Pretty Good Privacy (PGP) è un programma di crittografia e decrittografia dei dati che garantisce la privacy e l'autenticazione crittografica. Questa guida esplora i principi della crittografia PGP, le sue applicazioni nella protezione di e-mail e file e come migliora la riservatezza dei dati.
Scopri il processo di gestione delle chiavi e le migliori pratiche per implementare PGP nelle tue comunicazioni. Comprendere la crittografia PGP è essenziale per gli individui e le organizzazioni che desiderano proteggere le informazioni sensibili da accessi non autorizzati.
Come funziona la crittografia PGP?
La crittografia PGP utilizza la crittografia a chiave pubblica, la crittografia a chiave simmetrica e l'hashing per oscurare e verificare i dati tra mittente e destinatario. Per prima cosa, definiamo alcuni termini che possono poi essere messi insieme per formare un quadro di ciò che sta accadendo:
- Crittografia a chiave pubblica – Il destinatario di un messaggio genera una chiave privata che viene tenuta segreta e una chiave pubblica che può essere condivisa con il mondo. Quando qualcuno crittografa un messaggio con questa chiave pubblica, solo la chiave privata del destinatario può decrittografarlo. Per essere chiari: una chiave pubblica può solo crittografare un messaggio, ma non può decrittografare lo stesso messaggio. Questo concetto matematico unidirezionale è noto come funzione trapdoor.
- Crittografia a chiave simmetrica – Sia il mittente che il destinatario di un messaggio dispongono della stessa chiave (cioè simmetrica) utilizzata per crittografare e decrittografare un messaggio. Si tratta di una metodologia più semplice e molto più veloce rispetto alla sua controparte a chiave pubblica. Tuttavia, le chiavi pubbliche devono essere generate e poi scambiate per poter essere utilizzate. Farlo su Internet pubblico è inaccettabile, come se una spia pubblicasse la propria chiave di crittografia su una bacheca pubblica (fisica) invece di consegnarla di nascosto.
- Hashing o funzione hash – PGP crea un hash, o digest del messaggio, da un'e-mail, quindi crea una firma digitale utilizzando la chiave privata del mittente. Questa può quindi essere utilizzata per verificare che il messaggio provenga dal mittente corretto.
Come funziona la crittografia PGP?
- Il destinatario genera innanzitutto una coppia di chiavi pubblica-privata. La chiave privata viene mantenuta riservata, mentre quella pubblica viene condivisa con il mittente, con l'implicito presupposto che chiunque altro possa intercettarla.
- Il mittente genera una chiave di crittografia simmetrica casuale e la utilizza per crittografare i dati da inviare.
- La chiave di crittografia simmetrica viene crittografata utilizzando la chiave pubblica del destinatario e inviata (crittografata) al destinatario. La chiave pubblica non viene mai condivisa su Internet.
- I dati, crittografati utilizzando la chiave simmetrica, vengono inviati al destinatario.
- Il destinatario riceve sia i dati crittografati (simmetricamente) sia la chiave simmetrica crittografata (asimmetricamente) pubblica-privata. In questo modo, sia i dati che la chiave simmetrica vengono condivisi senza che alcun dato utilizzabile sia visibile su Internet.
- Il destinatario quindi decrittografa la chiave di crittografia utilizzando la sua chiave privata e i dati utilizzando la chiave di crittografia simmetrica generata dal mittente.
Sebbene il processo possa sembrare complicato, è necessario per consentire la trasmissione di dati privati in spazi pubblici senza uno scambio iniziale di codici offline. In particolare, la chiave simmetrica, nota anche come chiave di sessione, viene utilizzata una sola volta per la crittografia/decrittografia e poi scartata per evitare futuri problemi di sicurezza.
Esempi di crittografia PGP in azione: gli strumenti di crittografia PGP odierni
Sebbene il processo di crittografia PGP possa sembrare scoraggiante, la buona notizia è che esistono numerosi servizi e programmi che rendono le cose molto più semplici. Alcuni esempi degni di nota includono:
- Client di posta multipli – Windows, MacOS, Android, iOS, Linux
- Plugin per browser webmail – Gmail, GMX, Outlook.com, mailbox.org
- Provider di webmail (senza necessità di plugin) – ProtonMail, Mailfence
Utilizzando ProtonMail, ad esempio, le e-mail tra due utenti di quel servizio vengono automaticamente crittografate end-to-end. È anche possibile inviare e-mail protette da password a coloro che utilizzano altri servizi di posta elettronica.
Se le offerte attuali non soddisfano le vostre esigenze, considerate che, trattandosi di uno standard aperto, è teoricamente possibile sviluppare il proprio servizio di posta elettronica o il proprio "sistema" di crittografia utilizzando OpenPGP. Allo stesso tempo, ciò richiederebbe molto tempo e impegno, quindi speriamo che uno dei servizi esistenti oggi possa fare al caso vostro.
