IlSoftware.it - Il sito italiano sul software

Posta elettronica in sicurezza con il certificato digitale in regalo per i nostri lettori



La posta elettronica, di per sé, non è uno strumento sicuro per lo scambio di informazioni. Le e-mail, infatti, transitano attraverso un canale di comunicazione, qual è la rete Internet, di per sé assolutamente insicuro.

MIME è l'acronimo di Multipurpose Internet Mail Extensions e fissa uno standard per il formato di un messaggio di posta elettronica. Ogni messaggio inviato attraverso un server SMTP è considerabile come in formato MIME. Le varie parti di un'e-mail ed, in particolare, le indicazioni MIME inserite al suo interno, specificano, ad esempio, il formato con cui viene inviato il messaggio (solo testo o html), la codifica utilizzata, eventuali allegati e così via. Per l'invio di messaggi "sicuri" il cui contenuto non possa essere letto se non dal reale destinatario, si fa ricorso al formato S/MIME. Sviluppato da RSA Data Security, S/MIME fornisce la possibilità di autenticare, verificare l'integrità, garantire il non ripudio (utilizzando la firma digitale) e proteggere il messaggio (utilizzando la crittografia) trasmesso in Rete.

L'impiego S/MIME permette, ad esempio, di "certificare" l'intero contenuto del messaggio che si invia, consente di trasmettere comunicazioni a qualunque tipo di indirizzo e-mail, è interoperabile con qualsiasi sistema ed è valido in tutto il mondo. Inoltre, l'uso di un certificato S/MIME consente di fidare su di una soluzione che garantisce massima portabilità ed in più è in grado di permettere la protezione del contenuto del messaggio grazie all'utilizzo della crittografia.

Per scambiarsi messaggi di posta elettronica utilizzando il formato S/MIME, i corrispondenti (mittente e destinatario) necessitano di una certification authority ("CA") che compie diversi controlli sull'identità del richiedente quindi emette un certificato digitale che potrà essere utilizzato, per un certo periodo di tempo, per scambiare messaggi di posta elettronica in modo sicuro. Il sistema che viene adottato nelle comunicazioni è la ben nota soluzione crittografica a chiave pubblica (o “asimmetrica”): una chiave viene cioé inserita all'interno del certificato (“pubblica”) mentre l'altra, collegata alla chiave pubblica, deve restare assolutamente segreta e conservata con cura da parte dell'utente (“chiave privata”).

Come abbiamo più volte sottolineato, due utenti che desiderino scambiarsi e-mail cifrate possono creare autonomamente un certificato digitale senza interpellare una certification authority. E' possibile farlo, ad esempio, ricorrendo ad applicazioni quali GnuPG o Gpg4Win (ved. questo nostro articolo). La CA si configura tuttavia come una "terza parte" che attesta l'identità di un utente e che è abilitata a rilasciare certificati digitali dotati di tutti i crismi dell'ufficialità. La CA, insomma, gode della "fiducia" di tutte le parti coinvolte nella comunicazione.

A beneficio di tutti i nostri lettori, in collaborazione con la CA italiana Globaltrust, offriamo la possibilità di generare un proprio certificato digitale per iniziare ad inviare e-mail in modo sicuro (firmate digitalmente ed eventualmente anche crittografate).

Come richiedere il certificato digitale

Per richiedere alla CA Globaltrust il proprio certificato digitale è sufficiente registrarsi facendo riferimento a questa pagina inserendo i propri dati anagrafici ed una password adeguatamente complessa.
Per motivi tecnici legati alla generazione di un certificato perfettamente valido, è necessario effettuare l'intera procedura dallo stesso personal computer ricorrendo sempre al medesimo browser web (Microsoft Internet Explorer oppure Mozilla Firefox).

Noi abbiamo effettuato la procedura di richiesta con Mozilla Firefox: dopo aver visitato l'apposita pagina e debitamente compilato tutti i campi, cliccando sul pulsante Accetto, in basso, Firefox ha mostrato per qualche istante il messaggio seguente:


Al termine di questa fase, è importante annotare il numero d'ordine visualizzato nella finestra successiva: sarà indispensabile al passo n°2.



Dopo aver effettuato le verifiche del caso, Globaltrust invierà un'e-mail all'indirizzo di posta elettronica specificato all'atto della richiesta del certificato: il messaggio contiene un link da seguire per provvedere all'installazione automatica del certificato personale sul proprio sistema.
La procedura di richiesta ed attivazione del certificato digitale va effettuata utilizzando il medesimo browser web, sullo stesso personal computer utilizzato per il passo precedente.
Visitando il link presente nell'e-mail ricevuta (è questo), si dovrà indicare, negli appositi campi, il numero dell'ordine e la password precedentemente scelta.


Dopo aver cliccato sul pulsante Conferma, nella pagina successiva, si dovrà inserire il lungo codice alfanumerico ricevuto per e-mail. Per evitare errori, suggeriamo di effettuare un copia&incolla dal corpo dell'e-mail alla casella visualizzata nel browser web.

Cliccando su Conferma, dopo qualche istante di attesa, comparirà il messaggio seguente:.

Il certificato personale così richiesto consentirà di codificare e firmare digitalmente i propri messaggi di posta elettronica garantendo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse.
GlobalTrust (o comunque la CA che emette il certificato) provvede a fornire all'utente facente richiesta, un certificato contenente l'identificativo dell'algoritmo crittografico usato, un numero di serie, la firma digitale, il nome della CA, le informazioni riguardanti la validità ed una chiave pubblica. Questo insieme di informazioni identifica colui che ha richiesto il certificato come unico possessore ed utilizzatore dello stesso.

Il certificato S/MIME appena generato sarà aggiunto tra quelli conservati da parte del browser web. E' consigliabile provvedere a salvare il certificato sul disco fisso in modo che possa essere facilmente impiegato, per esempio, con un qualsiasi client di posta elettronica. Il certificato può essere memorizzato sotto forma di file con estensione .pfx: tale file non dovrà, per nessun motivo, essere trasmesso a terzi dato che contiene anche la propria chiave privata.

Nel caso si sia richiesto il certificato da Internet Explorer, questo potrà essere salvato su disco in formato .pfx avviando il browser di Microsoft, cliccando sul menù Strumenti, Opzioni Internet quindi su Contenuto. Facendo riferimento al pulsante Certificati quindi selezionando il proprio certificato S/MIME dalla scheda Personale ed infine premendo Esporta..., si potrà produrre il file .pfx.

Qualora, invece, si fosse utilizzato Firefox, la procedura di esportazione del certificato S/MIME si concretizza cliccando sul menù Strumenti, Opzioni del prodotto, accedendo alla scheda Avanzate, cliccando su Cifratura ed infine sul pulsante Mostra certificati.
Selezionando la scheda Certificati personali, si noterà la presenza del certificato appena generato ed ottenuto da Globaltrust.

Per esportare il certificato, bisogna cliccare su Salva, indicare la cartella di destinazione ed un nome per il file che sarà memorizzato con estensione .p12 (PKCS12). Firefox richiede di definire anche una password a protezione della copia di backup del certificato.

In tutte le fasi di esportazione ed importazione del certificato S/MIME verrà sempre richiesta la password scelta a protezione del file: mai dimenticarla.

Per inviare messaggi crittografati è sempre necessario possedere il certificato del proprio interlocutore. Come primo passo, quindi, è bene inviarsi a vicenda un semplice messaggio di posta elettronica sul quale sia apposta la propria firma digitale. Così facendo, i client di posta "immagazzineranno" automaticamente il certificato altrui.


di Michele Nasi
IlSoftware.it - Il sito italiano sul software