ManualePGP

GUIDA INTRODUTTIVA ALL'USO DI PGP

di Vincos

Il manuale d'uso che vi propongo è basato sulla versione 6.0.2i di Pretty Good Privacy scaricabile premendo , ma consente di capire i meccanismi di funzionamento di fondo del programma e dunque di utilizzare anche le precedenti o le successive versioni dello stesso. Tale manuale non ha pretesa di esaustività, ma di semplicità e chiarezza, essendo rivolto in particolare ai nuovi utenti o a coloro che ignorano le funzioni dello storico PGP.

A cosa serve e come funziona PGP

Il programma creato da Phil Zimmermann serve fondamentalmente a criptare in maniera sicura i nostri messaggi (magari per spedirli via e-mail ad un destinatario) in modo che solo il destinatario possa riuscire a decifrarli. Ciò è possibile grazie all'utilizzo della "codifica a tecnica mista" ossia alla tecnica della "doppia chiave". In pratica in passato (ma ancora oggi alcuni software di codifica e decodifica funzionano allo stesso modo) chi criptava il messaggio doveva assicurarsi che il destinatario conoscesse la chiave utilizzata per crittarlo (che era la stessa da utilizzare per il decrittaggio, es. il codice dell'imperatore romano Cesare). Dunque il mittente, prima di spedire il messaggio o contestualmente, doveva comunicare la chiave al destinatario. Di conseguenza il nemico aveva molte più possibilità di intercettare la chiave (unica) e decrittare, così, tutti i messaggi nonchè produrne di falsi in modo da ingannare l'avversario.

La metodologia della tecnica mista usata da PGP evita la fase più critica ossia la trasmissione della chiave di cifratura. Come? Ogni utente ha una coppia di chiavi (generata in fase di setup del programma):

una chiave pubblica che egli distribuirà estensivamente presso i suoi corrispondenti e presso i server abilitati alla raccolta di questo tipo di chiavi (Keyserver). Viene usata per la codifica e per riconoscere le firme apposte con la chiave privata corrispondente. Es. Tizio (mittente) e Caio (destinatario) sono corrispondenti e vogliono utilizzare il PGP per proteggere i propri messaggi da occhi indiscreti. Tizio scriverà il proprio messaggio e lo cripterà utilizzando la chiave pubblica di Caio...continua
una chiave privata che non va distribuita, anzi va custodita gelosamente in un luogo sicuro (possibilmente non nell' Hard Disk, magari salvata su floppy, cd o zip e conservata in cassaforte). Viene usata per la decodifica e per firmare i messaggi ...continua Es. Caio riceverà il messaggio ma per leggerlo dovrà decrittarlo - e potrà decrittarlo solo - con la sua chiave privata.

Volendo essere più precisi quando si va a codificare un messaggio, il software crea automaticamente un'altra chiave, non gestibile dall'utente (dunque non ve ne preoccupate !), detta "chiave di sessione" perchè cambia ad ogni codifica, anche se si prova a codificare lo stesso messaggio.

Procedura di installazione

La procedura di installazione non presenta grossi problemi, almeno nella prima fase, in quanto è simile a quella di ogni altro software ovvero sottoforma di wizard che guidano l'utente lungo tutto il processo di setup. Vi verranno richiesti i vostri dati, dove si desidera istallare il software, se desiderate utilizzare un keyring (portachiavi) già esistente o se volete, immediatamente o successivamente, generare le vostre due chiavi: pubblica e privata. Al fine di generare le chiavi, in successione ci viene richiesto di inserire:

un nome e un indirizzo di posta elettronica da associare al paio di chiavi in modo che il nostro corrispondente capisca a chi appartiene;
l'ampiezza, espressa in bit, del paio di chiavi da generare. All'aumentare dell'ampiezza aumenta la sicurezza, ma anche la lentezza dei processi. Per la maggior parte delle applicazioni si può considerare di utilizzare la scelta di default. Ma cerchiamo di capire meglio quali sono le possibilità di scelta. Se volessimo comunicare con persone che hanno solo le vecchie versioni di PGP dovremmo scegliere obbligatoriamente una delle prime due opzioni corrispondenti alle chiavi RSA (768 e 1024 bits). Se invece consideriamo più importante il livello di sicurezza sceglieremo una chiave Diffie Hellman/DSS (introdotta solo dalla versione 5 di PGP) dell'ampiezza desiderata o una chiave customizzata sulle nostre esigenze (da 512 a 4096 bits);
la data in cui le chiavi devono cessare di funzionare (non potremo più usarle per criptare o firmare i messaggi, ma solo per decriptare e verificare) oppure mai;
la "passphrase" ovverosia la frase che servirà a proteggere la nostra chiave privata e di riconfermare ridigitandola. Questo step è di vitale importanza sia perchè una frase appropriata (lunga almento otto caratteri, non facilmente collegabile ai nostri interessi, composta da maiuscole e minuscole, numeri e lettere, spazi e segni di interpunzione) è sinonimo di sicurezza (infatti se la nostra chiave privata dovesse cadere in mani sbagliate, il ladro dovrebbe scoprire la nostra "passphrase" per poterla utilizzare !), sia perchè bisogna far attenzione a ricordare la "passphrase" digitata in quanto ci sarà richiesta ogni volta che firmeremo o decodificheremo un messaggio (ma mi raccomando: non fate l'errore di scriverla su un foglietto volante ! Se la "passphrase" è molto lunga il mio consiglio è quella di scriverla in un file di testo, criptarlo ad es. con il software Kremlin (che per far ciò vi chiederà una ulteriore password - questa volta sceglietela meno lunga e più ricordabile - di salvare il file su un supporto e conservarlo in un luogo sicuro);

A questo punto vi verrà richiesto di muovere il mouse in modo da "aiutare" il programma a collezionare una serie di dati casuali, che consentiranno la generazione delle chiavi. Le chiavi verranno salvate nella cartella PGP Keyrings sotto i nomi di secring.skr (conserva tutte le chiavi private) e pubring.pkr (conserva tutte le chiavi pubbliche). Infine, se vorrete, potrete, immediatamente o successivamente (dalla finestra PGPKeys/Server/Send to) collegarvi ad internet per inviare la vostra chiave pubblica ai keyserver di default. Altrimenti si aprirà la finestra relativa al vostro attuale portachiavi ("PGPKeys" che visualizza tutte le chiavi, sia pubbliche che private)

Crittare un file

Siamo pronti per iniziare a prendere confidenza con il programma. Proviamo a editare un file di testo e a salvarlo. Ora siamo pronti per criptarlo. Come? Basta fare click sul file col tasto destro e vedremo apparire il menu contestuale a cui si è aggiunta la voce PGP. Scegliamo la voce encrypt o encrypt and sign se vogliamo anche firmare il documento. Apparirà la finestra del "PGP Key Section Dialog" che vi permetterà di selezionare la chiave o le chiavi da utilizzare per criptare e decrittare successivamente il file.

La domanda che vi dovete porre a questo punto è: chi voglio che sia abilitato a decrittare il file che sto per crittare? Se volete essere solo voi, basterà prendere la vostra chiave pubblica e trascinarla nel riquadro in basso, dare l'ok e decidere il percorso in cui PGP andrà a salvare il file criptato. Fatto ciò verrà creato un file con estenzione .pgp. Cliccandoci due volte vi verrà chiesta la "passphrase" utile per decrittare il file (Es. se per criptare il file avevate utilizzato la vostra chiave pubblica dovrete scrivere la "passphrase", da voi associata in fase di creazione della chiave, alla stessa). Una volta digitata la "passphrase" corretta, vi verrà chiesto di inserire il percorso e il nome del file di testo che dovrà ospitare il file in chiaro; appena fatto avrete un normalissimo file .txt pronto per essere letto senza problemi.

Spedire una e-mail crittata

Una volta capito come crittare un messaggio gli usi possibili sono molteplici. Ad esempio potrete crearvi una intera cartella contenente documenti riservati da crittare oppure spedire il file crittato come attachment ad una e-mail facendo attenzione a crittarlo con la chiave pubblica del destinatario in modo che solo lui potrà essere in grado di leggerlo. Un altro modo per spedire una e-mail crittata è quello di aprire il nostro client di posta (Eudora, Exchange e Outlook) scrivere un nuovo messaggio e, prima di inviarlo, utilizzare i nuovi pulsanti aggiunti in alto da PGP per crittarlo.

