Che cos’è PGP? Come funziona la privacy piuttosto buona, ha spiegato

Se sei preoccupato per la privacy online ed elettronica, la crittografia è la cosa migliore per rilassarti. Utilizzando protocolli di crittografia avanzati, puoi assicurarti che i tuoi dati siano al sicuro da occhi indiscreti e che solo le persone che decidi possano vedere le tue informazioni possono accedervi.

Uno dei metodi più comuni per la crittografia è chiamato PGP. Questo articolo ti guiderà su cos'è PGP, a cosa serve e come utilizzarlo.

Che cos'è PGP?

PGP sta per "Pretty Good Privacy". PGP viene spesso utilizzato per inviare messaggi crittografati tra due persone. Funziona crittografando un messaggio utilizzando una chiave pubblica legata a un utente specifico; quando l'utente riceve il messaggio, utilizza una chiave privata nota solo a loro per decrittografarlo.

Non sei sicuro di cosa sia una chiave pubblica o una chiave privata? Consulta questi termini di crittografia di base prima di continuare a leggere. Aiuterà a semplificare la comprensione della terminologia di crittografia.

Questo sistema assicura che sia facile inviare comunicazioni crittografate poiché l'unica cosa necessaria per crittografare un messaggio è una chiave pubblica e il programma PGP appropriato. Ma è anche abbastanza sicuro, poiché i messaggi possono essere decifrati solo con chiavi note privatamente protette da password.

Oltre alla crittografia, PGP consente anche firme digitali. Firmando il messaggio crittografato con la chiave privata, si fornisce al destinatario la possibilità di vedere se il contenuto del messaggio è stato modificato. Se anche una sola lettera nel messaggio viene modificata prima che venga decifrata, la firma verrà invalidata, avvisando il destinatario di giocare male.

Qual è la differenza tra PGP, OpenPGP e GnuPG?

In questo articolo parlerò sia di PGP che di Gnu Privacy Guard (GnuPG o GPG).

GPG è un'implementazione open source di PGP e funziona secondo gli stessi principi. A meno che non acquisterai un prodotto abilitato per PGP da Symantec, la società che detiene attualmente il copyright e la società PGP, probabilmente utilizzerai GPG.

Ecco una breve storia di PGP, OpenPGP e GPG.

PGP: sviluppato da Phil Zimmerman nel 1991, PGP è uno dei metodi di crittografia digitale più duraturi e lo strumento di crittografia e-mail più popolare. Ora di proprietà di Symantec ma concesso in licenza da migliaia di aziende.

OpenPGP: fino al 1992, la crittografia figurava nell'elenco delle munizioni USA come equipaggiamento militare ausiliario. Ciò significava che esportare lo strumento PGP di Zimmerman in paesi internazionali era un crimine grave. In effetti, Zimmerman è stato indagato per aver violato la legge sul controllo delle esportazioni di armi, tale era il potere dello strumento di crittografia PGP in quel momento.

A causa di tali restrizioni, il gruppo di lavoro OpenPGP è stato formato con l'aiuto dell'Internet Engineering Task Force (IEFT). La creazione di una versione PGP open-source ha eliminato i problemi relativi all'esportazione della crittografia garantendo al contempo a chiunque di poter utilizzare lo strumento di crittografia.

GnuPG: GnuPG (GPG) è un'implementazione dello standard OpenPGP ed è considerata una forte alternativa al PGP di Symantec.

È importante sottolineare che gli algoritmi di crittografia sono intercambiabili tra queste opzioni. Sono progettati per collaborare per consentire agli utenti di utilizzare l'uno o l'altro senza perdere l'accesso a dati importanti.

Chiavi PGP spiegate rapidamente

La meccanica matematica di PGP è estremamente complicata. Tuttavia, il video qui sotto ti darà un'idea generale di come funziona il sistema.

La crittografia PGP utilizza una combinazione di crittografia a chiave simmetrica (una chiave monouso) e crittografia a chiave pubblica (chiavi univoche per il destinatario).

Quanto è sicuro PGP?

È impossibile affermare che un particolare metodo di crittografia sia sicuro al 100 percento. Detto questo, PGP è generalmente considerato estremamente sicuro. Il sistema a due chiavi, le firme digitali e il fatto che PGP sia open source ed è stato pesantemente controllato dal pubblico contribuiscono tutti alla sua reputazione come uno dei migliori protocolli di crittografia.

