43676 Letture

Certificati digitali: firmare e cifrare i messaggi di posta elettronica

Quando si parla di PKI (Public Key Infrastructure) ci si riferisce generalmente agli accordi che consentono a terze parti di verificare l'identità di un'utente oppure di farsi garanti della stessa; ad ogni utente viene associata una chiave pubblica servendosi di software distribuiti su più sistemi.
L'adozione di una PKI consente di inviare e ricevere informazioni, ricorrendo all'uso di algoritmi crittografici, fidando su un duplice grado di sicurezza: in primo luogo, si è certi che le informazioni trasmesse non possano essere lette da parte di persone non autorizzate; in secondo luogo ci si assicura che il mittente sia veramente chi afferma di essere (e ciò grazie all'uso della firma digitale).
La PKI è da considerarsi come un insieme di software, tecnologie per la crittografia e servizi che permette di autenticare un'identità, verificare l'integrità di un messaggio o di un documento (l'uso di un certificato digitale assicura che non vi siano state modifiche durante la trasmissione in Rete), proteggere la comunicazione dagli utenti che provino a leggerne il contenuto, prevenire il ripudio (ossia impedire che il destinatario possa affermare di non aver mai ricevuto alcunché).

Un software che si rivela particolarmente utile in ambito aziendale poiché semplifica ed economizza gli adempimenti previsti per legge allorquando ci si trovi a gestire dati sensibili si chiama Enigma Lite. Si tratta di soluzione modulare che sovrintende le operazioni di trasmissione sicura ed archiviazione dei documenti andando incontro alle esigenze del singolo professionista così come a quelle di strutture di dimensioni maggiori.
Sebbene Enigma Lite, sviluppato dall'italiana GlobalTrust, si integri con il pacchetto Microsoft Office, il software rende comunque possibile firmare digitalmente qualunque tipo di file (sia esso un documento, un foglio elettronico, una e-mail) gestendo anche procedure aggiuntive.

L'iniziativa di GlobalTrust è lodevole perché mette a disposizione di professionisti ed imprese (oltre che ai semplici privati) gli strumenti per proteggere documenti importanti e trasmettere e-mail in tutta sicurezza evitando che il loro contenuto possa essere visibile da persone non autorizzate.
Utilizzabile per un periodo di 30 giorni dal momento dell'installazione, Enigma Lite consente di toccare con mano i benefici derivanti dall'adozione di crittografia e firma elettronica (GlobalTrust è uno dei pochi enti certificatori che si propongono sul mercato italiano).


Enigma Lite consta di quattro componenti principali: il “desktop manager” (finestra che consente l'accesso alle varie funzionalità messe a disposizione), gli add-in per Office (permettono di richiamare Enigma senza abbandonare l'ambiente di lavoro di Word, Excel, Powerpoint,...), i meccanismi per interfacciarsi con il programma di GlobalTrust direttamente dalla shell di Windows, un modulo “shredder” per la cancellazione sicura delle informazioni.


Cliccando su Signer Wizard comparirà la finestra attraverso la quale è possibile firmare digitalmente, proteggere e verificare i vari documenti.

Enigma si prefigge, tra gli obiettivi primari, di fornire una soluzione pratica ed economica per la gestione dei certificati digitali (sinora possibile utilizzando prodotti piuttosto costosi): tramite l'utilizzo del software proposto da GlobalTrust, ci si può interfacciare contemporaneamente con tutte le autorità (CA, "Certification authorities") quali Verisign, Global Sign, Digital Signature Trust effettuando a livello desktop tutte le operazioni legate alla gestione dei certificati.
Il link Certificate manager è il punto di riferimento per importare od esportare certificati oppure per controllarne le proprietà. Attraverso questa finestra è possibile gestire i propri certificati personali, quelli degli interlocutori, verificarne la “genuinità”, esportarli ed importarli.

Enigma chiama “OneClick policies” le impostazioni per la definizione di un profilo che deve essere di volta in volta impiegato automaticamente dal programma per crittografare o firmare file nonché per scegliere il certificato da utilizzare.
Cliccando su Create bitmap signature, è possibile anche inserire la propria firma (o le proprie iniziali) in forma grafica.

