Crittografare i dati: guida all'uso di BFacs e PGP

Le informazioni che trasmettiamo via Internet non sono sicure. Pensiamo al caso più comune: quello che riguarda la spedizione di una e-mail.
Prima di avviare a destinazione la nostra e-mail passa attraverso una “catena” più o meno lunga di computer collegati in Rete: è sufficiente che un malintenzionato la intercetti per leggerne il contenuto.
Quando è necessario spedire via Internet documenti importanti, per i quali è bene assicurarsi che venga conservata l’assoluta riservatezza, la soluzione migliore è quella di affidarsi ad appositi programmi che permettano di crittografare i propri dati.
La crittografia è infatti una tecnica che permette di codificare le informazioni, di qualunque tipo esse siano, affinché solo le persone autorizzate possano entrarne in possesso.

Si pensi poi ai documenti personali che vengono memorizzati su personal computer accessibili da più persone: sul posto di lavoro od in Università, per esempio. Il livello di sicurezza garantito da sistemi operativi come Windows 9x o Windows ME è praticamente nullo: tutti gli utenti sono in grado di visionare documenti prodotti da altre persone memorizzati sullo stesso personal computer. Il sistema operativo non fornisce, infatti, alcuna protezione a garanzia della propria privacy.

Per difendere da occhi indiscreti le proprie informazioni è quindi bene far uso dei software proposti nelle pagine seguenti. Si tratta di programmi che fanno uso di una serie di procedimenti matematici per codificare i dati: algoritmi avanzati che garantiscono un’elevata sicurezza.
Infatti, va sottolineato come le funzionalità tradizionali per la protezione di documenti non siano affidabili. Gli algoritmi di codifica utilizzati dai programmi inclusi nel pacchetto Microsoft Office e da WinZip sono i meno sicuri: è molto facile reperire in Rete programmi che permettono di “recuperare” la password di documenti Word o di archivi Zip protetti. Certi software sono addirittura in grado di identificare una password amministrativa di Windows 2000 oppure quella con la quale è stato protetto un documento Adobe PDF.

Se si vuole impedire l’accesso a documenti riservati il nostro consiglio è quindi quello di orientarsi verso soluzioni più evolute e decisamente più sicure.
Nelle pagine che seguono vi presentiamo due eccellenti software di crittografia che adottano due differenti approcci per la codifica di file e documenti.

BFacs protegge i dati sul proprio pc locale
BFacs è un programma distribuito in modo completamente gratuito e rappresenta la soluzione ideale per la protezione dei dati a livello locale (sul proprio personal computer od in rete aziendale LAN). Il sistema utilizzato da BFacs è quello a chiave simmetrica: esso implica la conoscenza della password impostata sia per l’operazione di codifica che per quella di decodifica.
Le password che vengono utilizzate per la codifica di uno o più documenti (e per la loro successiva decodifica) vanno, quindi, scelte con estrema attenzione.
Esistono infatti in Rete appositi programmi che permettono di operare, sui file crittografati con chiave simmetrica, un attacco di tipo brute force. Questi tipi di programmi tentano di scovare la password usata per codificare il file provando tutte le possibili combinazioni.
Supponiamo di utilizzare, per codificare un file, le lettere dell’alfabeto da a a z adottando una password di sole tre lettere (ad esempio: mps o jzk): con un semplice calcolo (26*26*26) è possibile accorgersi che le combinazioni possibili sono 17576. Nel caso peggiore si dovrà, quindi, effettuare 17576 tentativi prima di trovare la password corretta. Un programma che fa uso di algoritmi adeguatamente ottimizzati, è in grado, in questo caso, di trovare la password esatta (che è stata usata per codificare un file) in una manciata di millisecondi!
Avrete, perciò, già ben compreso come la scelta della password sia un’operazione cruciale. La regola da seguire è quindi quella di scegliere password di lunghe dimensioni (aggiungendo due lettere in più si otterranno, ad esempio, quasi 12 milioni di combinazioni); usando poi caratteri speciali (come il segno meno, il punto interrogativo, e così via) si aumenterà ancora il numero delle possibili combinazioni. Non usate però per nessun motivo password contenenti nomi comuni o nomi di persona: il solito malintenzionato potrebbe tentare un dictionary attack ossia un attacco basato su parole di uso comune.
A titolo esemplificativo diciamo che una chiave di 48 bit (ossia 6 byte) creata a partire da una password generata in modo casuale sarà assai difficoltosa (per non dire impossibile) da indovinare (le combinazioni possibili sono 256 elevato alla sesta ossia circa 281.474.976.711 miliardi).
Va evidenziato, comunque, che i personal computer diventano sempre meno costosi mentre i microprocessori sempre più potenti è veloci: la definizione di password “sicura” è quindi variabile col passare del tempo e deve essere “aggiustata” di anno in anno.

