PGP (Pretty Good Privacy) è un programma di crittografia utilizzato per inviare informazioni altamente sensibili su Internet. Si basa su una combinazione di metodi di crittografia a chiave pubblica e metodi di crittografia più tradizionali per proteggersi dagli aggressori. Generalmente la crittografia PGP, insieme ad  altre forme di protezione dei dati, può essere una parte preziosa della strategia di sicurezza dei tuoi clienti.

Agli albori della crittografia, un utente creava un codice o una chiave e la utilizzava per crittografare le informazioni sensibili che stava cercando di inviare. La stessa chiave utilizzata per crittografare la chiave è stata utilizzata anche per decrittografarla. L’uso di una chiave per crittografare e decrittografare è noto come crittografia tradizionale a chiave simmetrica. È fantastico, tranne che per un fattore non così piccolo: puoi inviare il messaggio crittografato, ma affinché il destinatario capisca il messaggio ha bisogno della chiave. È qui che entra in gioco il rischio. Una chiave in transito è in balia degli aggressori che cercano di intercettare il messaggio, impadronirsi della chiave e, successivamente, ottenere l’accesso a dati e informazioni altamente sensibili.

Cos’è una chiave di crittografia PGP?

Se ti stai chiedendo cosa sia una chiave PGP, in effetti, è più di una singola chiave: è un termine usato per descrivere una coppia di chiavi pubbliche e private che lavorano insieme per crittografare e decrittografare le informazioni.

PGP è stato sviluppato da Phil Zimmerman nel 1991. Phil, un attivista antinucleare, credeva che il mondo avesse bisogno di un modo migliore per archiviare e inviare informazioni sensibili. Ha lanciato PGP come servizio gratuito e ha rapidamente guadagnato attenzione e popolarità.

Il modo in cui funziona PGP è che la crittografia si basa principalmente su una forma di crittografia a chiave pubblica. La crittografia a chiave pubblica richiede l’uso di due chiavi, una chiave pubblica e una chiave privata, ed è considerata un approccio di crittografia asimmetrica.

  • Le chiavi pubbliche sono valori numerici di grandi dimensioni utilizzati per crittografare e-mail, testi e file.
  • Le chiavi private sono algoritmi utilizzati per decrittografare tali informazioni.

Per dirla semplicemente, un utente crea una chiave pubblica e la condivide con chi vuole. Questa chiave non deve essere un segreto. In effetti, un utente può persino pubblicare apertamente la propria chiave pubblica, consentendo a chiunque di accedere alla propria chiave e utilizzarla per inviare loro informazioni.

È la chiave privata che deve essere protetta. Un utente sfrutta la chiave privata per decrittografare le informazioni che sono state crittografate utilizzando la propria chiave pubblica. Nessun altro dovrebbe avere accesso alla propria chiave privata tranne che per loro.

Esistono diversi algoritmi di crittografia a chiave pubblica ampiamente approvati. I programmi PGP utilizzano i due algoritmi più popolari che prendono il nome rispettivamente dai loro investitori e inventori.

  • Diffie – Hellman (DH) – DH è stato uno dei primi algoritmi a chiave pubblica ed è stato originariamente utilizzato dall’agenzia di intelligence britannica nel 1969, ma non è diventato un algoritmo pubblicato fino al 1975.
  • Rivest – Shamir – Adleman (RSA) – Nel 1977,  gli scienziati informatici del MIT Ron Rivest, Adi Shamir e Leonard Adleman hanno annunciato RSA.

L’inizio di OpenPGP

L’efficacia e la popolarità di PGP lo hanno portato a ottenere un’attenzione negativa da parte del governo degli Stati Uniti. Perché? Poiché PGP non ha solo preso piede con gli americani, si è anche diffuso in paesi di tutto il mondo. Il governo credeva che PGP fosse un potente software crittografico che dovrebbe essere trattato come una forma di equipaggiamento militare, richiedendo quindi una licenza per essere esportato.

Con così tanti occhi sul programma, le questioni relative alle licenze e ai brevetti cominciarono ad abbondare: l’uso dell’algoritmo RSA era un argomento particolarmente caldo. C’erano anche molte aziende che volevano sviluppare il proprio software compatibile con PGP. Zimmerman pose fine a tutto questo nel 1997 quando chiese alla Internet Engineering Task Force (IETF) di trasformare PGP in uno standard Internet definito. Hanno accettato e OpenPGP è nato, consentendo così a chiunque di implementare la metodologia di crittografia PGP nel proprio software.

Come funzionano le chiavi PGP?

