#1 Procura tutto il necessario

Questa guida si basa su GnuPG, un software libero, completamente sicuro e che chiunque può copiare o modificare per crearne una propria versione. Proprio perché libero è più resistente alla sorveglianza rispetto al software proprietario (come Windows o macOS). Puoi saperne di più sul software libero su fsf.org.

GnuPG è già installato nella maggior parte dei sistemi operativi GNU/Linux, quindi se utilizzi uno di questi sistemi, non è necessario nemmeno scaricarlo. Se utilizzi invece macOS o Windows, i passi per scaricare GnuPG sono indicati qui di seguito. Prima di procedere oltre con questa guida e configurare la crittografia sul tuo sistema però, dovrai installare sul tuo computer almeno un programma di posta elettronica. Molte distribuzioni GNU/Linux ne hanno già uno installato, ne è un esempio "Icedove", conosciuto spesso con il nome alternativo "Thunderbird". Questi sono programmi, che offrendo funzioni aggiuntive, permettono di accedere agli stessi account di posta elettronica (come Gmail) a cui puoi accedere con un browser web.

Passo 1.a: Installazione guidata

Passo 1.a Configura il programma di posta elettronica con il tuo account email

Apri il tuo programma di posta elettronica ed esegui la procedura guidata (passo passo) che ti guiderà nella configurazione del tuo account di posta elettronica. Di solito si parte da "Impostazioni account" → "Aggiungi account di posta". Le impostazioni del server di posta elettronica dovrebbero essere fornite dall'amministratore di sistema o essere disponibili nella sezione di aiuto del sito web del tuo provider di posta elettronica.

Risoluzione dei problemi

La procedura guidata non si avvia
È possibile avviare la procedura guidata da soli, purtroppo però l'opzione di menu da selezionare ha un nome diverso in ogni programma di posta elettronica. In genere il pulsante per avviarla si trova nel menu principale del programma, sotto la voce "Nuovo" o qualcosa di simile, con un titolo come "Aggiungi account" o "Nuovo account email".
La procedura guidata non riesce a trovare il mio account o non riesce a scaricare la mia posta
Prima di cercare su internet, ti consigliamo di iniziare a chiedere ad altre persone che utilizzano il tuo provider di posta elettronica, per capire quali sono le impostazioni corrette.
Non riesco a trovare il menù
Nei programmi di posta elettronica più recenti, il menu principale è rappresentato da un'icona costituita da tre barre orizzontali sovrapposte.

Passo 1.b Installa GnuPG

Se utilizzi un computer con sistema operativo GNU/Linux, GnuPG dovrebbe essere già installato e puoi passare alla Sezione 2.

Se utilizzi un computer con macOS o Windows, tuttavia, devi necessariamente installare prima il programma GnuPG. Seleziona qui sotto il bottone del tuo sistema operativo e segui le istruzioni. Per il resto di questa guida, i passaggi saranno gli stessi per tutti i sistemi operativi.

macOS

Utilizza un gestore di pacchetti di terze parti per installare GnuPG

Il gestore di pacchetti predefinito di macOS rende difficile l'installazione di GnuPG e di altri software liberi (come Emacs, GIMP o Inkscape). Per semplificare le cose, ti consigliamo di scaricare il gestore di pacchetti di terze parti "Homebrew" per installare GnuPG. A tale scopo, dovrai utilizzare il programma chiamato "Terminale", che è preinstallato su macOS.

# Sulla riga di comando del Terminale copia il comando che è presente sulla pagina iniziale di Homebrew. Per fare questo premi sull'icona degli appunti presente sulla destra e incolla il contenuto nel Terminale. Premi "Invio" e attendi che l'installazione venga completata.

# Installa quindi GnuPG inserendo il seguente codice nel Terminale:
brew install gnupg gnupg2

Windows

Ottieni GnuPG scaricando GPG4Win

GPG4Win è un pacchetto software per la crittografia di email e file che include GnuPG. Scarica ed installa l'ultima versione, scegliendo le opzioni predefinite ogni volta che ti viene richiesto. Dopo l'installazione, è possibile chiudere tutte le finestre create.

GnuPG, OpenPGP, cosa?

In generale, i termini GnuPG, GPG, GNU Privacy Guard, OpenPGP e PGP sono usati in modo intercambiabile. Tecnicamente, OpenPGP (Pretty Good Privacy) è lo standard di crittografia e GNU Privacy Guard (spesso abbreviato con GPG o GnuPG) è il programma che implementa lo standard. La maggior parte dei programmi di posta elettronica fornisce un'interfaccia per GnuPG. Esiste anche una versione più recente di GnuPG, chiamata GnuPG2.

#2 Crea le tue chiavi

Un robot con la testa a forma di chiave che contiene una chiave privata e una pubblica

Per utilizzare il sistema GnuPG, è necessario disporre di una chiave pubblica e di una chiave privata (note insieme come coppia di chiavi). Ognuna di esse è una lunga stringa univoca di numeri e lettere generati casualmente per ogni utente. Le chiavi pubbliche e quelle private sono collegate tra loro da una speciale funzione matematica.

