Certificati digitali: firmare e cifrare i messaggi di posta elettronica

Quando si parla di PKI (Public Key Infrastructure) ci si riferisce generalmente agli accordi che consentono a terze parti di verificare l’identità di un’utente oppure di farsi garanti della stessa; ad ogni utente viene associata una chiave pubblica servendosi di software distribuiti su più sistemi.
L’adozione di una PKI consente di inviare e ricevere informazioni, ricorrendo all’uso di algoritmi crittografici, fidando su un duplice grado di sicurezza: in primo luogo, si è certi che le informazioni trasmesse non possano essere lette da parte di persone non autorizzate; in secondo luogo ci si assicura che il mittente sia veramente chi afferma di essere (e ciò grazie all’uso della firma digitale).
La PKI è da considerarsi come un insieme di software, tecnologie per la crittografia e servizi che permette di autenticare un’identità, verificare l’integrità di un messaggio o di un documento (l’uso di un certificato digitale assicura che non vi siano state modifiche durante la trasmissione in Rete), proteggere la comunicazione dagli utenti che provino a leggerne il contenuto, prevenire il ripudio (ossia impedire che il destinatario possa affermare di non aver mai ricevuto alcunché).

Un software che si rivela particolarmente utile in ambito aziendale poiché semplifica ed economizza gli adempimenti previsti per legge allorquando ci si trovi a gestire dati sensibili si chiama Enigma Lite. Si tratta di soluzione modulare che sovrintende le operazioni di trasmissione sicura ed archiviazione dei documenti andando incontro alle esigenze del singolo professionista così come a quelle di strutture di dimensioni maggiori.
Sebbene Enigma Lite, sviluppato dall’italiana GlobalTrust, si integri con il pacchetto Microsoft Office, il software rende comunque possibile firmare digitalmente qualunque tipo di file (sia esso un documento, un foglio elettronico, una e-mail) gestendo anche procedure aggiuntive.

L’iniziativa di GlobalTrust è lodevole perché mette a disposizione di professionisti ed imprese (oltre che ai semplici privati) gli strumenti per proteggere documenti importanti e trasmettere e-mail in tutta sicurezza evitando che il loro contenuto possa essere visibile da persone non autorizzate.
Utilizzabile per un periodo di 30 giorni dal momento dell’installazione, Enigma Lite consente di toccare con mano i benefici derivanti dall’adozione di crittografia e firma elettronica (GlobalTrust è uno dei pochi enti certificatori che si propongono sul mercato italiano).

Enigma Lite consta di quattro componenti principali: il “desktop manager” (finestra che consente l’accesso alle varie funzionalità messe a disposizione), gli add-in per Office (permettono di richiamare Enigma senza abbandonare l’ambiente di lavoro di Word, Excel, Powerpoint,…), i meccanismi per interfacciarsi con il programma di GlobalTrust direttamente dalla shell di Windows, un modulo “shredder” per la cancellazione sicura delle informazioni.

Cliccando su Signer Wizard comparirà la finestra attraverso la quale è possibile firmare digitalmente, proteggere e verificare i vari documenti.

Enigma si prefigge, tra gli obiettivi primari, di fornire una soluzione pratica ed economica per la gestione dei certificati digitali (sinora possibile utilizzando prodotti piuttosto costosi): tramite l’utilizzo del software proposto da GlobalTrust, ci si può interfacciare contemporaneamente con tutte le autorità (CA, “Certification authorities”) quali Verisign, Global Sign, Digital Signature Trust effettuando a livello desktop tutte le operazioni legate alla gestione dei certificati.
Il link Certificate manager è il punto di riferimento per importare od esportare certificati oppure per controllarne le proprietà. Attraverso questa finestra è possibile gestire i propri certificati personali, quelli degli interlocutori, verificarne la “genuinità”, esportarli ed importarli.

Enigma chiama “OneClick policies” le impostazioni per la definizione di un profilo che deve essere di volta in volta impiegato automaticamente dal programma per crittografare o firmare file nonché per scegliere il certificato da utilizzare.
Cliccando su Create bitmap signature, è possibile anche inserire la propria firma (o le proprie iniziali) in forma grafica.

Il primo passo da compiere per esplorare nel dettaglio la vasta gamma di possibilità messe a disposizione da Enigma, consiste nell’acquisizione di un certificato che deve essere acquistato da un’autorità di certificazione (CA).
GlobalTrust, software house produttrice di Enigma Lite, è a tutti gli effetti una CA: i nostri lettori possono richiedere gratuitamente un certificato personale che consenta di codificare e firmare digitalmente i propri messaggi di posta elettronica garantendo in questo modo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse.