E per inviare file importanti via Internet? PGP
L’utilizzo di una soluzione a chiave simmetrica è eccellente quando si vogliono proteggere informazioni memorizzate sul proprio computer od in rete locale (in questi casi si può ricorrere all’utilizzo di BFacs).
Chi invece ha l’esigenza di inviare documenti importanti via Internet (lo scenario più comunque è attraverso la posta elettronica) è bene percorra un’altra strada: utilizzando una soluzione basata su chiave simmetrica si dovrebbe infatti inviare, insieme con il documento crittografato, anche la password per decodificarlo. Cosa palesemente irragionevole!… Si rimarrebbe, in questo modo, al punto di partenza.

La tecnica che evita di dover inviare una password ai destinatari, unitamente con il documento codificato, si chiama crittografia a chiave pubblica.
I programmi che utilizzano questa tecnica prevedono la creazione di due chiavi diverse: una pubblica ed una privata.
La chiave privata viene protetta da una password, denominata PassPhrase, viene tenuta segreta sul computer dell’utente, mentre la chiave pubblica deve essere diffusa mediante la posta elettronica oppure pubblicata sulla pagina web del proprio sito Internet personale.

Un utente che voglia inviare un documento crittografato ad un altro utente, deve utilizzare, per codificare il messaggio, la propria chiave privata unitamente alla chiave pubblica del destinatario. Il destinatario per decodificare correttamente il messaggio ricevuto dovrà usare invece la propria chiave privata e la chiave pubblica del mittente.
Sembra complicato in realtà non lo è affatto: questa operazione viene compiuta in modo automatico dal programma di crittografia che si utilizza; in questo modo si avrà un elevato livello di sicurezza garantendo, contemporaneamente, l’integrità dei dati.
Saremo infatti certi che dell’autenticità del messaggio (ovvero saremo sicuri che il messaggio provenga dal mittente del quale conosciamo la chiave pubblica) e della riservatezza dello stesso (il metodo utilizzato offre la certezza che le informazioni spedite attraverso la Rete non possano essere acquisite da parte di malintenzionati).
PGP, nella sua versione freeware completamente gratuita, è quindi il software che abbiamo scelto allo scopo.

Per crittografare interi dischi fissi: Eracom ProtectDrive
Per chi vuole “strafare” o ha dati molto importanti memorizzati sul disco fisso, può orientarsi verso la soluzione commerciale offerta da Eracom ProtectDrive. Si tratta di un innovativo software che eredita tutte le caratteristiche incluse nel “vecchio” PC Vault. Il programma è in grado di mettere a disposizione due differenti possibilità per la protezione dei dati. In primo luogo permette di evitare l’utilizzo da parte di persone non autorizzate del pc proponendo, in fase di boot, ossia prima ancora di accedere al sistema operativo, un evoluto sistema di login. La seconda possibilità consente addirittura di crittografare l’intero disco fisso (oppure dati specifici) facendo uso di chiavi sino a 128 bit (gli algoritmi usati sono il DES, l’IDEA e quello proprietario di Eracom).
Per maggiori informazioni in merito, fate riferimento al sito di Eracom e, in particolare, a questa pagina (in inglese).
Per chi conosce l’inglese, consigliamo di scaricare da qui la presentazione di ProtectDrive (in formato PDF, 2.7 MB ca.) preparata da Eracom.