La tua chiave pubblica non può essere considerata come una vera chiave, perché è appunto pubblica (deve essere condivisa) ed è memorizzata in una rubrica online chiamata keyserver (server delle chiavi) dove è liberamente consultabile. Le persone dopo averla scaricata la usano, insieme a GnuPG, per crittografare le email che ti inviano. Si può pensare al keyserver come a una rubrica telefonica; le persone che ti vogliono inviare email crittografate possono cercare qui la tua chiave pubblica.

La tua chiave privata è invece più simile a una vera chiave, perché la tieni solo per te (la conservi sul tuo computer). Utilizzi GnuPG e la tua chiave privata per decifrare le email crittografate inviate da altre persone. Non devi mai condividere la tua chiave privata con nessuno, in nessun caso.

Oltre che per criptare e decriptare, è possibile utilizzare queste chiavi per firmare i messaggi e verificare l'autenticità delle firme altrui. Ne parleremo più diffusamente nella prossima sezione.

Passo 2.A: Crea la coppia di chiavi

Passo 2.A: Imposta la tua passphrase (frase segreta)

Passo 2.a Crea una coppia di chiavi

Crea una coppia di chiavi

Utilizzeremo ora la riga di comando in un terminale per creare una coppia di chiavi utilizzando il programma GnuPG.

In GNU/Linux, macOS o Windows, puoi lanciare l'applicazione terminale ("Terminal" in macOS, "PowerShell" in Windows) dal menu Applicazioni (in alcuni sistemi GNU/Linux è possibile usare la scorciatoia Ctrl + Alt + T).

# Inserisci il comando gpg --full-generate-key per avviare il processo.

# Alla domanda su quale tipo di chiave si desidera creare, seleziona l'opzione predefinita: 1 RSA and RSA.

# Inserisci la seguente dimensione della chiave: 4096 per una chiave robusta.

# Scegli la data di scadenza; noi suggeriamo 2y (2 anni).

Segui le indicazioni per continuare la configurazione con i tuoi dati personali.

Attenzione: a seconda della versione di GPG in uso, potresti dover usare --gen-key invece di --full-generate-key.

Puoi impostare ulteriori opzioni eseguendo il comando gpg --edit-key [latua@email] in una finestra del terminale.

Imposta la passphrase (frase segreta)

Nella schermata intitolata "Passphrase", scegli una passphrase (frase segreta) robusta! Puoi farlo manualmente o utilizzando il metodo Diceware. L'operazione manuale è più veloce, ma non è altrettanto sicura. L'uso di Diceware richiede più tempo e l'uso dei dadi, ma crea una passphrase che è molto più difficile da capire da parte degli aggressori. Per imparare ad usare questo metodo, leggi la sezione "Creare una passphrase sicura con Diceware" in questo articolo di Micah Lee.

Se desideri scegliere manualmente una passphrase, proponi qualcosa che puoi facilmente ricordare, che sia lungo almeno dodici caratteri e che includa almeno una lettera minuscola, una maiuscola ed almeno un numero ed un simbolo di punteggiatura. Non scegliere mai una passphrase già usata altrove. Non utilizzare schemi riconoscibili, come compleanni, numeri di telefono, nomi di animali domestici, testi di canzoni, citazioni di libri e così via.

Risoluzione dei problemi

GnuPG non è installato
Puoi verificare se questo è effettivamente il problema digitando il comando gpg --version. Se GnuPG non è installato sul computer, nella maggior parte dei sistemi operativi GNU/Linux verrà visualizzato il seguente errore (o qualcosa di simile): Il comando 'gpg' non è stato trovato, ma può essere installato con: sudo apt install gnupg. Per risolvere il problema esegui il comando suggerito dal sistema ed installa il programma.
Il comando gpg --full-generate-key non funziona
Alcune distribuzioni utilizzano una versione diversa di GPG. Se ricevi un errore del tipo: gpg: Invalid option "--full-generate-key", puoi provare a digitare i seguenti comandi:
sudo apt update
sudo apt install gnupg2
gpg2 --full-generate-key
Se il problema è stato risolto, è necessario che continui ad utilizzare il comando gpg2 invece di gpg nei passi successivi della guida.

Attenzione: a seconda della versione di GPG in uso, potresti dover usare --gen-key invece di --full-generate-key.

Ho impiegato troppo tempo per creare la mia passphrase
Non c'è problema. È importante che pensi ad una buona passphrase. Quando sei pronto, ripeti di nuovo i passaggi dall'inizio per creare la tua chiave.
Come faccio a vedere la mia chiave?
Per visualizzare tutte le chiavi presenti sul tuo computer utilizza il seguente comando: gpg --list-keys. La tua chiave dovrebbe comparire nell'elenco assieme ad altre come ad esempio quella di Edward che verrà inserita tra poco (Sezione 3).
Se desideri vedere solo la tua chiave, puoi invece usare questo comando gpg --list-key [latua@email].
Infine puoi digitare il comando gpg --list-secret-key per vedere la tua chiave privata.
Risorse aggiuntive
Per avere ulteriori informazioni su GnuPG, puoi fare riferimento a The GNU Privacy Handbook. Assicurati però di utilizzare "RSA e RSA" (l'impostazione predefinita), perché è un algoritmo più recente e più sicuro di quelli raccomandati nella documentazione. Assicurati anche che la tua chiave sia lunga almeno 4096 bit se vuoi essere veramente sicuro.