Se vogliamo soltato crittare il messaggio, senza firmarlo, basta premere il primo pulsante "Encrypt message before sending" e poi cliccare su Invia. Se nel campo del destinatario abbiamo inserito l' indirizzo di un soggetto di cui abbiamo già la chiave pubblica, la posta verrà spedita senza problemi; nel caso contrario vedremo apparire una finestra di errore in cui PGP ci chiederà di selezionare un destinatario tra quelli inseriti nel nostro portachiavi e di trascinarlo nella sezione sottostante.

Se invece volessimo anche firmare il messaggi, prima della spedizione dovremmo premere anche il secondo pulsante "Sign message before sending", ci verrà richiesto di inserire la nostra "passphrase" associata alla nostra chiave privata.

Decrittare una e-mail ricevuta

Il testo di una e-mail crittata con PGP si presenta così:

Per decrittare il messaggio basta premere il primo pulsante inserito da PGP sulla barra in alto e digitare la nostra "passphrase" nella finestra corrispondente. Se non ci sono errori nella digitazione il messaggio crittato si trasformerà come per incanto in un messaggio finalmente comprensibile.

PGP Tray

Dopo aver istallato il PGP vedrete comparire una icona nell'area cosiddetta dei messaggi (in basso a destra della barra degli strumenti) contenente una serie di "scorciatoie" alle operazioni più utilizzate di PGP. Da qui potrete dare un occhiata alle impostazioni di PGP (PGP Preferences) lanciare il PGPkeys, il PGP disk o il PGPtools, editare un testo da tenere memorizzato nella clipboard, cancellare, crittare, decrittare, firmare il contenuto della clipboard, aggiungere una chiave sotto forma di testo contenuta nella clipboard (ad esempio potreste selezionare e copiare la mia chiave pubblica che trovate alla fine della guida - facendo attenzione ad includere nella copia anche -----BEGIN PGP PUBLIC KEY BLOCK----- e -----END PGP PUBLIC KEY BLOCK----- - e poi utilizzare Add Key from Clipboard per aggiungerla al vostro portachiavi).

PGP Keys

Contiene tutte le chiavi pubbliche e private facenti parte del vostro portachiavi e consente di gestirle a piacimento, ossia disabilitarle momentaneamente (diventeranno meno visibili e in corsivo), cancellarle copiarle, incollarle, esportarle, importarne e crearne di nuove, e altro ancora in maniera estremamente intuitiva.

Di ogni chiave è possibile vedere (selezionando le relative voci dal menu View):

il campo Validity ossia se si sono fatte le verifiche tali da essere certi che i dati inseriti nell' User ID (nome, cognome, indirizzo e-mail) corrispondono a quelli del titolare della chiave privata. Questo perchè in realtà chiunque conoscendo il vostro nome e indirizzo di posta elettronica potrebbe creare una chiave e spacciarsi per voi! Come risolvere questo problema che è il vero punto debole della crittografia a doppia chiave? Soltanto quando siete sicuri dell'identità del vostro corrispondente vi converrà firmare la sua chiave pubblica con la vostra chiave (utilizzando il comando Keys/Sign). A quel punto si aprirà una finestra in cui vi si chiederà la vostra "passphrase" e se volete inviare all'esterno la chiave pubblica firmata (farlo vuol dire farsi garante verso la comunità di utenti PGP che di quella chiave pubblica voi avete acclarato la validità, dunque c'è in gioco la vostra credibilità!).

Il campo Trust serve a dare un proprio giudizio soggettivo e ad uso prettamente interno - da Untrasted a Trusted- alla credibilità che attribuiamo ad ogni chiave (modificabile da Keys/Key Properties);

Il campo Size indica la dimensione in bits della chiave e il campo Description mostra il tipo di chiave RSA (colorate di grigio) o DH/DSS (color oro);

Il campo Key ID rappresenta gli ultimi 32 bits della chiave pubblica espressi in cifra esadecimale;

Il campo Creation riporta la data di creazione della chiave;

Il campo Expiration riporta la data di scadenza della chiave;

Il campo ADK (Addition Description Key) mostra eventuali informazioni aggiunte alla chiave;

Oltre a queste informazioni per ogni chiave è inoltre possibile osservare le proprietà (Key Properties) che contengono anche:

il campo Cipher indicante l'algoritmo di codifica utilizzato dalla chiave, scelto al momento della creazione della chiave e non più modificabile. Se volessimo creare una nuova chiave e decidere l'algoritmo (CAST, IDEA, TripleDES) dovremmo seguire il percorso PGP Preferences/Advanced/Preferred algorithm.