Da parte sua, GlobalTrust (o comunque l’autorità che emette il certificato) provvederà a fornirvi un certificato contenente l’identificativo dell’algoritmo crittografico usato, un numero di serie, la firma digitale, il nome della CA, le informazioni riguardanti la validità, una chiave pubblica. Questo insieme di informazioni identifica l’acquirente del certificato come unico possessore ed utilizzatore dello stesso.

Per richiedere a GlobalTrust il proprio certificato digitale è sufficiente visitare questa pagina web con Internet Explorer (è sconsigliabile tentare di utilizzare altri browser al momento incompatibili con la procedura di registrazione), inserire i propri dati anagrafici ed una password adeguatamente complessa.
Entro pochi giorni si riceverà così un’e-mail all’indirizzo di posta elettronica specificato all’atto della richiesta del certificato: il messaggio contiene un link da seguire per provvedere all’installazione automatica del certificato personale sul proprio sistema. Anche qui, consigliamo di effettuare l’intera procedura con Internet Explorer assicurandosi di non aver bloccato (né da browser né mediante software personal firewall) i componenti ActiveX e i VBScript (limitatamente al sito globaltrust.it). Internet Explorer visualizzerà il messaggio d’allerta “il sito web sta aggiungendo uno o più certificati al computer in uso”: premete il pulsante Sì per confermare l’installazione.

Il certificato così ottenuto è valido per un anno a partire dalla data della richiesta: GlobalTrust precisa, tuttavia, che i nostri lettori – alla scadenza del certificato – possono rinnovarlo sempre gratuitamente.
Da Internet Explorer, cliccate sul menù Strumenti, Opzioni Internet quindi su Contenuto. Con un clic sul pulsante Certificati, è possibile notare come – all’interno della scheda Personale – sia stato aggiunto il certificato digitale appena acquisito da GlobalTrust.

MIME è l’acronimo di Multipurpose Internet Mail Extensions e fissa uno standard per il formato di un messaggio di posta elettronica. Ogni messaggio inviato attraverso un server SMTP è considerabile come in formato MIME. Le varie parti di un’e-mail ed, in particolare, le indicazioni MIME inserite al suo interno, specificano, ad esempio, il formato con cui viene inviato il messaggio (solo testo o html), la codifica utilizzata, eventuali allegati e così via. S/MIME (Secure Multipurpose Internet Mail Extensions) è uno standard per la crittografia a chiave pubblica e per la firma dei messaggi di posta elettronica che si inserisce all’interno delle specifiche di MIME.
S/MIME, originariamente sviluppato da RSA Security, fornisce la possibilità di autenticare, verificare l’integrità, garantire il non ripudio (utilizzando la firma digitale) e proteggere il messaggio (utilizzando la crittografia) trasmesso in Rete.
Tutti i client di posta elettronica supportano ormai S/MIME mentre per ragioni di sicurezza (la chiave privata dell’utente deve essere mantenuta segreta al server di posta) non è facilmente utilizzabile sui servizi di webmail (sebbene, ad esempio, comincino ad essere sviluppati plug-in appositi, ad esempio, per Google Gmail).

Il certificato S/MIME rilasciato da GlobalTrust risulta correttamente installato:

All’interno della scheda Personal certificates del Certificates manager di Enigma dovrebbe quindi essere già presente il certificato personale ricevuto da GlobalTrust. Qualora non venisse mostrato in elenco è sufficiente esportarlo dalla finestra Certificati di Internet Explorer richiedendo anche l’esportazione della chiave privata e spuntando anche l’opzione Se possibile, includi tutti i certificati nel percorso di certificazione. Il certificato personale verrà salvato su disco sotto forma di file con estensione .pfx: ricordiamo che questo file non deve essere assolutamente trasmesso a terzi dato che contiene la propria chiave privata. Qualora il file dovesse cadere nelle mani di malintenzionati, questi potrebbero assumere in modo fraudolento la vostra identità.