Avanzato

Coppie di chiavi, concetti avanzati
Quando GnuPG crea una nuova coppia di chiavi, suddivide la funzione di crittografia dalla funzione di firma attraverso le sottochiavi (subkeys). Se si utilizzano con attenzione le sottochiavi, è possibile mantenere la propria identità GnuPG più sicura e recuperare molto più rapidamente una chiave compromessa. Alex Cabal e la wiki Debian forniscono una buona guida per una configurazione sicura delle sottochiavi.

Passo 2.B: Invia la chiave al server e genera un certificato

Passo 2.b Alcuni passi importanti dopo la creazione delle chiavi

Carica la tua chiave pubblica su un keyserver

Caricherai ora la tua chiave pubblica su di un keyserver, in modo che se qualcuno vuole inviarti un messaggio crittografato, possa scaricare la tua chiave pubblica da Internet. Dovrai selezionare uno tra i tanti keyserver disponibili e selezionabili dal menu in fase di caricamento, bisogna però precisare che per la maggior parte sono copie l'uno dell'altro. Qualsiasi server andrà in ogni caso bene, è meglio però ricordare su quale keyserver si è caricata in origine la propria chiave. Tieni presente infine che spesso ci vogliono alcune ore affinché una chiave sia sincronizzata tra i vari keyserver dopo il suo caricamento.

# Per prima cosa copia il tuo keyID: il comando gpg --list-key [latua@email] elenca le informazioni sulla tua chiave pubblica ("pub"), compreso il keyID, che è un elenco unico di numeri e lettere che identifica la tua chiave. Copia il tuo keyID, in modo da poterlo usare nel comando che segue.

# Quindi carica la tua chiave su un server: gpg --send-key [keyID]

Esporta la tua chiave in un file

Usa il seguente comando per esportare la tua chiave segreta in modo da poterla importare nel tuo client di posta elettronica come ti mostreremo nel prossimo passo. Per evitare che la chiave venga compromessa, conservala in un luogo sicuro e assicurati che il trasferimento/salvataggio avvenga in modo affidabile. L'esportazione delle due chiavi può essere effettuata con i seguenti comandi:

$ gpg --export-secret-keys -a [keyID] > la_mia_chiave_segreta.asc
$ gpg --export -a [keyID] > la_mia_chiave_pubblica.asc

Genera un certificato di revoca

Per intervenire nel caso dovessi perdere la chiave privata o nel caso questa fosse compromessa, dovrai generare un certificato di revoca che salverai in un luogo sicuro sul tuo computer (fai riferimento al Passo 6.C come conservare in modo sicuro il tuo certificato di revoca). Questo passo è essenziale, come potrai scoprire nella Sezione 5.

# Per prima cosa copia il tuo keyID: il comando gpg --list-key [latua@email] elenca le informazioni sulla tua chiave pubblica ("pub"), compreso il keyID, che è un elenco unico di numeri e lettere che identifica la tua chiave. Copia il tuo keyID, in modo da poterlo usare nel comando che segue.

# Genera quindi un certificato di revoca: gpg --gen-revoke --output revoca.asc [keyID]

# Ti verrà richiesto di indicare un motivo per la revoca; ti consigliamo di utilizzare 1 = la chiave è stata compromessa.

# Non devi necessariamente inserire un motivo, ma è possibile farlo; quindi premi "Invio" per inserire una riga vuota e conferma la selezione.

Risoluzione dei problemi

L'invio della mia chiave al keyserver non funziona
Invece di usare il comando generale, puoi specificare su quale keyserver caricare la chiave con il comando: gpg --keyserver keys.openpgp.org --send-key [keyID].
La mia chiave non sembra funzionare o ricevo l'errore "permesso negato"

Come ogni altro file o cartella, le chiavi GPG sono soggette a permessi. Se questi non sono impostati correttamente il sistema potrebbe non accettare le chiavi. Puoi seguire i passi successivi per verificare e impostare i permessi corretti.

# Puoi verificare i tuoi permessi con il comando: ls -l ~/.gnupg/*

# Imposta i permessi di lettura, scrittura ed esecuzione solo per te stesso, nessun altro. Questi sono i permessi raccomandati per la cartella.
Il comando che devi usare è il seguente: chmod 700 ~/.gnupg

# Imposta i permessi di lettura e scrittura solo per te stesso, nessun altro. Questi sono i permessi raccomandati i file delle chiavi all'interno della cartella.
Il comando che devi usare è il seguente: chmod 600 ~/.gnupg/*

Se hai creato (per qualsiasi motivo) cartelle personali all'interno di ~/.gnupg, devi applicare i permessi di esecuzione anche a queste cartelle. Le cartelle richiedono i privilegi di esecuzione per essere aperte. Per ulteriori informazioni sui permessi, puoi consultare questa guida dettagliata.