Sebbene la crittografia a chiave pubblica sia la spina dorsale di PGP, il programma si basa anche sulla tradizionale crittografia a chiave simmetrica, hashing, compressione e firme digitali. Quindi come funziona PGP nel suo complesso? Il processo è simile a questo:

  1. Compressione: il testo in chiaro è grande e occupa una quantità non necessaria di tempo di trasmissione del modem e spazio su disco. Un programma PGP comprimerà il testo in chiaro dell’utente per rendere l’intero processo più efficiente. Ciò riduce anche i modelli trovati nel testo in chiaro, rendendo più difficile la decifrazione per gli hacker.
  2. Chiave di sessione:  una chiave di sessione è una chiave una tantum utilizzata per crittografare il testo in chiaro compresso. Il testo in chiaro crittografato è noto come testo cifrato. Le chiavi di sessione si basano sulla crittografia tradizionale a chiave simmetrica per crittografare il messaggio grazie alla sua velocità ed efficienza.
  3. Crittografia a chiave pubblica:  questa chiave di sessione, utilizzata per crittografare l’intero messaggio, viene quindi crittografata dal software PGP utilizzando la chiave pubblica del destinatario Successivamente, la chiave di sessione crittografata con chiave pubblica e il testo cifrato vengono inviati al destinatario.
  4. Decrittografia della chiave privata:  il software PGP del destinatario fa affidamento sulla chiave privata per decrittografare la chiave di sessione, quindi utilizza la chiave di sessione decrittografata per decrittografare il testo cifrato. Una volta decrittografati, il destinatario può leggere chiaramente le informazioni sensibili inviategli.

Ci sono alcuni modi per portare PGP un ulteriore passo avanti per coloro che cercano di aggiungere ulteriori livelli di sicurezza:

  • Firme digitali:  pensa alle firme digitali come firme tradizionali più difficili da falsificare. Per creare una firma digitale, una funzione hash deve prima prendere il tuo testo normale e comprimerlo in un digest del messaggio. Il digest viene quindi crittografato con la chiave privata del mittente. Questo digest crittografato con chiave privata è la “firma digitale” e può essere inviato insieme al messaggio crittografato. Il destinatario può quindi utilizzare la chiave pubblica del mittente per decrittografare la firma digitale e verificare che il mittente sia chi dice di essere.
  • Certificati digitali:  un certificato digitale contiene la chiave pubblica del titolare del certificato e altre informazioni di identificazione, inclusa la firma digitale. Si tratta di credenziali di terze parti e verifica la credibilità del titolare del certificato per confermare che una chiave pubblica è collegata alla persona che pensi che sia.

Come ottengo la mia chiave pubblica PGP?

Per ottenere una chiave pubblica PGP devi prima scaricare il software PGP. La PGP Corporation originale di Zimmerman è ora di proprietà di Symantec. Esistono diversi prodotti Symantec sul mercato che utilizzano pratiche di crittografia PGP. Questi prodotti sono dotati di una varietà di campane e fischietti e un cartellino del prezzo.

La buona notizia è che non sei limitato ai prodotti Symantec se desideri un’esperienza PGP autentica. Dalla nascita dello  standard OpenPGP  di cui abbiamo discusso in precedenza, sono arrivati ​​sul mercato numerosi prodotti che sfruttano PGP. GNU Privacy Guard (GPG) è di gran lunga l’opzione gratuita più comune e completa disponibile.

Per ottenere la tua chiave pubblica devi prima selezionare quale programma PGP vuoi scaricare. Ogni programma avrà il proprio processo, ma in generale seguirai questo breve tutorial su PGP:

  1. Scarica un programma PGP sul tuo PC o Mac per iniziare.
  2. Quindi fare clic su “genera nuova coppia di chiavi” per aprire la funzione di generazione delle chiavi.
  3. Quando viene richiesto di selezionare “tipo di chiave”, scegliere l’impostazione predefinita del programma: le opzioni saranno HD o RSA, i due tipi più comuni di metodi di crittografia a chiave pubblica.
  4. Ti verrà quindi chiesto di aggiungere la tua email e una passphrase. Una passphrase è una password composta da numeri, lettere e caratteri. Più lunga è la passphrase, più è sicura. Tieni presente che hai la possibilità di modificare questa passphrase in qualsiasi momento.
  5. Una volta inviata la passphrase, il programma inizierà a generare la coppia di chiavi. Durante questo processo, il programma potrebbe chiederti di fare clic con il mouse e i tasti in modo casuale. L’obiettivo è creare entropia, una forma di casualità che può aiutare il software a rendere la tua chiave più sicura.
  6. Le tue chiavi saranno pronte in pochi secondi. Il software PGP aggiungerà queste chiavi ai tuoi portachiavi. I portachiavi sono file che si trovano sul tuo disco rigido. Dovresti avere un portachiavi per la tua chiave privata e un altro portachiavi per la tua chiave pubblica.

Ora che hai la tua chiave pubblica, come condividerla con altri in modo che possano inviarti informazioni sensibili? Ci sono alcuni modi per farlo. Uno è inviarlo direttamente tramite e-mail. Per fare ciò, apri semplicemente il tuo programma PGP ed esporta la chiave e allegala come file o copiala e incollala nel corpo della tua email.

