propria coppia di chiavi e successivamente, non appena si riceveranno messaggi cifrati, si dovrà solo confermare la memorizzazione delle altrui chiavi pubbliche per decodificare sia il contenuto delle email che quello degli eventuali allegati.

Il vantaggio di Mailvelope è che consente di crittografare le email con i più famosi servizi di posta accessibili via web (non solo Gmail ma anche Outlook.com e Yahoo).

Facendo riferimento alla sezione Options, List of email providers, Mailvelope può essere addirittura adattato a qualunque servizio di webmail, anche quelli non direttamente supportati.
Nell’articolo Crittografare email da web con Mailvelope ormai quasi cinque anni fa vi abbiamo presentato il funzionamento di Mailvelope.

Il funzionamento dell’estensione per il browser FlowCrypt è molto simile a quello di Mailvelope.

Mailvelope è disponibile come estensione per Chrome e Firefox mentre FlowCrypt, scaricabile da qui, oltre a supportare i due browser citati, propone anche un’app Android al momento in versione beta (destinata a chi accetterà di partecipare in prima persona al programma di beta testing).

Dopo aver acconsentito all’installazione dell’estensione FlowCrypt, basterà fare clic sul pulsante Continue with Gmail quindi autorizzare l’accesso al proprio account Gmail.

L’autorizzazione potrà essere eventualmente revocata, in qualunque momento, mediante questa pagina (cliccare su FlowCrypt Browser Extension quindi su Rimuovi accesso).

Con un clic su “New encryption key” sarà possibile generare la coppia di chiavi crittografiche che saranno utilizzate per cifrare la posta di Gmail.

Fondamentale, nella schermata seguente, la scelta di una password sufficientemente lunga e complessa: essa sarà utilizzata a protezione della chiave privata nonché per la decodifica dei messaggi cifrati in arrivo.

Ogni volta che si vorrà inviare un’email cifrata, basterà fare clic sull’icona di FlowCrypt posta a destra della barra degli indirizzi del browser.
In fase di composizione del messaggio, FlowCrypt cercherà la chiave pubblica del destinatario non appena lo si imposterà usando la voce Add recipient.

Gmail non sarà in grado di leggere il contenuto delle email crittografate ma sarà comunque in grado di leggere i metadati delle stesse (data e ora dell’invio del messaggio e indirizzo email del destinatario); nel caso di FlowCrypt potrà anche accedere al testo dell’oggetto dell’email.

Va detto che usare estensioni per il browser come Mailvelope e FlowCrypt è certamente il modo più semplice e veloce per crittografare la posta Gmail. La sicurezza delle estensioni e quindi dei flussi di scambio delle email cifrate è però strettamente legata agli eventuali bug presenti nel browser (da qui l’importanza di applicare tempestivamente tutti gli aggiornamenti) e alla presenza di estensioni potenzialmente dannose, soprattutto quelle che richiedono l’autorizzazione per accedere a tutte le schede e pagine web aperte: Estensioni Chrome: come bloccare quelle troppo affamate di dati.
Se l’idea di usare un’estensione per il browser non vi andasse a genio, basterà usare un client PGP – completamente indipendente – o un add-on PGP per il proprio client di posta elettronica.