Bruce Schneier, un esperto di sicurezza di fama mondiale, una volta chiamava PGP, "il più vicino a cui potresti arrivare alla crittografia di livello militare", e PGP.net afferma che "non ci sono debolezze pratiche".

Quindi, PGP è sicuro? Bene, Edward Snowden ha usato PGP per inviare file a Glenn Greenwald quando ha rotto la storia che ha dato il via a un grande interesse per la crittografia . E se è abbastanza buono per Snowden, è abbastanza buono per la maggior parte – se non per tutte – delle altre persone che hanno bisogno di crittografare le cose.

Snowden-pgp

Algoritmi di crittografia PGP

PGP può essere utilizzato con diversi tipi di algoritmi di crittografia, sebbene l'algoritmo RSA sia abbastanza comune. Se non hai mai sentito parlare della crittografia RSA, stai certo che è davvero, davvero forte. Funzionalità RSA nel nostro elenco di algoritmi di crittografia comuni , che fornisce maggiori dettagli.

Secondo DigiCert, un computer desktop standard richiederebbe molti quadrilioni di anni per decifrare un certificato SSL RSA a 2048 bit.

Ciò significa che se avessi iniziato a provare a decifrare quel certificato al momento del Big Bang, non finiresti prima della fine dell'universo. RSA a 2048 bit è comunemente usato come algoritmo standard per PGP.

Gnu Privacy Guard utilizza l'algoritmo AES per impostazione predefinita. AES è uno dei più potenti algoritmi di crittografia disponibili al pubblico. Per riferimento, se il governo degli Stati Uniti specifica qualcosa come top secret, trasporta la crittografia AES-256. E se è abbastanza buono per le agenzie di sicurezza nazionali e il governo, è abbastanza buono per te.

Mentre gli analisti di cripta e gli appassionati di criptovalute potrebbero discutere tutto il giorno sul miglior algoritmo da usare, GnuPG afferma che "Gli algoritmi di GnuPG sono così ben progettati per quello che fanno che non esiste un unico" migliore ". C'è solo molta scelta personale e soggettiva. ”

Introduzione a PGP e GPG per e-mail in 4 passaggi

Sai qualcosa di più su come funziona PGP. Ora puoi metterlo in pratica.

1. Scarica gli strumenti GPG per il tuo sistema

Come accennato, PGP è uno strumento di crittografia concesso in licenza di proprietà di Symantec. Puoi usare GnuPG come alternativa gratuita e open source.

GPG è un'applicazione solo da riga di comando. Se questa non è la tua tazza di tè, puoi usare uno strumento GPG con un'interfaccia visiva.

  • Windows : vai su Gpg4win e scarica gli strumenti.
  • macOS: scarica gli strumenti da GPG Tools .
  • Linux : è possibile scaricare GPA . Alcune distro Linux, come Ubuntu, hanno già una versione GPG installata, come SeaHorse o Passwords and Keys.

Dovrai inoltre assicurarti di disporre degli strumenti adeguati per il tuo client di posta elettronica.

Ad esempio, Apple Mail ha il supporto integrato per PGP. Il programma di installazione di Gpg4win contiene un'opzione per la crittografia all'interno di Outlook. Enigmail ti consente di crittografare la posta elettronica in Thunderbird, mentre strumenti come Mailvelope e Flowcrypt ti consentono di utilizzare le tue chiavi PGP per la webmail .

2. Genera le tue chiavi pubbliche e private

A seconda del software utilizzato, verranno utilizzati diversi metodi per generare nuove chiavi.

In GPG Suite su macOS, devi solo fare clic su Nuovo . Inserisci alcuni dettagli, come il tuo nome e il tipo di chiave. Dovrai anche decidere se caricare o meno la tua chiave pubblica su un key server.

generazione di chiavi di crittografia macos suite gpg

In generale, questa è una buona idea, in quanto consentirà ad altri di trovare la tua chiave pubblica e inviarti messaggi crittografati, anche se non hai comunicato in precedenza. Tuttavia, se hai appena iniziato a utilizzare PGP, potresti voler interrompere il caricamento, poiché non puoi cambiare il tuo nome o indirizzo e-mail dopo averlo caricato.

