Nel 1991, Phil Zimmermann ha creato Pretty Good Privacy ( PGP ), un programma crittografico che, per la prima volta, ha fornito all'individuo medio una crittografia di livello quasi militare. Nel corso degli anni, il codice sorgente di PGP è stato rilasciato e alla fine è nato uno standard aperto, Open PGP . Ciò ha aperto la strada a una miriade di prodotti open source che continuano a offrire alcune delle migliori crittografie disponibili.

Chi dovrebbe usare OpenPGP

Nel corso della storia di PGP e della crittografia in generale, ci sono stati innumerevoli critici che hanno promosso la teoria secondo cui solo coloro che hanno qualcosa di nefasto da nascondere hanno qualche motivo per usare una crittografia così forte. Infatti, poco dopo il suo sviluppo iniziale, Zimmermann si è trovato bersaglio di un'indagine da parte del governo degli Stati Uniti^{(US Government)} quando PGP si è fatto strada al di fuori degli Stati Uniti, violando le leggi che vietavano l'esportazione di una crittografia così potente.

In effetti, ci sono molte ragioni per cui una persona dovrebbe usare la crittografia, soprattutto nel contesto della comunicazione digitale. Mentre molte persone pensano all'e-mail come a qualcosa di relativamente privato e sicuro, con poche eccezioni, nulla potrebbe essere più lontano dalla verità.

L'e-mail^(Email) è più simile a una cartolina che a una lettera privata sigillata. Proprio^(Just) come una cartolina si fa strada attraverso più depositi, uffici postali, camion della posta e singole mani, con il suo messaggio intuibile, un'e-mail viaggia attraverso una miriade di singoli server in rotta dal mittente al destinatario finale.

Lungo la strada, un operatore di server senza scrupoli potrebbe visualizzare il contenuto di tali e-mail, senza che il mittente o il destinatario sappiano che la loro privacy è stata compromessa.

Anche se questo è poco preoccupante quando si condivide un simpatico video di animali domestici o la tua nuova ricetta preferita, la posta in gioco diventa molto più alta quando si tratta di membri della famiglia che discutono di problemi finanziari o di salute, un dirigente che discute una politica aziendale interna, un programmatore che condivide il codice sorgente con un altro sviluppatore o qualsiasi numero di situazioni legittime in cui è importante poter comunicare e condividere informazioni, o anche file, in modo sicuro e privato.

Sono proprio questo tipo di situazioni che rendono OpenPGP uno strumento importante per chiunque sia interessato alla privacy e alla sicurezza.

Come funziona

Fondamentalmente , OpenPGP è un sistema di crittografia a chiave pubblica. Questo tipo di crittografia utilizza una coppia di chiavi pubblica/privata per crittografare e decrittografare i dati. Con la crittografia a chiave pubblica, una volta che i dati sono stati crittografati con una chiave pubblica, solo la chiave privata corrispondente può decrittografarli.

Quando installi per la prima volta un client OpenPGP , ti viene chiesto di creare un set di coppie di chiavi e di caricare la tua chiave pubblica sui server delle chiavi, consentendo alle persone di cercarla in base al tuo nome o all'indirizzo email associato.

Inoltre, OpenPGP aiuta anche le persone a verificare l'autenticità e l'integrità di un messaggio o di un file crittografato grazie alla firma digitale inclusa. Molte società di software includeranno una firma digitale PGP insieme al programma di installazione del software che i clienti possono verificare per verificare l'integrità di un download e garantire che non sia stato manomesso o compromesso per includere codice dannoso.

Come usarlo

Nonostante il valore di OpenPGP, l'unica cosa che ha ostacolato la sua diffusa adozione è la facilità d'uso. Come molte applicazioni potenti, la sua barriera all'ingresso a volte può essere più alta di quella con cui molti utenti vogliono avere a che fare.

Sebbene ci siano una miriade di client OpenPGP , molto più di quanto lo scopo di questo articolo possa coprire, i passaggi seguenti dovrebbero fornire una guida generale all'installazione e all'utilizzo di OpenPGP .

Scarica un cliente

Quando si scarica un client OpenPGP , la prima scelta è decidere se scaricare il PGP commerciale da Symantec^{(PGP from Symantec)} o utilizzare uno dei client open source^{(free, open source clients)} gratuiti disponibili.

