Guida pratica all'uso di GnuPG nella posta elettronica

Da Linux User Group Scandiano.

Introduzione

GnuPG sta per GNU Privacy Guard ed è lo strumento GNU per comunicare e immagazzinare dati in modo sicuro. Può essere usato per cifrare dati e per creare firme digitali. Include funzioni avanzate per la gestione delle chiavi e rispetta lo standard internet OpenPGP, descritto nella RFC 2440[1].

GnuPG può essere implementato in modo efficace nel proprio client di posta elettronica e permette di firmare e/o crittografare i propri messaggi e inviare messaggi.

Questa pagina è una guida pratica che permette di rendere funzionante il proprio client email con GnuPG. Esistono diverse estensioni (es. Enigmail per Thunderbird/Icedove) che permettono di gestire questa procedura in modo estremamente semplice dalla generazione delle proprie chiavi personali alla gestione delle chiavi pubbliche. In questa pagina potrai trovare entrambe le procedure e scegliere quella che più si adatta alle tue capacità o esigenze.

Prerequisito fondamentale per questa guida è avere installato il pacchetto gnupg e una estensione per gestire firma e crittografia sul proprio client come ad esempio il pacchetto enigmail che funziona su Thunderbird/Icedove[2].

Altro prerequisito fondamentale è avere un client di posta configurato per gestire la propria casella email.

Fare tutto con Enigmail

Enigmail è un estensione OpenPGP per Thunderbird/Icedove in grado di firmare, autenticare, cifrare e decifrare email. Enigmail consente agli utenti di accedere alle funzionalità fornite dal popolare software GnuPG all'interno di Thunderbird/Icedove. Per poter utilizzare Enigmail devi avere Thunderbird/Icedove configurato per gestire la tua posta elettronica, puoi trovare numerose guide in rete per i principali servizi di posta.

Se non lo hai ancora fatto installa il pacchetto enigmail:

aptitude installa enigmail

Generare le proprie chiavi

Da questo momento in poi dovresti avere installati Thunderbird/Icedove, Enigmail e GnuPG[3].

  • Avvia Thunderbird.
  • Avvia il gestore delle chiavi di Enigmail. Click sul menu "OpenPGP" e scegli "Gestore delle chiavi".
  • Genera le chiavi. Vai nel menu "Genera" e scegli "Nuova coppia di chiavi"
  • Comparirà una nuova finestra. Fai un bel respiro: non dovrai capire tutto quello che stai facendo. Infatti ci sono solo una paio di cose di cui ti devi preoccupare.

Genera chiavi con enigmail.png

  • Indica ad Enigmail quale account di posta utilizzare scegliendo dal menu in alto nella finestra. GnuPG assocerà la nuova coppia di chiavi a questo indirizzo email.
  • Scegli una password. Le chiavi private sono molto importanti e GnuPG non ti permetterà di utilizzarle se non conosci la passwod. Scegli una password che sia facile da ricordare per te ma che sia molto complessa per altri e difficile da scoprire. Inserisci la password due volte per conferma. Attenzione: se perdi la password delle tue chiavi non c'è alcuna possibilità di recuperarla e le tue chiavi saranno inutilizzabili.
  • Scegli la durata del tuo certificato.
  • Clicca su genera il tuo certificato e aspetta pazientemente. Potrebbe venirti chiesto di muovere il mouse per aggiungere una maggiore casualità alla generazione delle tue chiavi, ma per il resto penserà a tutto Enigmail e non dovrai preoccuparti di altro.

Genera il certificato di revoca

E' un'ottima idea generare il certificato di revoca. Questo ti servirà per annullare il tuo certificato nel caso in cui le tue chiavi dovessero andare perse o distrutte. Custodisci questo certificato in un luogo sicuro: potrebbe tornarti utile in futuro.

Pubblica la tua chiave pubblica

Custodisci segretamente la tua chiave privata, al contrario, è una buona idea dare la massima diffusione possibile alla tua chiave pubblica. Questa servirà alle persone con le quali ti scambierai file o messaggi per verificare le tue firme e per inviarti materiale crittografato. Il modo più semplice per condividere al tua chiave è inviarla ad un keyserver pubblico: un database accessibile via internet di chiavi pubbliche.

Dal gestore delle chiavi scegli nel menu "Server" scegli invia chiavi pubbliche.

A questo punto sei pronto per iniziare ad usare le tue chiavi.