Usare BFacs per crittografare i file

BFacs, il programma che vi proponiamo, permette di utilizzare algoritmi crittografici estremamente sicuri. Esso mette a disposizione anche la possibilità di creare un key disk, ossia un floppy disk chiave che ospiterà una chiave per la codifica e la decodifica dei propri documenti, generata in modo del tutto casuale (menù Tools, Options, Miscellaneous, Make key disk). Si tratta di una funzionalità che offre un livello di sicurezza ancora più elevato. Accertatevi, però, di mettere il floppy disk in un posto inaccessibile per le persone non autorizzate e createne più copie: qualora il dischetto contenente il file chiave si danneggi o venga perso non avrete alcuna speranza di aver nuovamente accesso ai vostri file crittografati.
Sul sito Internet dell’autore viene reso disponibile addirittura il codice sorgente di BFacs: i più esperti possono quindi analizzare in profondità il funzionamento del programma rendendosi conto del livello di sicurezza che viene garantito. Il fatto che un programma per la crittografia venga reso disponibile unitamente al suo codice sorgente è una testimonianza lampante di come gli algoritmi utilizzati siano sicuri.
BFacs, contrariamente a quanto si possa pensare, è di utilizzo estremamente semplice e non necessita neppure di installazione: può essere avviato facendo doppio clic sul suo file eseguibile e può essere addirittura lanciato da floppy disk (decompresso occupa solo 1,3 MB). Grazie a questa possibilità, BFacs può essere quindi utilizzato per crittografare dati personali sul personal computer di casa, al lavoro o su qualunque altro computer, senza la necessità di essere installato.
BFacs permette di crittografare file e cartelle utilizzando un congruo numero di algoritmi: Blowfish (algoritmo open source), Twofish, Rijndael, Cobra128, CAST, Idea, Mars, PC1, triple-DES ed altri ancora.
Sarebbe cosa inutile crittografare file su disco se un malintenzionato, interessato a visionare i nostri documenti personali, avesse comunque la possibilità di recuperare gli originali facendo uso di particolari utilità undelete. BFacs include, allo scopo, una interessante funzionalità (wiping) che permette di distruggere in modo permanente i dati cancellati.
Attualmente non è stata ancora rilasciata una versione in italiano di BFacs ma, dulcis in fundo, il programma mette a disposizione un file esterno che ne facilita, da parte di chiunque, la traduzione e la personalizzazione di menù e comandi.

Nella figura è possibile notare come BFacs abbia generato in modo casuale una chiave di 256 bit (32 byte) provvedendo a memorizzarla su floppy disk.

Un altro aspetto essenziale da tenere a mente è che, a differenza di altri software simili, BFacs non mantiene su disco il file originale ma provvede ad eliminarlo al termine dell’operazione di crittografia, lasciando solo quello crittografato. Per non avere problemi effettuate prima alcune prove su documenti creati “ad hoc”: non esercitatevi subito sui vostri file personali o sui vostri lavori: eviterete di incappare in qualche errore dovuto all’ancor scarsa conoscenza del programma.

Per crittografare uno o più file è necessario selezionarli (dall’interno di BFacs o dalla shell di Windows), cliccare su di essi con il tasto destro del mouse quindi scegliere la voce Encrypt. Il comando Decrypt vi permetterà, successivamente, di decrittografare un archivio creato con BFacs.

