{"id":1956,"date":"2013-10-29T15:00:28","date_gmt":"2013-10-29T15:00:28","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=1956"},"modified":"2020-02-26T17:20:07","modified_gmt":"2020-02-26T15:20:07","slug":"pgp-privacy-sicurezza-e-autenticazione","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/pgp-privacy-sicurezza-e-autenticazione\/1956\/","title":{"rendered":"PGP: Privacy, sicurezza e autenticazione"},"content":{"rendered":"

Se avete seguito le ultime notizie, vi saranno certamente giunte all\u2019orecchio un sacco di storie di persone che hanno avuto problemi di privacy, furto d\u2019informazioni<\/a> o spionaggio<\/a>. Dato che la maggior parte delle comunicazioni avviene online o per lo meno in formato elettronico, dovreste gi\u00e0 essere consapevoli\u00a0 di quanto sia importante proteggere le informazioni di valore. E non vale solo per le grandi aziende, ma per tutte quelle persone che usano regolarmente un computer. Sicuramente avrete delle informazioni che volete mantenere private e protette; con PGP, potete aggiungere un filtro di sicurezza forte e facile da usare per tutte le comunicazioni online.<\/p>\n

\"PGP:<\/a><\/p>\n

Pretty Good Privacy (PGP), creato da Phil Zimmermann, \u00e8 un programma che pu\u00f2 essere usato per proteggere la privacy, per aggiungere un filtro di sicurezza alle comunicazioni e per dare autenticit\u00e0 ai messaggi in formato elettronico. Potete criptare ogni informazione privata e personale (sia che si tratti di e-mail, file o un intero hard-disk) rendendo difficile intercettare o rubare i contenuti originali delle comunicazioni a persone non autorizzate. Inoltre, offre una funzionalit\u00e0 chiamata \u201cfirma digitale\u201d, che vi permette d\u2019inviare messaggi verificabili dal ricevente, dandogli la sicurezza che il messaggio non \u00e8 stato modificato durante il processo d\u2019invio e che siete gli unici mittenti. Immaginiamo un mondo in cui ognuno firma i propri messaggi; in questo modo sarebbe molto difficile portare a termine un attacco di phishing. Anche le altre forme di frode o le mail contraffatte che riceviamo tutti i giorni scomparirebbero, perch\u00e9 ai criminali non converebbe pi\u00f9 investire in un attacco che d\u00e0 pochi frutti.<\/p>\n

\u201cPGP consente a tutti di gestire la privacy delle proprie informazioni, e si tratta di un bisogno sempre crescente\u201d. \u2013 Phil Zimmermann<\/div>\n

Sono passati pi\u00f9 di 20 anni da quando \u00e8 stato creato PGP e sono stati fatti molti passi in avanti da quei giorni. All\u2019inizio, Zimmermann fu indagato dal governo degli Stati Uniti per aver \u201cesportato \u2018munizioni\u2019 senza licenza\u201d, dato che i prodotti di crittografia che superavano i 40 bit (PGP era un prodotto a 128 bit) erano considerati \u201cmunizioni\u201d.\u00a0 Sebbene il caso venne chiuso e Zimmerman prosciolto dai capi di accusa, questo \u201cincidente\u201d mostr\u00f2\u00a0 quanto potesse essere potente uno strumento di crittografia, dato che alcuni importanti investitori avevano molto interesse nel mantenerlo sotto la propria supervisione.<\/p>\n

Alla fine, la versione completa di PGP, con un forte sistema di crittografia, \u00e8 stata resa disponibile a tutto il mondo. Free Software Foundation ha sviluppato un suo proprio programma, un\u2019implementazione dello standard OpenPGP, chiamato GNU Privacy Guard<\/a> (abbreviato GnuPG o GPG). GnuPG \u00e8 gratuito, offre librerie, permette di cifrare e firmare digitalmente i propri dati e le proprie comunicazioni. S\u2019integra facilmente con molte GUI (Graphical User Interfaces) ed \u00e8 disponibile per un ampio ventaglio di sistemi operativi. PGP pu\u00f2 essere usato da tutti e con facilit\u00e0.<\/p>\n

Dato che il codice sorgente di PGP \u00e8 disponibile per il download, pu\u00f2 essere esaminato per verificare la presenza di bug e backdoor o anche solo essere studiato. Nel caso non siate proprio ferrati in materia, c\u2019\u00e8 comunque una community di esperti (che non ha alcuna relazione con governi o aziende) che esamina continuamente il codice sorgente; in questo modo, PGP non subisce interventi ad opera di terze parti. Si tratta di un aspetto molto importante, soprattutto dopo alcune ultime rivelazioni secondo le quali alcune importanti agenzie per la sicurezza hanno provato a eludere la crittografia<\/a> per i protocolli moderni di comunicazione.<\/p>\n