Firmare e cifrare i propri messaggi

Ora che sei in possesso delle tue chiavi il più è fatto e puoi iniziare a firmare i tuoi messaggi e, se lo desideri, puoi cifrare i messaggi con le chiavi pubbliche dei tuoi amici.

Quando scrivi una nuova email nel menu "OpenPGP" puoi scegliere se firmare o cifrare il messaggio. Può essere una buona idea firmare sempre i messaggi delle tue email. Puoi scegliere se firmare il messaggio in linea con il testo o se inserire la firma come allegato. Il secondo metodo è certamente preferibile anche se questo può creare dei problemi ai tuoi amici che hanno deciso di usare Outlook.

Quando cifri un messaggio ricorda che questo viene cifrato con la chiave pubblica del destinatario e potrà essere decifrato solo con la chiave privata del destinatario.

Nella finestra di composizione di un nuovo messaggio troverai anche in basso a destra due comodi pulsati per firmare o cifrare i messaggi. Msgcompose.png


Quando ricevi un messaggio firmato

Quando ricevi un messaggio firmato vedrai una barra colorata che ti informa che è stata trovata una firma nel messaggio. A sinistra hai un menu a tendina attraverso il quale puoi gestire la firma del mittente.

Per verificare la firma devi scaricare la chiave pubblica del mittente, se questa è caricata su un keyserver. Successivamente puoi impostare un certo grado di fiducia su questa chiave. Sei tu che decidi quanto puoi fidarti della chiave pubblica del mittente. Ad esempio, se ti trovi faccia a faccia con il mittente e ti garantisce che quella che stai usando è la sua chiave pubblica, potresti decidere di dargli il massimo livello di affidabilità. In questo modo quando questa persona ti manderà un messaggio firmato potrai avere la certezza che è stato inviato proprio da lui[4].

Firma delle chiavi pubbliche e rete di fiducia

Non c'è più nulla che è necessario sapere per poter usare Enigmail e GnuPG in modo efficace, ma potrebbe esserti utile capire il concetto delle reti di fiducia e della firma delle chiavi pubbliche. Nel paragrafo precedente hai scoperto che per poter validare una firma devi impostare un tuo livello personale di fiducia alla chiave pubblica del mittente. Per rendere più semplice questo compito GnuPG prevede che sia possibile firmare le chiavi pubbliche degli utenti. Ad esempio: se ricevi una email firmata da Mario e vedi che la sua chiave pubblica è firmata dal tuo amico Gino del quale hai già verifica la chiave e l'identità potresti decidere per questo di dare la massima fiducia alla chiave di Mario. Su questo si basa la rete paritetica di fiducia che, a differenza degli altri sistemi di certificazione, non ha bisogno di una autorità di certificazione superiore, ma tutto si svolge nell'ambito della proprio cerchia di fiducia.

Gestire le chiavi dal terminale

Crystal kedit.png
Questa pagina ha bisogno di aiuto.

Questa sezione è soltanto un abbozzo e necessita di essere sviluppata. Se vuoi contribuire allo sviluppo di questa sezione clicca sul pulsante modifica e inserisci i tuoi contenuti.

Anche se tutte le operazioni di produzione e gestione delle chiavi possono essere fatte usando le diverse estensioni disponibili, potresti decidere di fare tutte queste cose da terminale. In questo caso ti servirà un po' più di pazienza, ma potrai comprendere meglio il processo che porta alla generazione delle chiavi.

Un ottima guida, su GnuPG è pubblicata in italiano sul sito di Gentoo, se hai necessità di una cosa più esaustiva, il posto migliore dove reperire informazioni è la documentazione ufficiale di GnuPG.

Generare una coppia di chiavi

Per generare una coppia di chiavi personali è possibile utilizzare il comando seguente

gpg --gen-key

GnuPG ti farà alcune domande relative alle caratteristiche che dovranno avere le tue chiavi. Se vuoi avere maggiori informazioni sulle domande che ti vengono poste consulta la documentazione ufficiale di GnuPG.

Riferimenti

  1. Dalle FAQ di GnuPG
  2. Dal Wiki di Ubuntu relativo a Enigmail
  3. La parte seguente è in parte derivata dalla traduzione della Documentazione ufficiale di Enigmail
  4. Puoi trovare ulteriori informazioni su come verificare i messaggi nella documentazione di Enigmail (inglese)