Crittografare la posta elettronica con Thunderbird ed Enigmail

Enigmail è un'estensione dedicata espressamente a tutti coloro che hanno deciso di adottare Mozilla Thunderbird (prelevabile, nella sua ultima versione al momento disponibile, da questa pagina) quale client di posta elettronica.

Enigmail è un’estensione dedicata espressamente a tutti coloro che hanno deciso di adottare Mozilla Thunderbird (prelevabile, nella sua ultima versione al momento disponibile, da questa pagina) quale client di posta elettronica. Si tratta di un plug-in eccezionale che si occupa di crittografare, decifrare e firmare qualunque messaggio di posta. Esistono molti software che, per garantire compatibilità con tutti i principali client di posta elettronica si basano sull’utilizzo di “relays”: in pratica tali programmi, una volta installati, si pongono tra il client di posta ed il server SMTP e POP3 / IMAP del provider Internet. E’ quindi necessario intervenire manualmente su ciascun account di posta configurato nel gestore e-mail sostituendo ai parametri del provider quelli propri del software di relaying.

Enigmail, invece, è estremamente facile da installare, configurare ed utilizzare perché si integra direttamente con Mozilla Thunderbird (non richiede alcuna modifica nella configurazione dei vari account di posta).

Per crittografare le e-mail, tuttavia, Enigmail si basa su GnuPG: si tratta del "motore di cifratura" vero e proprio che può essere sfruttato da altre applicazioni. GnuPG rappresenta il successore opensource del famosissimo PGP, del quale abbiamo più volte parlato (ved. questa pagina).

Per quanto riguarda GnuPG, suggeriamo di adottare la versione inclusa nel pacchetto GnuPT, prelevabile gratuitamente da qui.

Crittografia a chiave pubblica.
Per effettuare comunicazioni sicure, la soluzione consiste nel crittografare i messaggi in modo da renderli incomprensibili a tutti tranne che al reale destinatario.
L’algoritmo di codifica è conosciuto a tutti quindi, potenzialmente, anche ad un malintenzionato. Per garantire che il messaggio sia decifrabile solo dalle persone autorizzate, è necessario che queste conoscano una "chiave" segreta per l’operazione di decodifica.
Gli algoritmi crittografici sono classificabili entro due grandi famiglie: algoritmi a chiave simmetrica e algoritmi a chiave pubblica. Negli algoritmi a chiave simmetrica, le chiavi necessarie per la codifica e la decodifica sono identiche e debbono, ovviamente, essere mantenute segrete.
L’utilizzo di una soluzione a chiave simmetrica è eccellente quando si vogliono proteggere informazioni memorizzate sul proprio computer od in rete locale. Chi ha l’esigenza di inviare documenti importanti via Internet (lo scenario più comunque è attraverso la posta elettronica) è bene percorra un’altra strada: utilizzando una soluzione basata su chiave simmetrica si dovrebbe infatti inviare, insieme con il documento crittografato, anche la password per decodificarlo. Così facendo la comunicazione sarebbe assolutamente insicura.
La tecnica che evita di dover inviare una password ai destinatari, unitamente con il documento codificato, si chiama crittografia a chiave pubblica.
I programmi che utilizzano questa tecnica prevedono la creazione di due chiavi diverse: una pubblica (segreta) ed una privata. La chiave privata viene protetta da una password denominata Passphrase e deve essere mantenuta gelosamente conservata sul computer dell’utente. La propria chiave pubblica, invece, deve essere comunicata agli interlocutori remoti con i quali si intende colloquiare. A tal proposito, è possibile trasmetterla via posta elettronica, pubblicarla sulle pagine del proprio sito web oppure inviarla ad un keyserver (si occupano di catalogare le chiavi pubbliche degli utenti di tutto il mondo).
Un utente che voglia inviare un documento crittografato ad un’altra persona deve utilizzare, per codificare il messaggio, la propria chiave privata unitamente alla chiave pubblica del destinatario. Questi, non appena riceverà il messaggio, dovrà usare invece la propria chiave privata e la chiave pubblica del mittente.
Sembra complicato in realtà non lo è affatto: questa operazione viene compiuta in modo automatico dal programma di crittografia che si utilizza (in questo caso da Enigmail ed, in particolare, dal “motore” GnuPG) ed in questo modo si avrà un elevato livello di sicurezza garantendo, contemporaneamente, l’integrità dei dati. Saremo certi dell’autenticità del messaggio (ovvero saremo sicuri che il messaggio provenga dal mittente del quale conosciamo la chiave pubblica) e della riservatezza dello stesso (il metodo utilizzato offre la certezza che le informazioni spedite attraverso la Rete non possano essere spiate da parte di malintenzionati).

Installiamo e configuriamo Enigmail.
Una volta installato GnuPT, il setup di Enigmail risulterà semplice e veloce: dal menù Strumenti, Estensioni di Thunderbird, cliccate sul pulsante Installa e selezionate il file .xpi scaricabile da questa pagina quindi acconsentite all’installazione del nuovo plug-in. Per "tradurre" Enigmail in italiano, basta ripetere la medesima procedura selezionando, questa volta, il file .xpi prelevabile sempre dalla stessa pagina.
Chiudete e riavviate Mozilla Thunderbird solo dopo aver provveduto all’installazione di entrambe le estensioni .xpi (Enigmail e file di lingua).