Avanzato

Ulteriori informazioni sui keyserver
Puoi trovare informazioni aggiuntive sui keyserver in questo manuale. È anche possibile esportare direttamente la chiave come file sul computer.
Trasferimento delle chiavi

Per trasferire le chiavi, utilizza i comandi che ti indichiamo nelle righe che seguono. Per evitare che le chiavi vengano compromesse, conservale in un luogo sicuro ed assicurati che il trasferimento avvenga in modo affidabile. L'importazione e l'esportazione delle chiavi possono essere effettuate con i seguenti comandi:

$ gpg --export-secret-keys -a [keyID] > la_mia_chiave_privata.asc
$ gpg --export -a [keyID] > la_mia_chiave_pubblica.asc
$ gpg --import la_mia_chiave_privata.asc
$ gpg --import la_mia_chiave_pubblica.asc

Assicurati che il keyID indicato sia quello corretto ed, in caso affermativo, procedi ad associare la fiducia definitiva:

$ gpg --edit-key [latua@email]

Poiché si tratta della tua chiave, dovresti scegliere ultimate (definitiva). A priori invece non ti dovresti fidare della chiave di nessun altro.

Per ulteriori informazioni sui permessi, consulta Risoluzione dei problemi nel Passo 2.B. Quando si trasferiscono le chiavi, le autorizzazioni possono essere mescolate e possono essere visualizzati degli errori. Questi errori possono essere facilmente evitati se le cartelle e i file hanno le autorizzazioni corrette

#3 Imposta la crittografia delle email

Il programma di posta elettronica Icedove (o Thunderbird) ha le funzionalità di PGP integrate, questa caratteristica lo rende più facile da usare. Ti illustreremo ora i passaggi necessari per integrare ed utilizzare la tua chiave in questo client di posta elettronica.

Passo 3.A: Menu Email

Passo 3.A: Importa da un File

Passo 3.A: Successo

Passo 3.A: Risoluzione dei problemi

Passo 3.a Imposta la crittografia nella posta elettronica

Una volta che avrai impostato la crittografia, potrai iniziare a contribuire al traffico crittografato su Internet. Per prima cosa faremo in modo che il tuo client di posta elettronica importi la tua chiave segreta, quindi imparerai come ottenere le chiavi pubbliche di altre persone dai keyserver (server delle chiavi) in modo da poter inviare e ricevere email crittografate.

# Apri il client di posta elettronica e seleziona nella voce di menu "Strumenti" → Gestore delle chiavi OpenPGP

# Nel menu "File" → Importa chiavi segrete da File

# Seleziona il file salvato con il nome [la_mia_chiave_segreta.asc] nel Passo 2.B, quando hai esportato la chiave

# Sblocca l'importazione inserendo la passphrase

# Verrà visualizzata la finestra "Importazione riuscita delle chiavi OpenPGP" per confermare il successo dell'operazione

# Vai in "Impostazioni account" → "Crittografia end-to-end", assicurati che la chiave sia stata importata correttamente e seleziona Tratta questa chiave come chiave personale.

Risoluzione dei problemi

Non sono sicuro che l'importazione abbia funzionato correttamente
Cerca "Impostazioni account" → "Crittografia end-to-end." Qui puoi vedere se la chiave personale associata alla email corrente è stata trovata. In caso contrario, puoi riprovare ad importare la chiave premendo il pulsante Aggiungi chiave. Assicurati di associare il file della chiave segreta corretta.

#4 Proviamo!

Illustrazione di una persona in una casa con un gatto collegato a un server

Ora proviamo a scambiare delle mail di prova con Edward, un programma informatico della FSF che sa usare la crittografia. Escludendo dove specificamente indicato, questi sono gli stessi passi che seguirai quando scambierai email con una persona reale.

Passo 4.A Invia la chiave ad Edward.

Passo 4.a Invia ad Edward la tua chiave pubblica

Questo è un passaggio particolare che non dovrai fare quando scriverai a persone reali. Nel menu del tuo programma di posta elettronica, vai su "Strumenti". → "Gestore delle chiavi OpenPGP". Dovresti vedere la tua chiave nell'elenco che appare. Fai clic con il tasto destro del mouse sulla chiave e seleziona Invia chiavi pubbliche via email. In questo modo verrà creata una nuova bozza di messaggio, come se avessi appena premuto il pulsante "Scrivi", ma nell'allegato troverai il file della tua chiave pubblica.

Indirizza il messaggio ad edward-it@fsf.org. Inserisci almeno una parola (qualsiasi cosa va bene) sia nell'oggetto che nel corpo dell'email, ma non inviarla ancora.