Il primo passo da compiere per esplorare nel dettaglio la vasta gamma di possibilità messe a disposizione da Enigma, consiste nell'acquisizione di un certificato che deve essere acquistato da un'autorità di certificazione (CA).
GlobalTrust, software house produttrice di Enigma Lite, è a tutti gli effetti una CA: i nostri lettori possono richiedere gratuitamente un certificato personale che consenta di codificare e firmare digitalmente i propri messaggi di posta elettronica garantendo in questo modo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse.

Da parte sua, GlobalTrust (o comunque l'autorità che emette il certificato) provvederà a fornirvi un certificato contenente l'identificativo dell'algoritmo crittografico usato, un numero di serie, la firma digitale, il nome della CA, le informazioni riguardanti la validità, una chiave pubblica. Questo insieme di informazioni identifica l'acquirente del certificato come unico possessore ed utilizzatore dello stesso.

Per richiedere a GlobalTrust il proprio certificato digitale è sufficiente visitare questa pagina web con Internet Explorer (è sconsigliabile tentare di utilizzare altri browser al momento incompatibili con la procedura di registrazione), inserire i propri dati anagrafici ed una password adeguatamente complessa.
Entro pochi giorni si riceverà così un'e-mail all'indirizzo di posta elettronica specificato all'atto della richiesta del certificato: il messaggio contiene un link da seguire per provvedere all'installazione automatica del certificato personale sul proprio sistema. Anche qui, consigliamo di effettuare l'intera procedura con Internet Explorer assicurandosi di non aver bloccato (né da browser né mediante software personal firewall) i componenti ActiveX e i VBScript (limitatamente al sito globaltrust.it). Internet Explorer visualizzerà il messaggio d'allerta "il sito web sta aggiungendo uno o più certificati al computer in uso": premete il pulsante per confermare l'installazione.

Il certificato così ottenuto è valido per un anno a partire dalla data della richiesta: GlobalTrust precisa, tuttavia, che i nostri lettori - alla scadenza del certificato - possono rinnovarlo sempre gratuitamente.
Da Internet Explorer, cliccate sul menù Strumenti, Opzioni Internet quindi su Contenuto. Con un clic sul pulsante Certificati, è possibile notare come - all'interno della scheda Personale - sia stato aggiunto il certificato digitale appena acquisito da GlobalTrust.


MIME è l’acronimo di Multipurpose Internet Mail Extensions e fissa uno standard per il formato di un messaggio di posta elettronica. Ogni messaggio inviato attraverso un server SMTP è considerabile come in formato MIME. Le varie parti di un’e-mail ed, in particolare, le indicazioni MIME inserite al suo interno, specificano, ad esempio, il formato con cui viene inviato il messaggio (solo testo o html), la codifica utilizzata, eventuali allegati e così via. S/MIME (Secure Multipurpose Internet Mail Extensions) è uno standard per la crittografia a chiave pubblica e per la firma dei messaggi di posta elettronica che si inserisce all'interno delle specifiche di MIME.
S/MIME, originariamente sviluppato da RSA Security, fornisce la possibilità di autenticare, verificare l'integrità, garantire il non ripudio (utilizzando la firma digitale) e proteggere il messaggio (utilizzando la crittografia) trasmesso in Rete.
Tutti i client di posta elettronica supportano ormai S/MIME mentre per ragioni di sicurezza (la chiave privata dell'utente deve essere mantenuta segreta al server di posta) non è facilmente utilizzabile sui servizi di webmail (sebbene, ad esempio, comincino ad essere sviluppati plug-in appositi, ad esempio, per Google Gmail).


Il certificato S/MIME rilasciato da GlobalTrust risulta correttamente installato:

All'interno della scheda Personal certificates del Certificates manager di Enigma dovrebbe quindi essere già presente il certificato personale ricevuto da GlobalTrust. Qualora non venisse mostrato in elenco è sufficiente esportarlo dalla finestra Certificati di Internet Explorer richiedendo anche l'esportazione della chiave privata e spuntando anche l'opzione Se possibile, includi tutti i certificati nel percorso di certificazione. Il certificato personale verrà salvato su disco sotto forma di file con estensione .pfx: ricordiamo che questo file non deve essere assolutamente trasmesso a terzi dato che contiene la propria chiave privata. Qualora il file dovesse cadere nelle mani di malintenzionati, questi potrebbero assumere in modo fraudolento la vostra identità.


Certificati digitali: firmare e cifrare i messaggi di posta elettronica - IlSoftware.it