Il processo di generazione delle chiavi è simile anche in altri strumenti. L'esempio che segue proviene dal Key Manager di Privacy Assistant di Gpg4win. Ti guida attraverso il processo di creazione delle chiavi.

gpg4win gpa genera chiavi

3. Abilita PGP nel tuo client di posta elettronica

Ancora una volta, il processo per abilitare la crittografia PGP nel tuo client di posta elettronica varierà. Il modo migliore per scoprire esattamente cosa devi fare è cercare nei file di aiuto del client di posta elettronica. In alternativa, completa una ricerca su Internet per "[nome client e-mail] abilita PGP".

Ad esempio, macOS GPG Suite installa il componente aggiuntivo PGP per Apple Mail e aggiunge automaticamente le informazioni e le icone necessarie. Invece, dovrai importare manualmente le tue chiavi di crittografia in Microsoft Outlook.

crittografia certificati di sicurezza importazione Microsoft Outlook

Se vuoi saperne di più sull'importazione e la creazione di chiavi, puoi iscriverti al nostro corso gratuito sulla sicurezza della posta elettronica , che tratta questo e molto altro in modo più dettagliato.

4. Ottieni le chiavi pubbliche per i tuoi contatti

Ora sei pronto per inviare e-mail firmate PGP! Tuttavia, c'è un altro passo importante. Affinché qualcuno possa decrittografare un'email che gli viene inviata, è necessaria la chiave pubblica. Il modo più semplice è scambiare le chiavi personalmente, tramite e-mail, messaggi istantanei o altro.

Se lo desideri, puoi pubblicare la tua chiave pubblica sul tuo sito Web o sulla biografia di Twitter, poiché non c'è rischio di pubblicare la tua chiave pubblica. Assicurati solo che sia la tua chiave pubblica e non la tua chiave privata , questo è il bit che deve rimanere sicuro in ogni momento.

Esistono diversi server di chiavi pubblici che è possibile cercare chiavi pubbliche appartenenti a amici, familiari, colleghi o altro.

Su macOS, GPG Keychain Access, parte di GPG Tools, ti consente di cercare le chiavi direttamente dall'app. Esistono anche strumenti di ricerca di keyserver online, come PGP Global Directory o MIT PGP Public Key Server . Una volta trovata una chiave per il tuo contatto, è necessario scaricarla e importarla nella tua app utilizzando le procedure specifiche richieste.

Crittografia file PGP

Sebbene molti strumenti di crittografia e-mail gratuiti e open source utilizzino PGP, il numero di opzioni di crittografia dei file è molto più piccolo.

Tuttavia, alcune implementazioni consentono agli utenti di crittografare i file utilizzando PGP. Ad esempio, gli utenti Windows possono utilizzare Kleopatra di Gpg4win per crittografare un file o una cartella utilizzando le stesse chiavi di crittografia dell'account e-mail. Gli utenti Windows possono anche consultare Cryptophane , uno strumento open source per la firma e la crittografia con PGP.

Gli utenti Mac e Linux probabilmente vorranno utilizzare Seahorse . In alternativa, è possibile utilizzare GPG dalla riga di comando. Ecco come crittografare i file utilizzando GPG utilizzando la riga di comando di Linux .

riga di comando linux crittografia gpg

Tuttavia, se si desidera la crittografia di singoli file o cartelle sul proprio sistema locale, gli utenti Windows devono verificare come crittografare utilizzando VeraCrypt .

PGP rende la crittografia facile per tutti

Non devi capire i complicati cryptomath dietro PGP per sapere che è un ottimo sistema di crittografia. E non devi essere un genio del computer per trarne vantaggio per crittografare le tue e-mail e i tuoi file, aumentando significativamente la tua sicurezza online ed elettronica. Scaricando solo alcuni strumenti, puoi iniziare a crittografare le informazioni sensibili oggi.

Non dimenticare di consultare il nostro articolo sui provider di posta elettronica più sicuri , molti dei quali sono dotati di strumenti di crittografia integrati. Rendono ancora più semplice la crittografia!

Leggi l'articolo completo: cos'è PGP? Come funziona la privacy piuttosto buona, ha spiegato