A questo punto, molto probabilmente vorrete provare PGP\/GPG e vedere se fa al caso vostro. Nella crittografia asimmetrica si ha bisogno di due chiavi separate, una privata (per la decifrazione o la firma digitale) e una pubblica (per criptare il testo in chiaro del messaggio o per verificare la firma digitale). Tranquilli, non \u00e8 necessario capire tutto subito, man mano che prendete dimestichezza con il programma diverrete sempre pi\u00f9 esperti. In ogni caso, in questo articolo vi daremo qualche nozione di base sulla crittografia delle chiavi pubbliche cos\u00ec saprete gi\u00e0 qualcosa quando comincerete a usare tutti gli strumenti disponibili per il vostro sistema operativo.<\/p>\n

Non ci sono scuse per non provare PGP\/GPG: tutti gli strumenti sono disponibili per i sistemi operativi principali.<\/div>\n

Per chiave s\u2019intende una stringa di testo alfanumerico; essa pu\u00f2 essere esportata a un file o caricata su un server che custodisce altre chiavi. In questo modo potete condividerla con tutti (si tratta della chiave pubblica). Questa particolare chiave viene generata da PGP mediante una vasta gamma di algoritmi per la crittografia. Bisogna ricordare che entrambe le chiavi (pubblica e privata) sono matematicamente collegate all\u2019algoritmo; per questo motivo \u00e8 possibile condividerne una parte senza compromettere la sicurezza del sistema.<\/p>\n

Non ci sono scuse per non provare PGP\/GPG: tutti gli strumenti sono disponibili per i sistemi operativi principali. Come gi\u00e0 abbiamo accennato, ci sono strumeni specifici per ogni sistema operativo. Ad esempio, per Mac OS X esiste GP Suite<\/a>, che comprende un plugin per Apple Mail, una keychain per gestire tutte le chiavi, e funzionalit\u00e0 per criptare\/decifrare\/firmare e verificare testi, file e altro. Inoltre, c\u2019\u00e8 anche MacGPG, la versione equivalente di GnuPG. Per gli utenti Windows c\u2019\u00e8 GPG4Win<\/a>, che comprende una porta per GnuPG, una keychain, plugin per i principali client di posta elettronica e tutto quanto serve per cominciare.<\/p>\n

Da non sottovalutare un aspetto: la sicurezza della chiave non solo dipende dalla passphrase che si usa per crearla, ma anche da come si custodisce la chiave. Se qualcuno all\u2019infuori di voi riuscisse ad avere accesso al vostro file con le chiavi e alla passphrase (ad esempio attraverso un keylogger<\/a>), l\u2019intero sistema di sicurezza verrebbe seriamente compromesso. \u00c8 di fondamentale importanza, quindi, non consegnare ad altri la propria chiave privata; inoltre vi consigliamo di scegliere una passphrase che solo voi possiate ricordare ma che nel frattempo non sia facilmente decifrabile.<\/p>\n

Quando si crea una nuova coppia di chiavi con PGP, bisogna scegliere una lunghezza adeguata della chiave e una passphrase che protegga la chiave privata. Maggiore \u00e8 la lunghezza della chiave, maggiore sar\u00e0 il tempo necessario per il processo di generazione della stessa. Tuttavia, dal momento che si tratta di un\u2019operazione da fare una volta sola, vi consigliamo di scegliere una lunghezza di almento 4096 bit. Per una sicurezza a pi\u00f9 lungo termine, l\u2019ideale sarebbe una lunghezza di 8192 bit, anche se ci vorr\u00e0 un pochino e quindi vi toccher\u00e0 essere pazienti. In ogni caso,\u00a0il processo di generazione delle chiavi \u00e8 diverso per PGP e GPG<\/a>.<\/p>\n

PGP usa due chiavi: una privata e una pubblica. La prima deve essere tenuta strettamente segreta, la seconda pu\u00f2 essere data a varie persone.<\/div>\n