il campo Fingerprint rappresenta l'impronta digitale univoca e irripetibile della chiave. E' in altre parole impossibile trovare due chiavi aventi fingerprint e size identici. Ecco perchè molti diffondono insieme alla propria chiave pubblica anche il fingerprint e il size corrispondenti.

il campo Change Passphrase che offre la possibilità di cambiare "passphrase", dopo aver inserito correttamente la vecchia.

il campo Trust Model per attribuire un grado di credibilità soggettivo alla chiave.

il campo vuoto nel quale inserire, se volete, la vostra foto da associare alla chiave agendo sul menu Keys/Add/Photo

la sezione Subkey consente una serie di operazioni utili a gestire le sottochiavi associate alla principale.

PGP Tools

E' un menu ad icone che offre la possibilità di:

lanciare il PGP Keys, Crittare, Firmare, Crittare e Firmare, Decrittare e Verificare, Cancellare definitivamente files, attivare il PGP Free Space Wiper, una nuova applicazione che consente di cancellare, attraverso una serie di wizard esplicativi, definitivamente tutti i dati, buttati nel cestino, che Windows non cancella a fondo.

PGP Free Space Wiper

Com'è noto i file buttati nel cestino di Windows non vengono cancellati immediatamente; il guaio è che neanche dopo aver dato il comando "svuota cestino" i file vengono cancellati definitivamente. Dunque se maneggiate documenti scottanti questa nuova versione di PGP vi sarà sicuramente d'aiuto. Se avete la barra di PGPtools attiva vi basterà premere il pulsante "Wipe" e scegliere il/i file che volete eliminare per sempre. Un altro metodo consiste nel posizionarsi semplicemente sul file da cancellare e premere il tasto destro del mouse, scegliere "PGP" e poi "Wipe".

E tutti i file che vengono eliminati direttamente dal sistema operativo e dalle stesse applicazioni o che abbiamo "cancellato" (si fa per dire) prima di istallare PGP sono ancora da qualche parte nel nostro hard disk? Si, ma niente paura possiamo ancora farli sparire ! Basta premere il pulsante ""Freespace Wipe" posto alla fine della barra di PGPtools e seguire le istruzioni del wizard. Attenzione: prima di far ciò è consigliata la chiusura di tutte le applicazioni attive. Innanzitutto ci viene chiesto quale drive vogliamo pulire e con quanti passi (più passi scegliamo e più a fondo e in maniera sicura sarà realizzata l'operazione, ma più tempo occorrerà per effettuarla: vengono consigliati 3 passi per un uso personale del PC, 10 per uso commerciale, 18 per uso militare, 26 per la massima sicurezza). Dopo di ciò vi apparirà questa finestra con una serie di statistiche relative al volume selezionato:

Premete "Begin Wipe" per dare inizio all'operazione e aspettate con ansia la conclusione...la N.S.A. potrebbe sfondare la vostra porta da un momento all'altro !

PGP disk

Una novità importante di questa versione è quest'applicazione che consente di riservare una parte del proprio hard disk ai dati più riservati. Per creare il PGPdisk basta scegliere l'opzione New e seguire le istruzioni. Vi verrà chiesto di scegliere la capienza del disco, la lettera da associare, la "passphrase" di protezione, e la formattazione della sola unità PGPdisk (dunque non preoccupatevi...non formatterete tutto l'hard disk!). Ora cliccando sul pulsante "Unmount" chiuderete col lucchetto la nuova unità in modo che solo i possessori della "passphrase" potranno accedervi. Quando vorrete accedere al disco PGP dovrete cliccare su "Mount" e digitare la passphrase corretta. L'opzione Prefs vi consentirà di settare il disco in modo da chiudersi automaticamente dopo un certo tempo di inattività o in caso di stand-by, e di stabilire dei tasti di scelta rapida per l'operazione di "Unmount".

Non mi resta che salutarvi, pregandovi di scrivermi - magari usando PGP -per segnalarmi eventuali imperfezioni o per darmi consigli di qualsiasi genere, le critiche costruttive sono ben accette soprattutto se contribuiranno a migliorare ed estendere la presente guida.

Vincos e-mail: vincos@tiscalinet.it

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 6.0.2i
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=SBKi
-----END PGP PUBLIC KEY BLOCK-----