Share
Crediti immagine: Email Self Defense: la Free Software Foundation.
Dopo le rivelazioni di Snowden del 2013, ho iniziato a cercare di migliorare la privacy delle mie comunicazioni e-mail. Inizialmente, ho esplorato l'installazione del mio server di posta privata privato (Tuts +). In definitiva, ho imparato che proteggere il tuo server di posta elettronica è difficile ed è fondamentale, per ora, concentrarsi sulla crittografia per messaggio.
Questo è il primo tutorial di una serie in cui mi concentrerò sulla crittografia della tua email. In questo tutorial, introdurrò i concetti generali di crittografia e come possono essere utilizzati per proteggere e verificare le nostre e-mail. Nel secondo tutorial, ti guiderò attraverso l'installazione del software di crittografia sul tuo computer e cominciando a inviare i tuoi primi messaggi.
Esploreremo anche la crittografia della posta elettronica basata su browser e rafforzeremo la "rete di fiducia", quindi cambieremo argomento per crittografare le tue attività su Internet con l'uso di una VPN. Infine, come parte della serie sulla gestione delle risorse digitali dopo la tua morte, useremo ciò che abbiamo imparato per creare una cache sicura di informazioni importanti per i tuoi discendenti in caso di emergenza.
In questa serie, mi riferirò ripetutamente a una grande risorsa creata dalla Electronic Frontier Foundation (EFF) chiamata Surveillance Self-Defense Guide. Potresti anche voler leggere uno dei loro spiegatori, Un'introduzione alla crittografia a chiave pubblica e PGP, che questo particolare tutorial mette in parallelo. Ho provato a rendere questo tutorial un po 'più semplice da leggere.
Francamente, l'architettura del nostro sistema di posta elettronica globale non è costruita per la privacy o l'autenticazione. In realtà, direi che è fondamentalmente rotto in modi che dobbiamo rivedere per l'era moderna delle comunicazioni digitali. Fino ad allora, il modo migliore per proteggere la nostra privacy e autenticare le nostre comunicazioni è Pretty Good Privacy, noto anche come PGP.
L'attivista e esperto di tecnologia Phil Zimmerman ha inventato il PGP nel 1991. Il governo degli Stati Uniti lo ha perseguitato per il suo lavoro, e vale la pena leggere del suo lavoro e della sua storia.
In questo tutorial, spiegherò le basi di PGP e come puoi utilizzarlo per garantire la riservatezza delle tue comunicazioni in una società di sorveglianza e anche come autenticare l'identità delle persone con cui comunichi.
Tieni presente che parteciperò alle discussioni di seguito. Se hai una domanda o un suggerimento sull'argomento, per favore pubblica un commento qui sotto. Puoi anche seguirmi su Twitter @reifman o scrivermi direttamente via email.
PGP è un sistema di crittografia che funziona con una coppia di chiavi che operano in modo simmetrico. Una coppia di chiavi è indicata come una chiave privata e una chiave pubblica. Le persone devono mantenere la propria chiave privata al sicuro e in ogni momento, non condivise con nessuno. Tuttavia, possono condividere la loro chiave pubblica su autorevoli scambi di chiavi pubbliche e di persona.
In genere, gli utenti PGP installano una sorta di software di crittografia commerciale o open source compatibile con lo standard OpenPGP. GnuPG è un'implementazione comune di OpenPGP. Alcune delle immagini che sto utilizzando nel tutorial sono tratte dall'infografica GnuPG Email Self Defense della Free Software Foundation.
Puoi utilizzare il tuo software PGP per inviare messaggi crittografati. Il tuo software crittograferà il messaggio in uscita con la chiave pubblica del tuo destinatario.
Il messaggio stesso rimbalzerà su Internet in modo incomprensibile, indecifrabile per chiunque non abbia la chiave privata del destinatario.
Qualsiasi autorità di sorveglianza che intercetta il messaggio non sarà in grado di decifrarne il contenuto.
Quando il destinatario riceve il messaggio senza senso, useranno il loro software PGP con la loro chiave privata e la tua chiave pubblica per decrittografare il messaggio.
Se permetti alla tua chiave privata di cadere nelle mani sbagliate, allora altre persone saranno in grado di impersonare te inviando messaggi crittografati per tuo conto. Saranno anche in grado di leggere i messaggi confidenziali inviati con la crittografia.