Puoi anche caricare la tua chiave su uno o entrambi i due server di chiavi PGP pubblici: il server PGP e il server MIT. Per fare ciò, apri il tuo programma PGP e seleziona la tua chiave. Quindi trova il menu del server e premi “Invia a”. Ti verrà quindi chiesto di selezionare PGP o MIT. Scegli il server su cui desideri caricare la tua chiave. Ricorda: chiunque può accedere alla tua chiave pubblica quando è pubblicata su un server pubblico, ma va bene così. In effetti, questo è effettivamente il punto del server. Ciò che conta è che tu mantenga la tua chiave privata al sicuro in ogni momento.

Oltre a condividere la tua chiave con altri, è buona norma aggiungere le chiavi pubbliche delle persone a cui invii dati sensibili nel tuo portachiavi. Per fare ciò, importa la chiave, sia che ti sia stata inviata direttamente o che l’hai trovata su uno dei server pubblici, e salvala nel tuo portachiavi (ricorda, questo è semplicemente un file contenente chiavi pubbliche).

Come si crittografa un file utilizzando PGP?

Una volta che hai la tua coppia di chiavi, puoi iniziare a inviare e ricevere file crittografati. Ciò comporterà lo stesso processo che abbiamo descritto sopra:

  • Il testo normale è compresso
  • Viene generata una chiave di sessione una tantum
  • La chiave di sessione trasforma il messaggio di posta elettronica in testo cifrato
  • La chiave di sessione è crittografata con la chiave pubblica del destinatario
  • Il testo cifrato e la chiave di sessione crittografata vengono inviati al destinatario

Sembra complicato, ma un software PGP farà il lavoro per te. I passaggi esatti che intraprendi variano a seconda del tuo software PGP, ma dovrebbero assomigliare a questo:

  1. Inizia creando il messaggio che desideri crittografare.
  2. Una volta terminato, posiziona il cursore nel corpo dell’e-mail e apri il software PGP dalla barra degli strumenti.
  3. Nel menu del software PGP, seleziona “Finestra corrente” e quindi “Crittografa”.
  4. Ti verrà ora chiesto di selezionare la chiave pubblica della persona a cui desideri inviare la tua email: se hai salvato la sua chiave pubblica nel tuo portachiavi pubblico, dovrebbe essere qui.
  5. Successivamente inserirai la tua passphrase e premi “OK”, consentendo così al programma di trasformare il tuo messaggio in testo cifrato all’interno del corpo della tua email. Tutto quello che devi fare ora è premere “Invia”.

Il processo di decrittografia è simile, solo che questa volta stai utilizzando la tua chiave privata per decrittografare un messaggio che è stato crittografato da un mittente con la tua chiave pubblica. Ecco uno schema approssimativo del processo di decrittazione:

  1. Evidenzia il testo cifrato all’interno dell’email che hai ricevuto.
  2. Apri il tuo software PCP dalla barra degli strumenti.
  3. Nel menu del software PGP, seleziona “Finestra corrente” e quindi “Decrittografa”.
  4. Inserisci la tua passphrase quando richiesto e premi “OK”. Il testo decrittografato apparirà nella tua email.

Anche se non puoi vedere fisicamente i calcoli interni del tuo software PCP, stai certo che sta implementando chiavi di sessione, pubbliche e private per proteggere i tuoi messaggi.

PGP mi proteggerà dagli hacker?

La combinazione unica di PGP di crittografia a chiave pubblica, metodi di crittografia tradizionali, firme digitali e certificati aiuta a salvaguardare le informazioni sensibili inviate su Internet. Ma nonostante i suoi migliori sforzi, ci sono ancora opportunità per gli hacker.

La transazione dei metadati (indirizzo e-mail, riga dell’oggetto, dimensione del messaggio) è una delle principali aree di preoccupazione. Questi metadati vengono trasferiti come testo normale e possono essere utilizzati dagli hacker per analizzare le informazioni sul software di crittografia e identificare il destinatario/mittente, consentendo loro di eseguire attacchi mirati su qualsiasi punto debole del sistema che scoprono. C’è anche la possibilità che le chiavi private siano rubate. Con una chiave privata rubata in mano, un hacker può decrittografare i file sensibili inviati al proprietario della chiave privata.

Per gli MSP che desiderano proteggere i propri clienti da violazioni della sicurezza, l’implementazione di un software di monitoraggio delle minacce può essere d’aiuto. Questi strumenti sono progettati per sorvegliare le reti gestite e possono aiutarti a monitorare le minacce, rispondere a esse e generare rapporti che ti aiutano a rimanere conforme ai più recenti standard di sicurezza.

Scopri le soluzioni N-ABLE e le loro funzioni

Contattaci per saperne di più: commerciale@n4b.it

FONTE: N-ABLE BLOG

Traduzione ed Adattamento: N4B SRL – N-ABLE Authorised Distributor