Installazione ed utilizzo del certificato con i vari client di posta

Attraverso la finestra Certificate manager di Enigma cliccando sulla scheda Personal certificates quindi sul pulsante Import, si potrà quindi importare il proprio certificato appena acquistato (ha estensione .pfx). Per poter inviare documenti cifrati o firmati ai propri corrispondenti, è necessario scambiare con loro i rispettivi certificati. Una volta portata a termine quest’operazione, i propri interlocutori potranno cifrare documenti che risulteranno leggibili solo da parte vostra e potranno apporre firme digitali (voi sarete in grado di verificarle). Anche a voi sarà permesso di crittografare documenti che solo i destinatari da voi specificati saranno in grado di leggere. Si potrà inoltre allegare la propria firma digitale in modo da assicurare la “genuinità” del materiale trasmesso.

Per inviare il proprio certificato ad uno degli utenti con cui si desidera scambiare e-mail in modo sicuro, è sufficiente esportarlo tramite Enigma (pulsante Export) quindi allegarlo ad un normale messaggio di posta elettronica (il certificato esportato ha l’estensione .cer).

Per importare, invece, il certificato eventualmente trasmessovi dai vostri interlocutori attraverso la posta elettronica, è necessario cliccare sul pulsante Import, selezionare l’omonima voce, scegliere l’opzione Address book dal menù a tendina Select certificate store. Cliccando sul pulsante Avanti si potrà quindi scegliere il certificato ricevuto (.cer).

Il Signer Wizard di Enigma è una procedura guidata che permette di crittografare, firmare e controfirmare documenti. Le operazioni sono possibili servendosi dei certificati gestiti attraverso il “Certificate Manager” del programma.

Attenzione alla formattazione del disco fisso: cancellando il proprio certificato si perderà con esso anche la chiave privata che lo identifica. In questo caso andrà purtroppo richiesto un nuovo certificato abbinato all’account e-mail revocando quello emesso in precedenza. E’ consigliato, quindi, effettuare subito un backup del certificato (esportando anche la chiave privata) conservandolo su un supporto digitale protetto: solo in questo modo sarà sempre possibile ripristinarlo. E’ la stessa cosa che accade nel caso della perdita o del furto di una carta di credito: in queste situazioni non viene restituita al cliente una carta con lo stesso numero ma bensì una carta di credito nuova.
E’ bene ricordare altresì che la procedura d’installazione del certificato da Internet Explorer deve essere necessariamente eseguita dallo stesso personal computer dal quale è stata fatta la richiesta perché proprio durante la richiesta è stata generata la chiave privata che poi serve per l’installazione vera e propria.

Utilizzo del certificato personale con il client di posta elettronica.

Abbiamo provato ad utilizzare il certificato ricevuto da GlobalTrust sia con Outlook sia con altri client di posta elettronica (ad esempio, Mozilla Thunderbird) senza rilevare alcun tipo di problema.

Per impostare Outlook affinché utilizzi il certificato personale, basta far riferimento al menù Strumenti, Opzioni del programma quindi alla scheda Protezione. Cliccando su Impostazioni ci si può assicurare che il certificato in uso sia quello ricevuto da GlobalTrust.
I pulsanti Codifica e Firma visualizzati in fase di composizione di un’e-mail permetteranno quindi di cifrare o firmare la comunicazione che si è in procinto di inviare.

Per aggiungere la chiave pubblica di un destinatario alla lista dei certificati, è sufficiente cliccare sul simbolo raffigurante una coccarda di colore rosso (contenuto nell’e-mail ricevuta dall’interlocutore) quindi cliccare sulla voce Aggiungi ai contatti di Outlook.
La chiave pubblica del contatto verrà così automaticamente associata al contatto stesso e risulterà visibile selezionando la scheda Certificati.
Se il certificato dell’interlocutore si presenta sotto forma di allegato (estensione .cer) al messaggio di posta elettronica, sarà possibile aggiungerlo alla lista selezionando il comando Importa.

Il certificato personale ottenuto da GlobalTrust è utilizzabile anche con altri client di posta elettronica. Nel caso di Mozilla Thunderbird, ad esempio, diventa possibile cifrare e firmare messaggi senza ricorrere ad estensioni sviluppate da terzi (la più famosa è la opensource Enigmail; ved. questo nostro articolo) e potendo fidare sulla certificazione resa da GlobalTrust.

La gestione dei certificati in Mozilla Thunderbird si effettua cliccando su Strumenti, Impostazioni account quindi sulla voce Sicurezza.
Cliccando su Visualizza certificati è possibile importarli e controllare quelli disponibili. Selezionando la scheda Certificati personali quindi servendosi del pulsante Importa, si può aggiungere in elenco il certificato (in formato .pfx) ottenuto gratuitamente da GlobalTrust.

