45520 Letture

Guida all'uso di Gpg4Win, una suite di strumenti per crittografare e-mail, file e cartelle

Gpg4Win (GNU Privacy Guard for Windows) è un ottimo software opensource distribuito sotto licenza GNU GPL che permette di crittografare il contenuto dei file presenti sul disco fisso od in qualunque altra unità di memorizzazione nonché di cifrare e firmare i normali messaggi di posta elettronica.

L'applicazione, giunta a metà marzo 2011 alla versione 2.1, si arricchisce di numerose novità: intanto, la suite - studiata per funzionare sui sistemi Windows - diviene pienamente compatibile con Windows 7 ed è adesso in grado di crittografare non soltanto singoli file ma anche intere cartelle.

L'applicazione è capace di integrarsi con Microsoft Outlook mediante l'installazione di uno speciale plugin così come con la shell di Windows: facendo clic con il tasto destro del mouse, dall'interfaccia del sistema operativo, su un singolo elemento oppure su un insieme di essi, è possibile accedere rapidamente alle funzionalità di Gpg4Win.

Gli sviluppatori si sono sforzati di rendere Gpg4Win un'applicazione più semplice da utilizzare: le procedure di codifica, decodifica, firma e verifica appaiono adesso nettamente più "intuitive" rispetto al passato.


Gpg4Win integra diversi moduli: GnuPG, il "motore" crittografico vero e proprio; Kleopatra, un gestore di certificati in grado di supportare OpenPGP e X.509 (S/MIME); GPA, un gestore di certificati alternativo per OpenPGP e X.509 (S/MIME) dotato di interfaccia grafica; GpgOL, il plugin per Outlook che consente di cifrare direttamente i messaggi di posta elettronica; GpgEX, plugin per la shell di Windows (crittografia di file e cartelle) e Claws Mail, un client di posta completo che integra il plugin per GnuPG.

Come detto, il "cuore" del funzionamento di Gpg4Win risiede in GnuPG, un software opensource distribuito sotto licenza GNU GPL che si propone come valida alternativa alla celeberrima suite crittografica PGP, ideata da Phil Zimmermann. Direttamente supportato, ad esempio, dal governo tedesco, GnuPG consente di utilizzare una soluzione di cifratura asimmetrica per proteggere, da occhi indiscreti, il contenuto dei messaggi di posta elettronica scambiati con i propri interlocutori.

Sebbene GnuPG operi essenzialmente da riga di comando, esistono numerose implementazioni gratuite (“front-end”) per il programma, compatibili con i vari sistemi operativi. Gpg4Win è appunto una di queste; probabilmente la migliore per la piattaforma Windows.

Perché ricorrere alla crittografia, in due parole

La storia della crittografia si perde nella notte dei tempi. Il primo utilizzo documentato della crittografia, ossia di metodologie aventi come obiettivo quello di rendere un messaggio incomprensibile da parte delle persone non autorizzate a leggerlo, risale al 1900 a.C. quando uno scriba egizio fece uso, per preparare una iscrizione, di geroglifici “non-standard”.

Alcuni esperti sono però convinti che la crittografia sia nata spontaneamente dopo l’invenzione della scrittura per essere impiegata nelle applicazioni più disparate: dalla consegna di missive diplomatiche ai piani di battaglia.

Esempi “storici” dell’uso della crittografia sono il “codice di Cesare” o “cifrario di Cesare”, un algoritmo che operava per sostituzione monoalfabetica (ogni lettera del testo di partenza veniva sostituita, nel testo cifrato, con la lettera che si trova, nell’alfabeto, un certo numero di posizioni dopo; provate a decifrare il messaggio FKLHGLDPRULQIRUCL) ed il “codice Enigma”, usato dai nazisti durante la Seconda Guerra Mondiale.

La crittografia è divenuta oggi assolutamente essenziale nelle telecomunicazioni ed in molte applicazioni che necessitano la garanzia di un’elevata protezione dei dati. Su Internet, poi, sono davvero notevoli i rischi che si corrono veicolando informazioni importanti “in chiaro”, senza impiegare una qualche forma di cifratura.