Poiché vogliamo che Edward sia in grado di aprire l'email con il file della tua chiave, è necessario che questo primo messaggio speciale non sia criptato. Assicurati pertanto che la crittografia sia disattivata: apri il menu a tendina "Sicurezza" e seleziona Non criptare. Una volta che hai disattivato la crittografia, premi Invia.

Potrebbero essere necessari due o tre minuti prima che Edward risponda. Nel frattempo, ti consigliamo di andare avanti e di dare un'occhiata alla sezione Usa bene GnuPG di questa guida. Una volta ricevuta la risposta, passa alla fase successiva. Da questo momento in poi, farai esattamente come quando scambierai email con una persona reale.

Quando aprirai la risposta di Edward, GnuPG potrebbe richiederti di digitare la passphrase prima di utilizzare la tua chiave privata per decifrare la email.

Passo 4.B Opzione 1. Verifica della chiave

Passo 4.B Opzione 2. Importa la chiave

Passo 4.b Invia un'email crittografata di prova

Ottieni la chiave di Edward

Per inviare un'email crittografata ad Edward, hai bisogno della sua chiave pubblica, quindi per prima cosa dovrai ottenerla. Puoi farlo in due modi diversi:

Opzione 1. L'email ricevuta da Edward in risposta alla tua prima email, conteneva un allegato: la sua chiave pubblica. Nell'area dell'intestazione del messaggio, sopra l'area del testo, è presente il pulsante "OpenPGP" che riporta i simboli di un lucchetto e di una coccarda. Premi questo pulsante e seleziona la voce Individua che trovi accanto al testo: "Questo messaggio è stato firmato con una chiave di cui ancora non si dispone". Si aprirà a questo punto una finestra popup con i dettagli della chiave pubblica di Edward.

Opzione 2. Apri il tuo Gestore delle chiavi OpenPGP e alla voce "Keyserver" scegli Individua chiavi online. Inserisci l'indirizzo email di Edward ed importa la sua chiave.

Selezionando l'opzione Accettata (non verificata) e premendo il bottone "Importa" aggiungerai questa chiave al tuo gestore di chiavi e da questo momento potrai usare la chiave per inviare email crittografate ad Edward e per verificare le sue firme digitali.

Nota che nella finestra popup che mostra la chiave di Edward sono elencate molte email diverse, tutte queste email sono associate alla stessa chiave. Non ti preoccupare è normale; puoi importare la chiave senza timore.

Dal momento in cui inizierai a criptare le email destinate ad Edward usando la sua chiave pubblica, sarà obbligatoriamente necessario usare la sua chiave privata per decriptarle e poiché Edward è l'unico a possederla, nessuno tranne lui potrà leggere le email che gli scriverai.

Invia ad Edward un'email crittografata

Ora usa il tuo programma di posta elettronica per inviare una nuova email ad Edward. Indirizzala ad edward-it@fsf.org, scrivi nell'oggetto "Test di crittografia" o qualcosa di simile e scrivi qualcosa nel corpo.

Questa volta, assicurati che la crittografia sia attivata utilizzando il menu a discesa "Sicurezza" e selezionando Cripta. Una volta attivata la crittografia, premi Invia.

Risoluzione dei problemi

"Destinatari non validi, non attendibili o non trovati".
Potrai ricevere il messaggio di errore sopra riportato o qualcosa di simile: "Impossibile inviare questo messaggio con la crittografia end-to-end, perché ci sono problemi con le chiavi dei seguenti destinatari: ...". In questi casi, è possibile che si stia cercando di inviare una email crittografata a qualcuno di cui non si dispone ancora la chiave pubblica. Assicurati di seguire i passaggi precedenti per importare la chiave nel tuo gestore di chiavi. Apri "Gestore delle chiavi OpenPGP" per verificare che la chiave del destinatario sia presente nell'elenco.
Impossibile inviare il messaggio
Quando si tenta di inviare un'email crittografata, è possibile che venga visualizzato il seguente messaggio: "Impossibile inviare questo messaggio con la crittografia end-to-end, perché ci sono problemi con le chiavi dei seguenti destinatari: edward-it@fsf.org (nel caso specifico)". In genere questo significa che la chiave è stata importata con l'opzione "Non accettata (indecisa)". Per risolvere questo problema accedi al Gestore delle chiavi OpenPGP, seleziona la chiave che crea problemi e facendo clic con il tasto destro del mouse sulla sua riga scegli la voce "Proprietà chiave". Nella finestra che si apre, alla voce "Accettazione", seleziona l'opzione Sì, ma non ho ancora verificato che sia la chiave corretta. Prova ad inviare nuovamente l'email.
Non riesco a trovare la chiave di Edward
Chiudi le finestre popup apparse dopo aver fatto clic su Invia. Assicurati di essere connesso ad Internet e riprova. Se non funziona, puoi scaricare manualmente la chiave dal keyserver e puoi importarla usando l'opzione Importa chiavi pubbliche da file in Gestore delle chiavi OpenPGP.
Messaggi non decifrati nella cartella Inviati
In generale non è possibile decifrare i messaggi crittografati con la chiave degli altri, però il tuo programma di posta elettronica salverà automaticamente nella cartella Posta inviata (analogamente a tutte le email normali) le mail che invierai, crittografandole con la tua chiave pubblica. Non lasciarti trarre in inganno, questo comportamento è normale e non significa che l'email non sia stata inviata in modo crittografato.