Nella scheda Certificati altrui, invece, Mozilla Thunderbird aggiunge automaticamente i certificati, allegati ai vari messaggi di posta elettronica, ricevuti da parte dei propri interlocutori.
Dopo aver importato il proprio certificato digitale, è sufficiente fare clic sui pulsanti Seleziona presenti nei riquadri Utilizza il seguente certificato per firmare digitalmente i messaggi ed Utilizza il seguente certificato per cifrare o decifrare i messaggi ricevuti per indicare a Thunderbird che si intende farne uso.

In fase di composizione di un messaggio, si dovrà far riferimento al pulsante Sicurezza quindi alle voci Cifra questo messaggio ed Apponi firma digitale.
Nel caso di Mozilla Thunderbird, anziché una coccarda rossa, all’interno della finestra che visualizza il contenuto di un messaggio firmato digitalmente, verrà aggiunta – in alto a destra – un’icona raffigurante una penna.

Un documento in italiano che approfondisce ulteriormente le tematiche relative all’utilizzo di certificati digitali è disponibile sul sito di GlobalTrust cliccando qui (PDF; 1,6 MB circa).

Messaggi firmati digitalmente con il certificato GlobalTrust e posta elettronica certificata (PEC).

Un normale messaggio di posta elettronica firmato digitalmente con un certificato (ad esempio quello S/MIME fornito da GlobalTrust a tutti coloro che ne facciano richiesta attraverso il sito web dell’azienda) ed un messaggio di Posta Elettronica Certificata (così come inteso dalla normativa nazionale) sono due cose diverse. Un messaggio di Posta Elettronica Certificata (PEC) è uno strumento simile ad una raccomandata A.R. e, in particolare, prevede che entrambi gli account (mittente e destinatario) siano di Posta Elettronica Certificata (un esempio sono gli account attivabili sul sito legalmail.it).
Se si invia un’e-mail da un account di posta “non PEC” ad un account PEC il sistema che ricevete il messaggio inviato genera un messaggio di errore (che prende il nome di “anomalia di trasporto”). Il messaggio ricevuto non dipende dal certificato ma dall’account con cui si è trasmessa l’e-mail.
E’ ormai riconosciuto che l’invio di raccomandate postali con ricevuta di ritorno non rappresenta la soluzione definitiva per problemi quali la certezza della ricezione (sia la raccomandata che la ricevuta di ritorno possono perdersi e non giungere a destinazione), il non ripudio (mittente o destinatario potrebbero asserire di non aver ricevuto alcunché), i contenuti (nessuno assicura i contenuti della raccomandata: in mittente potrebbe anche spedire una busta vuota…) e l’ora di ricevimento della spedizione. L’onere della prova, inoltre, spetta al ricevente.
La PEC, così come legiferata ed attuata (ved., a tal proposito, i riferimenti legislativi pubblicati sul sito web di GlobalTrust a questo indirizzo), presuppone l’uso di una casella di posta elettronica certificata da parte di entrambi i soggetti (mittente e destinatario), non risulta interoperabile con altri sistemi, non può essere usata per corrispondere con altri Paesi, non può essere usata da più postazioni di lavoro, non garantisce il “non ripudio” dei contenuti del messaggio, non ha nessuna portabilità, può presentarsi come complessa nelle fasi d’installazione e gestione.
Nel caso, invece, della soluzione proposta da GlobalTrust (così come da parte degli altri enti certificatori a livello mondiale) e basata su certificato di posta elettronica e protocollo S/MIME, mittente e destinatario della comunicazione non hanno bisogno di dotarsi di alcun apparato specifico a meno che non lo desiderino espressamente (in tal caso è possibile ricorrere ai normali floppy disk, a penne USB, memorie flash e così via). Questo tipo di approccio si rivela interoperabile con qualsiasi sistema, è valido e riconosciuto in tutto il mondo, garantisce il “non ripudio” del messaggio e dei contenuti dello stesso, si contraddistingue per la massima portabilità, è usufruibile da parte di tutti ed ha valenza anche nei confronti della Pubblica Amministrazione ed inoltre molto economico da acquistare ed amministrare.

(PDF; 450 KB circa). “White paper” di GlobalTrust che riassume la situazione attuale in merito all’utilizzo di certificati e posta elettronica.