La possibilità di accedere ad Internet da parte di chiunque implica notevoli problematiche di sicurezza dal momento che la Rete è ovviamente utilizzabile anche da parte di malintenzionati e le applicazioni sono divenute sempre più delicate (si pensi, per esempio, ad applicazioni commerciali, bancarie e fiscali).

Nelle moderne comunicazioni, soprattutto quelle afferenti ad applicazioni “delicate”, è quindi necessario che siano sempre rispettati i seguenti requisiti:
- Autenticazione. Il processo che permette di attestare l’identità di ciascun partecipante ad una comunicazione. Le prime forme di autenticazione che si sono usate in Rete erano basate su verifiche operate su nomi o su indirizzi. Entrambi questi controlli non possono essere considerati affidabili.
- Segretezza. E’ indispensabile fare in modo che nessuno possa leggere un messaggio, fatta eccezione per il destinatario desiderato.
- Integrità. La protezione da modifiche non autorizzate operate sul messaggio trasmesso. Il materiale inviato al destinatario non deve poter essere alternato in alcun modo prima di essere consegnato.
- Non ripudio. Un meccanismo atto a fornire la certezza che chi trasmette un messaggio non possa negare di averlo inviato.

Facciamo un paio di esempi di attacchi alla sicurezza.
Un malintenzionato può mettere in atto il cosiddetto “sniffing di pacchetti” ossia può cercare di “spiare” il contenuto dei pacchetti dati in transito alla ricerca di informazioni utili. Questa tipologia di attacco è molto semplice da mettere in atto su reti LAN dato che le schede di rete Ethernet in modalità promiscua leggono tutti i pacchetti dati in transito.
Il “packet sniffing” non è necessariamente un’attività illecita. Un amministratore di rete può servirsene, ad esempio, per monitorare quali protocolli e quindi quali applicazioni vengono impiegate all’interno della LAN e per “smascherare” eventuali operazioni sospette.
Uno tra i migliori “packet sniffer” è l’opensource WireShark: gli abbiamo dedicato alcuni articoli.

Un’altra modalità di attacco è lo “spoofing di indirizzi IP” che si concretizza nella generazione di pacchetti IP contenenti, come indirizzo IP del mittente, un indirizzo falso che non corrisponde a quello realmente usato dall’aggressore. Il ricevente non può sapere se l’indirizzo è stato falsificato.


La crittografia non solo protegge i dati trasmessi in Rete evitando che possano essere alterati o sottratti da parte di aggressori, ma può essere adottata anche per autenticare un utente.
Quando si parla di crittografia, sono essenzialmente tre gli schemi ai quali ci si riferisce: crittografia a chiave simmetrica, crittografia a chiave pubblica (o asimmetrica) ed utilizzo di funzioni hash.
In tutti i casi il messaggio di partenza viene definito testo in chiaro o “plaintext“. Tale messaggio viene quindi crittografato (”ciphertext“) in modo tale da risultare incomprensibile alle persone non autorizzate infine può essere decifrato e riportato a “plaintext”.


Installazione di Gpg4Win

Per installare Gpg4Win è sufficiente fare doppio clic sul suo eseguibile: la procedura d'installazione offrirà la possibilità di selezionare i componenti da installare. Gli elementi proposti sono quelli brevemente introdotti in precedenza:


Alla comparsa della finestra seguente, è necessario spuntare la casella Root certificate defined or skip configuration.


  1. Avatar
    marto
    19/05/2013 11:56:52
    c'e' un link alla versione in italiano?
  2. Avatar
    enzom83
    20/04/2011 22:08:57
    Ciao michele. Ho installato l'ultima versione di Gpg4win su Windows 7 x64 deselezionando soltanto GPA, GpgOL e Claws-Mail.
  3. Avatar
    Michele Nasi
    20/04/2011 17:23:30
    Ciao enzo. Che sistema stai usando? Io non ho rilevato alcun problema...
  4. Avatar
    enzom83
    20/04/2011 16:51:20
    Ho seguito le istruzioni di installazione, ma non mi appare niente nel menu contestuale, nulla che riguardi Gpg4win... Come mai?
Guida all'uso di Gpg4Win, una suite di strumenti per crittografare e-mail, file e cartelle - IlSoftware.it