Avanzato

Crittografia dei messaggi dalla riga di comando
Se preferisci, puoi criptare e decriptare messaggi e file anche dalla riga di comando. L'opzione --armor fa sì che l'output crittografato appaia nel set di caratteri standard.

Importante: Suggerimenti sulla sicurezza

Anche se cripti un'email l'oggetto non è criptato, non inserire quindi informazioni private nell'oggetto. Poiché anche gli indirizzi di invio e di ricezione non sono crittografati, un sistema di sorveglianza può comunque capire con chi stai comunicando. Inoltre considera che gli agenti di sorveglianza sapranno che stai usando GnuPG, anche se non riusciranno a capire cosa stai dicendo. Nota infine che quando si inviano allegati, si può scegliere se crittografare anche loro oppure no, indipendentemente dal fatto che l'email vera e propria venga crittografata.

Per incrementare la sicurezza contro potenziali attacchi, puoi disattivare l'HTML e scrivere il corpo del messaggio come testo normale. Per disattivare l'HTML, in Icedove o Thunderbird, vai su "Visualizza" → "Corpo del messaggio" → Solo testo semplice.

Passo 4.C La risposta di Edward

Passo 4.c Ricevi una risposta

Quando Edward riceve l'email, utilizza la sua chiave privata per decifrarla e risponderti.

Potrebbero essere necessari due o tre minuti affinché Edward ti risponda. Nel frattempo, puoi passare alla lettura della sezione Usa bene GnuPG di questa guida.

Edward ti invierà in risposta un messaggio di posta elettronica crittografato per comunicarti che il tuo messaggio è stato ricevuto e decrittografato. Il tuo client di posta elettronica decifrerà automaticamente il messaggio di Edward.

Il pulsante OpenPGP sopra il corpo dell'email mostrerà un piccolo segno di spunta verde sopra il simbolo del lucchetto, per indicare che il messaggio è crittografato, ed un piccolo segno di avvertimento arancione sulla coccarda per indicarti che hai accettato la chiave, ma che non l'hai ancora verificata. Se non hai ancora accettato la chiave, vedrai invece sopra la coccarda un piccolo punto interrogativo. Facendo clic su questo pulsante puoi accedere alle proprietà della chiave.

Passo 4.d Invia un'email di prova firmata

GnuPG include anche una funzione per firmare messaggi e file. Questa funzione verifica che i messaggi provengano realmente da te e che non siano stati manomessi lungo il percorso tra te ed il destinatatrio. Queste firme sono più forti delle loro controparti ottenute con carta e penna: sono impossibili da falsificare, perché sono impossibili da creare senza la tua chiave privata (questo è un altro motivo per tenere al sicuro la tua chiave privata).

Puoi inviare messaggi firmati a chiunque, questo è un ottimo modo per far sapere alle persone che stai utilizzando GnuPG e che possono comunicare con te in modo sicuro. Se non hanno GnuPG, potranno solo leggere il tuo messaggio e vedere la tua firma. Se invece hanno GnuPG, potranno anche verificare che la tua firma sia autentica.

Per inviare una email firmata ad Edward, componi un messaggio, indirizzalo alla sua email e fai clic sull'icona della matita accanto all'icona del lucchetto in modo che diventi dorata. Se firmi un messaggio, GnuPG potrebbe richiederti l'inserimento della tua passphrase prima di inviare il messaggio, questo avviene perché deve sbloccare la chiave privata per apporre la tua firma.

In "Impostazioni account" → "Crittografia end-to-end" puoi scegliere di aggiungere la firma digitale per impostazione predefinita.

Passo 4.e Ricevi una risposta

Quando Edward riceve il tuo messaggio di posta elettronica, utilizza la tua chiave pubblica (che gli hai inviato al Passo 3.A) per verificare che il messaggio che gli hai inviato non sia stato manomesso e per crittografare la risposta che ti invia.

Potrebbero essere necessari due o tre minuti affinché Edward ti risponda. Nel frattempo, puoi passare alla lettura della sezione Usa bene GnuPG di questa guida.

La risposta di Edward arriverà criptata, perché lui preferisce usare la crittografia quando possibile. Se tutto va secondo i piani, la risposta dovrebbe essere "La tua firma è stata verificata". Se l'email di prova che gli hai inviato era anche crittografata, anche questo aspetto sarà menzionato come prima cosa nella sua risposta.

Quando riceverai l'email di Edward e la aprirai, il tuo client di posta elettronica rileverà automaticamente che è crittografata con la tua chiave pubblica e utilizzerà la tua chiave privata per decifrarla.

