Nel 1991, Phil Zimmermann creò Pretty Good Privacy (PGP), un programma crittografico che, per la prima volta, forniva all'individuo medio una crittografia di livello militare. Nel corso degli anni, il codice sorgente di PGP è stato rilasciato e alla fine è nato uno standard aperto, OpenPGP. Ciò ha aperto la strada a una miriade di prodotti open source che continuano a offrire alcune delle migliori crittografie disponibili.
Chi dovrebbe usare OpenPGP
Nel corso della storia di PGP e della crittografia in generale, ci sono stati innumerevoli critici che promuovono la teoria secondo cui solo chi ha qualcosa di nefasto da nascondere ha motivo di utilizzare una crittografia così forte. Infatti, poco dopo il suo sviluppo iniziale, Zimmermann si è trovato l'obiettivo di un'indagine del governo degli Stati Uniti quando PGP si è fatto strada fuori dagli Stati Uniti, violando le leggi che vietavano l'esportazione di una crittografia così potente.
In realtà, ci sono molte ragioni per cui una persona dovrebbe usare la crittografia, specialmente nel contesto della comunicazione digitale. Mentre molte persone pensano alla posta elettronica come a qualcosa di relativamente privato e sicuro, con poche eccezioni, nulla potrebbe essere più lontano dalla verità.
L'email è più simile a una cartolina che a una lettera privata sigillata. Proprio come una cartolina si fa strada attraverso più depositi, uffici postali, camion di posta e singole mani - con il suo messaggio chiaro per vedere - un'e-mail viaggia attraverso una miriade di singoli server in rotta dal mittente al destinatario finale.
Lungo il percorso, un operatore di server senza scrupoli poteva visualizzare il contenuto di tali e-mail, senza che il mittente o il destinatario potessero sapere che la loro privacy era stata compromessa.
Mentre questo è di scarsa importanza quando condividi un simpatico video di animali domestici, o la tua nuova ricetta preferita, la posta in gioco diventa molto più alta quando i familiari discutono di problemi finanziari o di salute, un dirigente che discute di una politica aziendale interna, un programmatore che condivide il codice sorgente con un altro sviluppatore, o un numero qualsiasi di situazioni legittime in cui è importante essere in grado di comunicare e condividere informazioni, o anche file, in modo sicuro e privato.
Sono proprio queste situazioni che rendono OpenPGP uno strumento importante per chiunque sia interessato alla privacy e alla sicurezza.
Come funziona
Al suo centro, OpenPGP è un sistema di crittografia a chiave pubblica. Questo tipo di crittografia utilizza una coppia di chiavi pubblica / privata per crittografare e decrittografare i dati. Con la crittografia a chiave pubblica, una volta che i dati vengono crittografati con una chiave pubblica, solo la corrispondente chiave privata può decrittografarla.
Quando si installa un client OpenPGP per la prima volta, viene richiesto di creare un set di coppie di chiavi e caricare la chiave pubblica nei server delle chiavi, consentendo alle persone di cercarlo tramite il proprio nome o l'indirizzo email associato.
Inoltre, OpenPGP aiuta anche le persone a verificare l'autenticità e l'integrità di un messaggio o di un file crittografato grazie alla firma digitale inclusa. Molte società di software includeranno una firma digitale PGP insieme al loro programma di installazione del software che i clienti possono verificare per verificare l'integrità di un download e garantire che non sia stato manomesso o compromesso per includere il codice dannoso.
Come usarlo
Nonostante il valore di OpenPGP, l'unica cosa che ha ostacolato la sua adozione diffusa è la facilità d'uso. Come molte applicazioni potenti, la sua barriera di accesso può talvolta essere più elevata di quanto molti utenti vogliano gestire.
Sebbene ci siano una miriade di client OpenPGP, molto più di quanto possa essere coperto dall'ambito di questo articolo, i passaggi seguenti dovrebbero fornire una guida generale per l'installazione e l'uso di OpenPGP.
Scarica un client
Quando si scarica un client OpenPGP, la prima scelta è decidere se scaricare PGP commerciale da Symantec o utilizzare uno dei client open source gratuiti disponibili.
In generale, l'applicazione commerciale offre l'esperienza più snella e lucida, con opzioni per Mac, Windows e iOS, mentre i client open source aggiungono il supporto per Linux e Android, per non parlare del fatto di essere gratuiti.
Crea le chiavi
Il prossimo passo è creare le tue chiavi pubbliche / private. Ti verrà chiesto il tuo nome e indirizzo email, così come la password che inserirai nella crittografia e nella decrittografia dei dati.
Mentre ci sono un paio di scelte di algoritmi da utilizzare per la creazione delle chiavi, per la maggior parte delle persone, scegliere l'algoritmo RSA predefinito sia per la firma che per la crittografia è l'opzione migliore. Più grande è la chiave, più forte è la crittografia. Al momento della pubblicazione, le chiavi a 2048 bit erano state prese in considerazione o erano state compromesse, sebbene le risorse richieste fossero ben al di là dell'applicazione pratica, rendendo la chiave a 2048 bit ancora valida per esigenze di sicurezza moderate.
Dal momento che una chiave a 4096 bit è quasi esponenzialmente più potente di 2048 bit, una chiave a 4096 bit è considerata inaccessibile per il prossimo futuro.
Carica la chiave
Una volta create le chiavi, il passo successivo è caricare la tua chiave pubblica in modo che altre persone possano trovarla. Una volta caricata la chiave, chiunque abbia un client OpenPGP sarà in grado di cercare la tua chiave in base al tuo indirizzo e-mail e usarla per crittografare e-mail e file che solo tu puoi aprire.
Puoi anche inviare direttamente via email la tua chiave pubblica alle persone con cui comunichi regolarmente, in modo che possano usarlo per crittografare i file e le email destinati a te.
Integra con la tua applicazione di posta elettronica
Poiché la crittografia dell'email è uno degli usi fondamentali della crittografia OpenPGP, l'integrazione con il programma di posta elettronica preferito è il passaggio successivo. Molti pacchetti, come GPG Suite di GPGTools, installano automaticamente un plug-in per i client di posta più diffusi, tra cui Apple Mail, Microsoft Outlook o Mozilla Thunderbird.
Quando invii un'email a qualcuno di cui possiedi la chiave PGP, il tuo software OpenPGP dovrebbe offrire la possibilità di crittografare e / o firmare l'e-mail.Allo stesso modo, quando ricevi una e-mail che è stata crittografata usando la tua chiave pubblica, il software ti chiederà di decodificare il messaggio.
Senza dubbio, la crittografia OpenPGP è un potente strumento per consumatori e professionisti. Sebbene la curva di apprendimento possa essere un po 'più ripida di quanto molte persone siano abituate, i benefici ne valgono la pena.
Sia che si tratti di un giornalista che lavora in un ambiente pericoloso, di un uomo d'affari che discute di politiche interne sensibili, di sviluppatori che condividono codice o familiari che si scambino informazioni private, OpenPGP offre ai suoi utenti la tranquillità che viene fornita con la crittografia quasi militare.