A 33 anni, la crittografia PGP può essere hackerata?
Sebbene la crittografia PGP sia ben consolidata e antica anche in termini di Internet, è stata costantemente rivista e aggiornata nel corso della sua storia. Si potrebbe sostenere che la sua eredità open source e il suo perfezionamento la rendono più affidabile di qualsiasi altro metodo di crittografia oggi disponibile al pubblico.
Allo stesso tempo, strumenti di hacking generici, come keylogger e malware, possono compromettere un sistema informatico nel punto di crittografia. Sebbene la messaggistica crittografata possa essere sicura, è necessario considerare anche quanto sia sicuro un sistema informatico dagli attacchi esterni, così come lo sono i vostri partner di comunicazione.
Alcuni hanno anche teorizzato che lo sviluppo dell'informatica quantistica pratica renderà obsoleta la crittografia tradizionale. Sebbene esistano modi teorici per combattere questo problema (teorico), la crittografia sicura oggi potrebbe non esserlo domani, sia attraverso il quantum computing, vulnerabilità sconosciute o semplicemente rubando o costringendo qualcuno a rilasciare una chiave di crittografia privata.
La crittografia PGP è quindi una misura di sicurezza ragionevole oggi. Tuttavia, se i dati trasmessi saranno sicuri per sempre è una questione aperta.
PGP, standard OpenPGP per una maggiore sicurezza su Internet
Per il trasporto di messaggi dal punto A al punto B, PGP e lo standard OpenPGP offrono un livello ragionevole di protezione che impedisce la lettura dei messaggi se intercettati (a meno che non si ricorra alla decrittografia con il calcolo quantistico). Allo stesso tempo, la sicurezza dei messaggi durante il trasporto è solo una parte della storia.
Se un dispositivo viene compromesso a una delle due estremità della comunicazione attraverso una qualsiasi delle vie di comunicazione, anche i messaggi potrebbero essere compromessi. Si consideri una situazione in cui sul dispositivo è installato un keylogger o altro malware. Anche se OpenPGP fosse in grado di crittografare le comunicazioni tra la fonte e la destinazione, se il messaggio è già stato compromesso, la sicurezza offerta sarebbe al massimo incompleta. Per proteggere la rete e i dispositivi, SentinelOne fornisce una piattaforma che protegge l'organizzazione dalle minacce, utilizzando la piattaforma di sicurezza informatica basata sull'intelligenza artificiale più avanzata al mondo.
Liberate la cybersicurezza alimentata dall'intelligenza artificiale
Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.
Richiedi una demoConclusione
La crittografia PGP è in uso da oltre trent'anni, sia come programma software che come insieme standard di pratiche di crittografia. Utilizza la crittografia a chiave pubblica e la crittografia a chiave simmetrica per trasferire messaggi sicuri su Internet, insieme all'hashing per verificare che un messaggio sia autentico e inalterato. La crittografia PGP si è evoluta con il cambiamento della tecnologia per far fronte alle nuove minacce, consentendole di essere ancora considerata sicura oggi.
"FAQs
Mentre PGP era originariamente un programma di crittografia (e ora è un insieme di principi alla base di un sistema di crittografia), RSA, l'algoritmo Rivest-Shamir-Adleman, è una funzione matematica utilizzata per la crittografia a chiave pubblica-privata e la verifica della firma. RSA è il nucleo fondamentale di molti sistemi di crittografia, tra cui la versione originale di PGP e SSH.
PGP, sviluppato nel 1991 da Phil Zimmerman, è un programma di crittografia originariamente utilizzato per crittografare i messaggi inviati sui sistemi di bacheche elettroniche (BBS). Da allora è stato utilizzato per crittografare e-mail, testi e file ed è una filiale di Broadcom.
OpenPGP, invece, è uno standard di crittografia aperto, definito dall'IETF (Internet Engineering Task Force) RFC 4880 (Request for Comment). PGP, così come altri pacchetti software di crittografia simili, segue lo standard di crittografia OpenPGP. Tuttavia, non tutti i programmi basati su OpenPGP sono compatibili.
Sì, la crittografia PGP è ancora molto utilizzata, essendosi evoluta nel corso di tre decenni per rispondere alle nuove sfide.
Oggi è disponibile un'ampia gamma di pacchetti software e servizi PGP, compresi quelli elencati nella sezione: Esempi di crittografia PGP in azione: gli strumenti di crittografia PGP odierni. In definitiva, lo strumento migliore sarà quello che si adatta a una situazione particolare, bilanciando sicurezza e usabilità.
Per le comunicazioni via e-mail che devono assolutamente rimanere private, un programma/standard di crittografia come PGP è uno strumento molto valido. Allo stesso tempo, l'invio di messaggi crittografati può causare qualche inconveniente (si spera minore) sia al mittente che al destinatario. Alla fine dei conti, occorre valutare sia la praticità che la necessità di privacy.