#5 Comprendi la rete di fiducia (Web of Trust)

Illustrazione di chiavi tutte interconnesse tra di loro con una rete di linee

La crittografia delle email è una tecnologia potente, ma ha un punto debole: richiede un metodo per verificare che la chiave pubblica di una persona sia effettivamente la sua. In caso contrario, non ci sarebbe modo di impedire ad un malintenzionato di creare un indirizzo email con il nome di un tuo amico, creare le chiavi che lo accompagnano ed impersonarlo. Ecco perché i programmatori di software libero che hanno sviluppato la crittografia delle email hanno creato la firma delle chiavi (la firma digitale della chiave pubblica di qualcun altro utilizzando la propria) e la rete di fiducia (il Web of Trust).

Quando firmi la chiave di qualcuno, dichiari pubblicamente di aver verificato che la chiave appartiene a lui e non a qualcun altro.

La firma delle chiavi e la firma dei messaggi utilizzano lo stesso tipo di operazione matematica, ma hanno implicazioni molto diverse. È buona norma firmare in generale le tue email, ma se firmi casualmente le chiavi degli altri, puoi finire per garantire accidentalmente l'identità di un impostore.

Le persone che utilizzano la tua chiave pubblica possono vedere chi l'ha firmata prima di loro. Dopo aver usato GnuPG per molto tempo, la tua chiave potrà avere ricevuto centinaia di firme. Puoi considerare una chiave tanto più affidabile quanto è elevato il numero di persone di cui vi fidate che l'hanno firmata. La Rete della fiducia è una costellazione di utenti di GnuPG, collegati tra loro da catene di fiducia espresse attraverso le firme.

Sezione 5: fiducia in una chiave

Passo 5.a Firma una chiave

Nel menu del tuo programma di posta elettronica, alla voce Strumenti, scegli Gestore delle chiavi OpenPGP e seleziona Proprietà chiave facendo clic con il tasto destro del mouse sulla chiave di Edward.

Alla voce "Accettazione", seleziona Sì, ho verificato personalmente la correttezza dell'impronta digitale di questa chiave.

Con questa operazione hai appena dichiarato: "Mi fido, la chiave pubblica di Edward appartiene effettivamente ad Edward". Nel caso specifico firmare la chiave non ha molto significato perché Edward non è una persona reale, ma per le persone reali è una buona pratica ed è importante farlo. Per saperne di più sulla firma delle chiavi, consulta la sezione Cosa considerare quando si firmano le chiavi.

Legittima le chiavi: Impronte digitali e ID

Le chiavi pubbliche sono solitamente identificate da un'impronta digitale, costituita da una stringa di caratteri simile a questa (per la chiave di Edward): F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8. Puoi vedere l'impronta digitale della tua chiave pubblica e delle altre chiavi pubbliche salvate nel tuo computer andando su Gestione delle chiavi OpenPGP, nel menu del programma di posta elettronica, selezionando con il pulsante destro del mouse la chiave e scegliendo Proprietà chiave. È buona norma condividere l'impronta digitale ovunque si condivida l'indirizzo email, in modo che le persone possano avere la controprova di avere la chiave pubblica corretta quando la scaricano da un keyserver.

Le chiavi pubbliche possono essere identificate anche con un iD più breve, questo ID è quello visibile direttamente nella finestra di Gestione delle chiavi OpenPGP. Questi ID di otto caratteri venivano usati in passato per l'identificazione sicura della chiave. Ora la verifica della chiave con ID di 8 caratteri non è più affidabile e per certificarla con sicurezza è necessario controllare che tutta l'impronta digitale della chiave sia quella corretta per la persona che si sta cercando di contattare. Lo spoofing, che è l'operazione con la quale qualcuno genera intenzionalmente una chiave con un'impronta digitale i cui ultimi otto caratteri sono uguali ad un'altra, è purtroppo al giorno d'oggi una pratica piuttosto comune.

Importante: Cosa considerare quando si firmano le chiavi

Prima di firmare la chiave di una persona, devi avere la certezza che essa appartenga a quella persona e che quella persona sia effettivamente chi dice di essere. Idealmente, questa sicurezza deriva dall'aver avuto contatti e conversazioni con loro nel corso del tempo e dall'aver assistito ai contatti tra loro ed altre persone. Quando firmi una chiave, chiedi di vedere l'impronta digitale completa della chiave pubblica, e non solo il keyID più breve. Se ritieni importante firmare la chiave di una persona appena conosciuta, chiedi che ti mostri il suo documento di identità e assicurati che il nome sul documento corrisponda a quello associato alla chiave pubblica.

Avanzato

Padroneggia la rete della fiducia
Sfortunatamente, la fiducia non si diffonde tra gli utenti nel modo in cui molte persone pensano. Uno dei metodi migliori per rafforzare la comunità di GnuPG è quello di capire approfonditamente la Rete di Fiducia e di firmare con cura le chiavi di tutte le persone che le circostanze consentono.

#6 Usa bene GnuPG

Ognuno utilizza GnuPG in modo leggermente diverso, ma è importante che tu segua alcune norme basilari per mantenere sicura la tua posta elettronica. Se non le segui, oltre che la tua, metterai a rischio la privacy delle persone con cui comunichi e danneggerai la Rete della fiducia.