Perch\u00e9 \u00e8 cos\u00ec importante scegliere una lunghezza adeguata della chiave e una passphrase forte? Mettiamo il caso che qualcuno riesca ad accedere alla vostra keychain e a ottenere una copia del file contenente la chiave privata. Se questa persona non conosce la passphrase, un modo per craccare la chiave<\/a> sarebbe attaccare direttamente il sistema di crittografia; con la lunghezza della chiave consigliata (4096 o 8192 bit), ci vorrebbe troppo tempo e comunque, con le tecnologie ora a disposizione, probabilmente il malintenzionato neanche ci potrebbe riuscire. Eventualmente si pu\u00f2 pensare a un attacco a dizionario o a un attacco di forza bruta, per trovare una corrispondenza con la passphrase scelta per proteggere la chiave. \u00a0La seconda opzione \u00e8 sicuramente la pi\u00f9 plausibile e la pi\u00f9 diretta. In definitiva, creando una chiave privata lunga, viene scoraggiato qualsiasi tentativo di attacco.<\/p>\n

Una volta ottenuta la vostra coppia di chiavi PGP, potete procedere in questo modo: date a tutti la chiave pubblica, scrivetela ad esempio in calce alle vostre email dove si trova la firma, oppure comunicatela agli amici che vi scrivono pi\u00f9 spesso. Anche loro devono utilizzare un sistema simile PGP\/GPG per criptare i loro messaggi inserendo la vostra chiave pubblica. Nessuna persona esterna potrebbe decifrare il messaggio, \u00e8 impossibile farlo disponendo solo della chiave pubblica. Solo voi, con la vostra chiave privata, potrete decifrare il contenuto. Per rispondere al messaggio in forma criptata, dovrete utilizzare la chiave pubblica del vostro amico. Il meccanismo della firma digitale \u00e8 esattamente l\u2019opposto: quando inviate il messaggio, viene \u201cfirmare\u201d con la vostra chiave privata e chiunque potr\u00e0 verificare l\u2019autenticit\u00e0 del messaggio mediante la vostra chiave pubblica. All\u2019inizio pu\u00f2 sembrare un po\u2019 complicato; tuttavia, configurando adeguatamente il client di posta elettronica, alla fine \u00e8 una questione di un paio di click:<\/p>\n

\"Client<\/a><\/p>\n

Riassumendo, abbiamo visto le difficolt\u00e0 iniziali che ha dovuto affrontare PGP; in seguito, abbiamo fatto un breve excursus delle ragioni che hanno portato alla creazione di questo sistema e infine vi abbiamo dato un paio di consigli. Speriamo che questo articolo vi spinga a provare PGP e che poi decidiate di adottarlo per criptare o firmare file e dati. Tutti dobbiamo occuparci di salvaguardare la nostra privacy nel migliore dei modi, soprattutto oggi che il mondo virtuale ha assunto grande importanza nelle nostre vite. Alcuni strumenti come PGP ci rendono la vita pi\u00f9 facile, e la loro fondamentale importanza si apprezza nel tempo.<\/p>\n

I governi e le agenzie di sicurezza basano la loro stessa esistenza sulla privacy, cos\u00ec come anche i cybercriminali. Cosa pu\u00f2 fare un utente comune? Un tempo, prima di PGP, solo con ingenti somme di denaro si potevano ottenere sistemi di crittografia sofisticati del livello militare. Prima l\u2019utente comune non aveva un sistema per salvaguardare le proprie comunicazioni o informazioni, n\u00e9 c\u2019era interesse per l\u2019argomento. Questa mancanza \u00e8 stata colmata da PGP e per fortuna, anche dopo vent\u2019anni, questo programma si rivela il sistema migliore per proteggere la nostra privacy e la nostra libert\u00e0.<\/p>\n","protected":false},"excerpt":{"rendered":"

Se avete seguito le ultime notizie, vi saranno certamente giunte all\u2019orecchio un sacco di storie di persone che hanno avuto problemi di privacy, furto d\u2019informazioni o spionaggio. Dato che la maggior parte delle comunicazioni avvengono online o per lo meno in formato elettronico, dovreste gi\u00e0 essere consapevoli di quanto sia importante proteggere le informazioni di valore. E no vale solo per le grandi aziende, ma per tutte quelle persone che usano regolarmente un computer. Sicuramente avrete delle informazioni che volete mantenere private e protette; con PGP, potete aggiungere un filtro di sicurezza forte e facile da usare per tutte le comunicazioni online.<\/p>\n","protected":false},"author":313,"featured_media":1959,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2641],"tags":[807,111,806],"class_list":{"0":"post-1956","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-pgp","10":"tag-privacy","11":"tag-sicurezza-dati"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pgp-privacy-sicurezza-e-autenticazione\/1956\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/pgp\/","name":"PGP"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1956","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/313"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=1956"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1956\/revisions"}],"predecessor-version":[{"id":20286,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1956\/revisions\/20286"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/1959"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=1956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=1956"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=1956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}