Utilizzare BFacs
BFacs è prelevabile gratuitamente da questa pagina. Dopo aver estratto il contenuto del file compresso di BFacs in una cartella su disco fisso (o su floppy disk), eseguite il programma facendo doppio clic sul file bfacs.exe. Una volta avviato, verranno mostrate, in sequenza, tre finestre d’aiuto di colore giallo che informano sulla possibilità di scegliere tra la lingua tedesca e la lingua inglese; di rendere le finestre del programma trasparenti (in Windows 2000/XP); che BFacs quando in esecuzione posizionerà la propria icona nella traybar di Windows accanto all’orologio. Per fare in modo che queste finestre informative non vengano più visualizzate in futuro, attivate la casella Do not show this tip again.

Il menù Tools, Options, permette di configurare tutte le impostazioni chiave di BFacs. La scheda Security consente di selezionare l’algoritmo da usare per crittografare i dati (Encrypt Algorithm) e quello per la cancellazione sicura dei dati (Wipe Method).
Cliccate sulla scheda Miscellaneous: consigliamo di attivare le caselle Associate file types e Context menu extensions quindi di premere il pulsante Update. In questo modo, Windows sarà in grado di riconoscere i file crittografati con BFacs (estensione bfa) e di consentirne l’apertura con lo stesso programma. Inoltre, la seconda opzione permetterà di integrare le funzionalità di crittografia di BFacs nella shell di Windows.

Sempre all’interno della scheda Miscellaneous, è possibile – agendo sul pulsante Make key disk – creare un floppy disk chiave: anziché associare manualmente una password di nostra scelta ad un file crittografato, può farlo BFacs facendo uso di una chiave generata in modo del tutto casuale (quindi impossibile da identificare). Tale chiave viene memorizzata su un floppy disk. Attenzione però: conservate il floppy in un luogo sicuro e createne più copie in modo da scongiurare la possibilità che, con il tempo, si danneggi. Senza il floppy disk chiave vi sarà infatti impossibile recuperare i vostri dati! Nella finestra successiva scegliete la grandezza della chiave (valore predefinito: 32 bit) e muovete ripetutamente il mouse per circa un minuto.
Una volta generata la chiave potete crittografare un qualunque file usando la funzione File, Encrypt. Per usare il disco fisso spuntate la casella Use key disk, in caso contrario è necessario specificare manualmente una password.

Tutti i file memorizzati sul disco fisso, anche quando vengono eliminati utilizzando i comandi “tradizionali” messi a disposizione dal sistema operativo, continuano a lasciare delle tracce sul disco fisso. Molto spesso, nel caso in cui la cancellazione di file sia avvenuta di recente, è possibile recuperarli completamente facendo uso di apposite utilità. BFacs mette a disposizione una interessante funzione che consente di impedire il recupero delle informazioni memorizzate in passato sul disco. In questo modo è possibile evitare che un malintenzionato possa recuperare documenti personali già eliminati. Per avviare l’operazione di wiping accedete al menù Tools, Clear empty disk space.