Sezione 6: Usa bene GnuPG (1)

Quando devo criptare? Quando devo firmare?

Più riesci a crittografare i tuoi messaggi, meglio è. Se crittografi le email solo occasionalmente, ogni messaggio crittografato potrebbe far scattare un campanello d'allarme nei sistemi di sorveglianza. Se tutte o la maggior parte delle tue email sono crittografate, le persone che effettuano la sorveglianza non sapranno da dove cominciare. Questo non vuol dire che criptare solo una parte delle email non sia utile: è un ottimo inizio e rende più difficile la sorveglianza di massa.

A meno che tu non voglia rivelare la tua identità (il che richiede altre misure di protezione), non c'è motivo di non firmare ogni messaggio, sia che si stia criptando o meno. Oltre a permettere a chi ha GnuPG di verificare che il messaggio proviene da te, la firma è un modo non intrusivo per ricordare a tutti che utilizzate GnuPG e dimostra il tuo sostegno alla comunicazione sicura. Se invii spesso messaggi firmati a persone che non hanno familiarità con GnuPG, è bene se includi anche un link a questa guida nella tua firma di posta elettronica standard (la firma testuale, non quella crittografica).

Sezione 6: Usa bene GnuPG (2)

Diffida delle chiavi non valide

GnuPG rende le email più sicure, ma è comunque importante che tu faccia attenzione alle chiavi non valide, che potrebbero essere cadute nelle mani sbagliate. Le email crittografate con chiavi non valide potrebbero essere leggibili dai programmi di sorveglianza.

Nel tuo programma di posta elettronica, torna alla prima email crittografata che Edward ti ha inviato. Poiché Edward l'ha crittografata con la tua chiave pubblica, ci sarà un segno di spunta verde sul pulsante "OpenPGP".

Quando usi GnuPG, è bene che tieni d'occhio questo pulsante. Il programma ti avvertirà se riceverai una email firmata con una chiave non affidabile.

Copia il certificato di revoca in un posto sicuro

Ricordi quando hai creato le tue chiavi e hai salvato il certificato di revoca creato da GnuPG? È ora di copiare quel certificato sulla memoria di massa più sicura che hai: una chiavetta USB, un disco esterno portatile o un disco rigido conservato in un luogo sicuro a casa o al lavoro, non usare un dispositivo che porti regolarmente con te. Il modo più sicuro che conosciamo è però quello di stampare il certificato di revoca e conservarlo in un luogo sicuro.

Se la tua chiave privata viene smarrita o rubata, avrai bisogno di questo file di certificato per far sapere a tutti che non utilizzerai più quella coppia di chiavi.

IMPORTANTE: AGISCI SUBITO se qualcuno entra in possesso della tua chiave privata

Se perdi la tua chiave privata o qualcun altro ne entra in possesso (ad esempio, rubando o crackando il tuo computer), è importante che tu la revochi immediatamente, prima che qualcun altro la usi per leggere le email crittografate destinate a te o falsifichi la tua firma. Questa guida non tratta le modalità di revoca di una chiave, ma è possibile imparare a farlo seguendo le seguenti istruzioni. Una volta effettuata la revoca, crea una nuova coppia di chiavi ed invia una email, allegando una copia della tua nuova chiave pubblica, a tutti coloro con cui utilizzavi abitualmente la precedente per assicurarti che tutti sappiano del cambio delle tue chiavi.

Webmail e GnuPG

Quando utilizzi un browser web per accedere alla posta elettronica, utilizzi la webmail che è un programma di posta elettronica memorizzato su un sito web remoto. A differenza della webmail, il programma di posta elettronica desktop viene eseguito sul tuo computer. Sebbene la webmail non sia in grado di decifrare le email criptate, è comunque in grado di visualizzarle nella loro forma criptata. Se utilizzi principalmente la webmail, saprai in tal caso che è necessario aprire il tuo client di posta elettronica per decifrare una email criptata.

Rendi la tua chiave pubblica parte della tua identità online

Per prima cosa aggiungi l'impronta digitale della tua chiave pubblica alla firma della tua email, quindi scrivi una email ad almeno cinque dei tuoi amici, dicendo loro che hai appena configurato GnuPG e menzionando l'impronta digitale della tua chiave pubblica. Segnala questa guida e chiedi loro di unirsi a te. Non dimenticarti che c'è anche una fantastica infografica da condividere.

Inizia a scrivere l'impronta digitale della tua chiave pubblica ovunque qualcuno possa vedere il tuo indirizzo email: i tuoi profili sui social media, il blog, il sito web o il biglietto da visita. (Alla Free Software Foundation, noi riportiamo la nostra impronta digitale sulla pagina dello staff). Dobbiamo diffondere la cultura fino al punto di avvertire la mancanza di qualcosa quando vediamo un indirizzo email senza l'impronta digitale della chiave pubblica.

Ottimo lavoro! Dai un'occhiata ai passi successivi.