La tua chiave privata potrebbe essere rubata senza che tu te ne accorga. Ad esempio, se il malware viene inserito sul tuo computer, criminali o spie governative potrebbero ottenerlo illecitamente. Non lo sapresti mai.
È molto importante proteggere la tua chiave privata con una password incredibilmente forte. Quando Edward Snowden digita la password sotto una coperta in Citizenfour, sta proteggendo la sua password della chiave privata da eventuali videosorveglianze.
Se la tua chiave privata, magari memorizzata su un laptop o una pen drive, viene rubata, la tua password rallenterà l'accesso ai perpetratori. Ma alla fine, saranno in grado di accedervi.
Se dovessi scoprire che la tua chiave privata è stata compromessa, puoi informare gli altri per preservare la rete di fiducia, che discuteremo più avanti.
PGP non crittograferà la riga dell'oggetto o A: riga di indirizzo dei messaggi crittografati, a volte chiamata busta del messaggio. Pertanto, PGP non nasconderà chi conosci a meno che tu non abbia un modo per scambiare chiavi pubbliche anonime con persone che usano indirizzi e-mail anonimi che accedono alla loro e-mail usando Tor per mascherare il loro indirizzo IP.
Le firme digitali possono autenticare che un messaggio è stato inviato dalla persona che detiene la chiave privata del mittente e verificare che il messaggio non sia stato manomesso.
In genere, ciò avviene generando un hash crittografico del messaggio originale e quindi crittografando l'hash con la chiave privata del mittente (il contrario di ciò che viene fatto per crittografare il corpo del messaggio). Questo è chiamato firma del messaggio. L'immagine qui sotto è di Wikipedia.
Anche minuscole modifiche al messaggio modificano radicalmente l'hash.
Quando il destinatario riceve il messaggio, decrittografa l'hash con la chiave pubblica del mittente e verifica il risultato. Se l'hash è corretto, dimostra che la persona che detiene la chiave privata del mittente ha inviato il messaggio. Se l'hash non è corretto, il messaggio è stato manomesso o non è stato inviato dal mittente presunto.
La tua capacità di fidarsi di PGP dipende dall'affidabilità della chiave pubblica ricevuta dal mittente. Ad esempio, se ti ho inviato via email la mia chiave pubblica e la NSA ha intercettato il messaggio e lo ha sostituito con la sua chiave pubblica, potrebbero iniziare a inviarti messaggi crittografati che crederesti provengano da me. Oppure, se hai scambiato messaggi crittografati con il tuo amico e la loro chiave privata è stata compromessa, altre persone potrebbero leggere i tuoi messaggi privati.
Questo potrebbe essere molto significativo se sei una spia o un attivista.
L'attendibilità delle chiavi è nota come Web of Trust.
Se leggete su PGP, vedrete menzionate "feste chiave" mitologiche (probabilmente organizzate da Jake Applebaum). Probabilmente non sarai mai invitato a uno. (In realtà ho incontrato Jake un paio di volte, ma non sono abbastanza cool per essere invitato alle sue parti principali.)
La maggior parte di noi, piccole persone, usa i server delle chiavi per scambiare le nostre chiavi. Gli utenti di cui ci fidiamo possono firmare digitalmente le chiavi pubbliche di altre persone che desideriamo inviare messaggi, e questo ci permette di avere una certa certezza sulla validità di specifiche chiavi pubbliche.
In definitiva, l'unico modo per essere sicuri di avere la chiave pubblica effettiva di qualcuno è scambiarlo con loro di persona.
Tuttavia, ci sono alcuni nuovi servizi interessanti che stanno cercando di migliorare la rete di fiducia, che esaminerò nei prossimi episodi.
Spero ti senta ispirato a proteggere la tua email. In arrivo nel prossimo tutorial, ti guiderò attraverso l'installazione del software di crittografia sul tuo computer, creando la tua prima coppia di chiavi e iniziando a inviare i tuoi primi messaggi sicuri.
Non esitate a postare le vostre domande e commenti qui sotto. Puoi anche raggiungermi su Twitter @reifman o mandarmi un'email direttamente. Puoi trovare i miei altri tutorial sfogliando la mia pagina di istruttori + istruttori.
Accentsconagua