A questo punto, accedendo a Mozilla Thunderbird si noterà la presenza del nuovo menù OpenPGP. Qualora il contenuto di questo menù dovesse ancora apparire in lingua inglese, è necessario accertarsi di aver scelto la codifica caratteri italiana. Il miglior modo per attivarla è installare l’estensione “Language Switcher” (prelevabile cliccando qui) per Thunderbird. A questo punto, dal menù Strumenti, Codifica caratteri del programma, è necessario selezionare la voce it-IT (Italiano IT).

Configurazione e gestione delle chiavi

La configurazione di Enigmail è immediata: cliccando su OpenPGP, Impostazioni bisognerà, in primo luogo, provvedere ad indicare la locazione del file eseguibile di GnuPG (gpg.exe). Esempio: C:\GnuPT\GPG\gpg.exe nel caso in cui il pacchetto GnuPT sia stato installato nella cartella C:\GnuPT.

Enigmail ricorda la Passphrase posta a protezione della propria chiave privata per il numero di minuti specificati. Se ci si allontana dal computer è bene cancellarla usando l’apposito comando presente nel menù del programma. Le altre opzioni sono regolate su valori di default che, generalmente, sono idonei e riguardano le preferenze in fase di invio del messaggio cifrato o semplicemente firmato, la scelta delle chiavi (Enigmail mostra in modo predefinito la finestra di scelta delle chiavi solo quando è necessario: se l’indirizzo e-mail del destinatario è conosciuto e la sua chiave pubblica è presente nel proprio "keyring" (portachiavi) non viene richiesto alcun intervento aggiuntivo da parte dell’utente), l’uso del formato PGP-MIME, le impostazioni avanzate.

Le altre opzioni possono essere lasciate sui valori standard anche se ne suggeriamo un’attenta analisi. A questo punto vanno scelti gli account di posta sui quali Enigmail dovrà poter operare.

Per far ciò cliccate con il tasto destro sull’account di posta e scegliete Proprietà, selezionate la voce OpenPGP quindi spuntate la casella Abilita il supporto OpenPGP (Enigmail) per questa identità. Il box sottostante permette di scegliere quale chiave personale usare per cifrare e decifrare i messaggi nonché le impostazioni predefinite per la composizione delle e-mail.

Il primo passo da compiere nell’utilizzo di programmi che sfruttano la soluzione “a chiave pubblica” consiste nel generare una coppia di chiavi personali (una privata ed una pubblica) quindi di cercare ed aggiungere in lista le chiavi pubbliche di tutte le persone con le quali vogliano scambiare documenti crittografati.

Cliccando su Enigmail, Gestione delle chiavi OpenPGP, si otterrà la lista delle chiavi al momento presenti nel proprio "portachiavi". Da qui, Enigmail permette di gestire le chiavi, generarne di nuove, caricare le proprie chiavi pubbliche su un keyserver, interrogare i keyserver per ricercare chiavi pubbliche specifiche e così via.
Facendo riferimento al menù Genera, Nuova coppia di chiavi è possibile creare immediatamente una coppia di chiavi personali (una pubblica ed una privata, segreta), qualora non se ne possedesse ancora alcuna.

E’ consigliabile scegliere una parola chiave (“Passphrase”) che verrà posta a protezione della propria password privata in modo da impedirne l’utilizzo, sul sistema locale, da parte di utenti non autorizzati.
E’ consigliabile permettere anche la creazione di un “certificato di revoca” da utilizzare nel caso in cui, in futuro, si volesse invalidare la propria chiave pubblica nel caso in cui, per esempio, ci si dovesse accorgere di aver smarrito la chiave privata. Il file .asc generato contiene il certificato di revoca e deve essere conservato gelosamente. Qualora un utente avesse accesso a questo file, potrebbe invalidare la vostra chiave pubblica (meglio sempre conservare il “certificato di revoca” su un supporto sicuro e proteggerlo con una passphrase).

Il menù Keyserver, Invia chiavi pubbliche al keyserver consente di trasmettere le chiavi pubbliche selezionate ad un “keyserver” (sistema che raccoglie le chiavi pubbliche di utenti di tutto il mondo): in questo modo anche utenti ancora sconosciuti potranno scrivervi e-mail utilizzando la vostra chiave pubblica. Il comando Keyserver, Ricerca chiavi permette di ricercare la chiave pubblica di una persona alla quale si desidera inviare un’e-mail cifrata ed inserirla nella propria lista (“keyring”).

Se si desidera visualizzare la propria chiave pubblica (ad esempio, per trasmetterla via e-mail), è possibile ricorrere alla funzione Esporta chiavi in un file, accessibile dal menù File. Consigliamo di NON esportare la chiave privata in modo da non incorrere in errori (la chiave privata NON deve essere mai resa pubblica o comunque trasmessa a terzi).

A questo punto, cliccando su Scrivi, scegliendo i comandi Firma o Cifra il messaggio dal menù Enigmail, si avrà la possibilità di certificare l’autenticità della vostra e-mail e/o renderne incomprensibile il contenuto ai non autorizzati a leggerlo. Cliccando su Invia, ove necessario, sarà richiesta la chiave pubblica del destinatario da usare. Nel caso di messaggi cifrati a voi indirizzati, la decifrazione avverrà in modo trasparente all’apertura dell’e-mail.

Ti consigliamo anche

Link copiato negli appunti