Inviare file via Internet in modo sicuro: PGP

Il software più famoso che fa uso della soluzione a chiave pubblica, illustrata nell’introduzione, si chiama PGP: questo programma è universalmente considerato uno dei migliori programmi di crittografia essendo il risultato di un’analisi accurata del codice sorgente eseguita da migliaia di esperti di sicurezza di tutto il mondo.
Utilizzando PGP ed altri programmi similari di crittografia, vi imbatterete spesso nel termine keyring. Esso sta a simboleggiare una sorta di portachiavi al quale sono fissate tutte le chiavi pubbliche delle persone con le quali si desidera scambiare messaggi codificati.
In fase di installazione di PGP, dopo aver fatto doppio clic sul file di setup, vi verrà richiesto se siete già in possesso di un keyring da impiegare. Attivate l’opzione No, I’m a new user.
Nella finestra successiva, vi verrà richiesto di specificare una cartella all’interno della quale si vogliono collocare i file necessari per il funzionamento del programma quindi dovrete scegliere i componenti che desiderate installare. PGP permette l’impiego unitamente ai seguenti client di posta elettronica: Outlook Express, Outlook e Eudora: spuntate le voci relative agli gestori di posta da voi usati. Se utilizzate il software di messaggistica istantanea ICQ attivate l’apposita casella: farete in modo che PGP possa interfacciarsi anche con tale programma.
Una volta installato, PGP dispone la propria icona (raffigurante un piccolo lucchetto grigio) nella traybar accanto all’orologio. Facendovi clic con il mouse, si potrà accedere a tutti i moduli che compongono il programma: PGPTools, PGPKeys e PGPNet. Inoltre, servendosi delle voci Clipboard e Current Window, è possibile crittografare o decrittografare, rispettivamente, il testo contenuto in una qualunque applicazione o nell’area degli appunti di Windows, utilizzando la propria chiave privata e la chiave pubblica del destinatario che deve essere in grado di leggere il nostro messaggio. Chi volesse approfondire ulteriormente l’uso di PGP e della crittografia in generale, può documentarsi sui file PDF installati insieme con il programma. Si tratta di guide (in inglese) ricche di esempi passo-passo e di informazioni utili.

Usare subito PGP
PGP è prelevabile gratuitamente da questa pagina. Al termine della procedura di installazione PGP provvede ad avviare una procedura guidata che assiste l’utente nella fase di creazione di una chiave pubblica (da inviare a tutti i corrispondenti) e di una privata che dovrà essere custodita in modo segreto e protetta mediante l’inserimento di una sorta di password (Passphrase). Si dovrà, per prima cosa, specificare il proprio nome e il proprio indirizzo e-mail quindi inserire, nella finestra successiva, una password (Passphrase) per proteggere la chiave privata. E’ essenziale far uso di caratteri alfanumerici ed inserire una stringa lunga almeno 8 caratteri.

Successivamente, cliccando sul pulsante Avanti verranno generate la proprie chiavi. Un’ulteriore pressione del pulsante Avanti consentirà di concludere la procedura. A questo punto siete già in grado di ricevere ed inviare messaggi in modo sicuro. Per distribuire la propria chiave pubblica avviate il programma PGPKeys, fate clic con il tasto destro del mouse sulla vostra chiave quindi selezionate la voce Export per salvarla su una qualunque unità disco. In alternativa potete cliccare su Copy per copiarla nell’area degli appunti di Windows. Successivamente potrete incollarla in un qualunque programma di videoscrittura oppure, ad esempio, inviarla con il vostro client di posta elettronica preferito.

Ricordate che è possibile crittografare documenti solo per le persone delle quali si conosce la chiave pubblica. Fatevi inviare quindi la chiave pubblica propria di ogni persona con cui desiderate scambiare messaggi codificati. L’elenco delle chiavi pubbliche di cui si è ha disposizione è visualizzato nella finestra principale del software PGPKeys.
PGP offre infine la possibilità, se lo si desidera, di inviare la propria chiave pubblica ad un server Internet che la raccoglierà insieme con quella di migliaia di altri utenti di tutto il mondo.
Cercate ora, facendo uso di Risorse del computer, il file che desiderate crittografare quindi cliccate sulla sua icona con il tasto destro del mouse. Selezionate Encrypt dal menù PGP. Il programma PGP richiederà per quali destinatari (recipients) dovrà essere codificato il file: sceglieteli dall’elenco che viene visualizzato.

PGP creerà nella stessa cartella contenente il file da crittografare, un nuovo file con il medesimo nome dell’originale ma con l’aggiunta dell’estensione .pgp. A questo punto potete inviare via e-mail, come allegato, il file codificato al destinatario.
PGP si interfaccia egregiamente, poi, con il client di posta: in fase di composizione di un nuovo messaggio vengono aggiunti tre pulsanti: il primo consente di codificare “al volo” il testo di una normale e-mail, il secondo di incollare in calce allo stesso messaggio la propria chiave pubblica, il terzo di avviare con un clic PGPKeys.