Share
Cosa starai creandoQuesto è il prossimo tutorial di una serie che si concentra sulla crittografia della tua email. Nel primo tutorial, abbiamo introdotto i concetti generali di crittografia e come possono essere utilizzati per proteggere e autenticare le nostre e-mail. Nel secondo tutorial, ti ho guidato attraverso l'installazione del software di crittografia sul tuo computer e ho iniziato a inviare i tuoi primi messaggi; abbiamo usato GPGTools per Mac OS X, un'integrazione di GnuPG open source. Nel terzo episodio, vi ho presentato Keybase, un servizio progettato per rafforzare il Web of Trust.
In questo tutorial, ti guiderò attraverso l'utilizzo di un plug-in basato su browser per crittografare e decrittografare la posta elettronica per la webmail basata su browser come Gmail. Coprirò anche alcune delle vulnerabilità inerenti alle soluzioni PGP basate su browser.
Oltre a leggere gli episodi precedenti, ti consigliamo di consultare la Surveillance Self-Defense Guide di Electronic Frontier Foundation.
Nei prossimi episodi, esploreremo le soluzioni PGP per smartphone e crittograferemo le tue attività su Internet con l'uso di una VPN. Infine, come parte della serie sulla gestione delle risorse digitali dopo la tua morte, useremo ciò che abbiamo imparato per creare una cache sicura di informazioni importanti per i tuoi discendenti in caso di emergenza.
Solo un promemoria, parteciperò regolarmente alle discussioni di seguito. Se hai una domanda o un suggerimento sull'argomento, per favore pubblica un commento qui sotto. Puoi anche seguirmi su Twitter @reifman o scrivermi direttamente via email.
Ora che abbiamo iniziato a utilizzare la messaggistica crittografata, ha senso chiederci se possiamo usarlo dalla webmail basata su browser come Gmail. La risposta breve è sì, ma non con lo stesso livello di sicurezza delle soluzioni basate su applicazioni.
Mailvelope è una di queste estensioni del browser disponibile per Chrome e Firefox. Il suo motore PGP è basato su OpenPGP.js open-source. Offre compatibilità integrata per Gmail, Yahoo Mail, Outlook.com e GMX.
Ma, come soluzione basata su browser, Mailvelope è vulnerabile in diversi modi. La preoccupazione principale è l'hosting della chiave privata nel browser. Mailvelope crittografa la chiave con una passphrase. Pertanto, il pacchetto crittografato è soggetto al furto online proprio come qualsiasi altro dato basato su browser. Mailvelope consiglia una password complessa come quella suggerita da questo articolo di Intercept:
Dato lo scenario che un utente malintenzionato è in grado di rubare la chiave privata, la resilienza contro gli attacchi a forza bruta sulla chiave privata crittografata dipende dalla qualità della password.
Mailvelope dice anche che "se uno dei computer su entrambi i lati della comunicazione è compromesso (ad esempio con un keylogger) la crittografia non sarà di aiuto".
La scorsa estate, Google ha annunciato la propria estensione PGP per Chrome chiamata End to End, ma non è pronta per il prime time, probabilmente per alcune delle stesse ragioni. Al momento è in versione alpha mentre cercano di migliorare le sue capacità di sicurezza. Puoi ottenere il codice su GitHub. Presumo che Google aggiungerà alcune funzionalità a Chrome per archiviare la chiave privata in modo più sicuro, sperando in un modo che anche gli sviluppatori di terze parti, come Mailvelope, possano trarre beneficio da.
Per iniziare con Mailvelope, dobbiamo aggiungere l'estensione a Chrome o Firefox. Quando fai clic sul link dell'estensione di Chrome, vedrai qualcosa di simile a questo:
L'installazione per me è stata abbastanza veloce, non è necessario riavviare. Vedrai l'icona in alto a destra nella finestra del browser per la navigazione e lo stato dell'estensione:
Anche la pagina principale di Mailvelope dovrebbe apparire subito:
Per continuare, dobbiamo importare la nostra chiave pubblica e privata.
Se hai seguito i nostri tutorial precedenti, stai già utilizzando una coppia di chiavi. Se hai bisogno di generare una nuova coppia di chiavi, Mailvelope lo farà per te.
Nel mio caso, voglio importare la mia coppia di chiavi esistente. Per fare ciò, fare clic su Importa chiavi pulsante e incollare la chiave pubblica e inviarla:
Ripeti il processo con la tua chiave privata.
Dovresti vedere qualcosa di simile sotto Tasti di visualizzazione:
Se fai clic sulla chiave, puoi visualizzare ulteriori informazioni e gestire i dettagli a riguardo:
L'invio di messaggi con Mailvelope è semplice, ma è necessario importare le chiavi pubbliche per tutti i destinatari previsti. Ottieni le chiavi pubbliche attendibili per il tuo destinatario, come il mio in Keybase, e segui i passaggi sopra riportati per importarle nel tuo portachiavi Mailvelope.
Quindi, in Gmail, componi un nuovo messaggio. Notare il piccolo popup in basso a destra.
Facendo clic sul popup verrà visualizzato il modulo di messaggio crittografato Mailvelope:
Scrivi il tuo messaggio segreto e clicca Encrypt. Mailvelope ti chiederà di specificare la chiave pubblica da utilizzare per la crittografia. Sto inviando questo messaggio al mio amico Phillip, un collega che ha una buona sceneggiatura sulla crittografia PGP per i giornalisti e mi ha incoraggiato a scrivere su questi argomenti. Scegli il destinatario e clicca Inserisci:
Mailvelope crittograferà il messaggio. Basta fare clic Trasferimento, che incolla il messaggio PGP nella finestra di composizione di Gmail.
È bello poter combinare facilmente messaggi di testo in chiaro e messaggi crittografati segreti all'interno di un messaggio Gmail.
Quando ricevi un messaggio crittografato, Mailvelope visualizza una sovrapposizione semitrasparente sul messaggio.
Fai clic sull'overlay e ti verrà chiesta la passphrase per sbloccare la tua chiave privata. Assicurati che nessuno ti guardi alle spalle-pensa a Citizenfour, coperto di neve, Snowden.
Clic ok e il tuo messaggio segreto apparirà. Certo, l'ho oscurato perché non voglio mettere in imbarazzo Phillip per lamentarmi di non dargli abbastanza credito per suggerire argomenti di articoli (Mailvelope non era la sua idea, a proposito, ma alcuni degli altri in questa serie erano-ma sto divagando).
Spero che tu sia colpito da Mailvelope. L'ho trovato abbastanza semplice e utile. Puoi saperne di più a riguardo nella loro documentazione e nelle pagine delle FAQ. Se ci provi, assicurati di utilizzare una passphrase molto sicura (qualcuno ha ancora i dadi, sul serio?).
Non esitate a postare le vostre domande e commenti qui sotto. Puoi anche seguirmi su Twitter @reifman o scrivermi direttamente via email. Sfoglia la pagina dei miei Tuts + istruttore se desideri vedere altri tutorial che ho scritto.
Accentsconagua