In generale, l'applicazione commerciale offre l'esperienza più snella e raffinata, con opzioni per Mac , Windows e iOS, mentre i client open source aggiungono il supporto per Linux e Android , per non parlare del fatto che sono gratuiti.

Crea le chiavi

Il prossimo passo è creare le tue chiavi pubbliche/private. Ti verrà chiesto il tuo nome e indirizzo email, nonché la password che inserirai per crittografare e decrittografare i dati.

Sebbene ci siano un paio di scelte di algoritmi da utilizzare per creare le chiavi, per la maggior parte delle persone, la scelta dell'algoritmo RSA predefinito sia per la firma che per la crittografia è l'opzione migliore. Più grande è la chiave, più forte è la crittografia. Al momento della pubblicazione, le chiavi a 2048 bit erano state prese in considerazione o violate, sebbene le risorse richieste fossero ben oltre l'applicazione pratica, rendendo una chiave a 2048 bit ancora praticabile per esigenze di sicurezza moderate.

Poiché una chiave a 4096 bit è quasi esponenzialmente più forte di una a 2048 bit, una chiave a 4096 bit è considerata non hackerabile per il prossimo futuro.

Carica la chiave

Una volta create le chiavi, il passaggio successivo consiste nel caricare la chiave pubblica in modo che altre persone possano trovarla. Una volta che la tua chiave è stata caricata, chiunque disponga di un client OpenPGP sarà in grado di cercare la tua chiave in base al tuo indirizzo e-mail e utilizzarla per crittografare e-mail e file che solo tu puoi aprire.

Puoi anche inviare tramite e-mail la tua chiave pubblica direttamente alle persone con cui comunichi regolarmente in modo che possano utilizzarla per crittografare file ed e-mail destinati a te.

Integra^(Integrate) con la tua applicazione di posta elettronica^{(Your Email Application)}

Poiché la crittografia delle e-mail è uno degli usi fondamentali della crittografia OpenPGP , l'integrazione con il tuo programma di posta elettronica preferito è il passaggio successivo. Molti pacchetti, come GPG Suite di GPGTools^{(GPG Suite by GPGTools)} , installeranno automaticamente un plug-in per i client di posta elettronica più diffusi, inclusi Apple Mail , Microsoft Outlook o Mozilla Thunderbird .

Quando invii un'e-mail a qualcuno di cui possiedi la chiave PGP , il tuo software ^(PGP)OpenPGP dovrebbe dare la possibilità di crittografare e/o firmare l'e-mail. Allo stesso modo^(Likewise) , quando ricevi un'e-mail che è stata crittografata utilizzando la tua chiave pubblica, il software ti chiederà di decrittografare il messaggio.

Senza dubbio, la crittografia OpenPGP è un potente strumento sia per i consumatori che per i professionisti. Sebbene la curva di apprendimento possa essere un po' più ripida di quella a cui molte persone sono abituate, ne vale la pena.

Che si tratti di un giornalista che lavora in un ambiente pericoloso, di un uomo d'affari che discute di politiche interne sensibili, di sviluppatori che condividono codice o di familiari che si scambiano informazioni private via email, OpenPGP offre ai suoi utenti la tranquillità che deriva dalla crittografia di livello quasi militare.

How to Use OpenPGP to Secure Email

In 1991, Phіl Zimmermann crеated Pretty Goоd Рrivacy (PGP), a cryptographic program that, for the first time, gave the average іndividual near military-grade encryption. Over the years, РGP’s source code was releаsed and an open standard—OpenPGP—wаs eventually born. This opened the way for a myriad of open sourсe products that continue to offer some of the best cryptography avaіlable.

Who Should Use OpenPGP

Throughout the history of PGP, and encryption in general, there have been countless critics promoting the theory that only those with something nefarious to hide have any reason to use such strong encryption. In fact, shortly after its initial development, Zimmermann found himself the target of an investigation by the US Government when PGP found its way outside the US, violating laws forbidding the export of such powerful encryption.

In point of fact, there are many reasons why a person should use encryption, especially in the context of digital communication. While many people think of email as something relatively private and secure, with few exceptions, nothing could be further from the truth.

Email is more akin to a postcard than a private, sealed letter. Just as a postcard makes its way through multiple depots, post offices, mail trucks and individual hands—with its message plain to see—an email travels through a myriad of individual servers en route from the sender to the ultimate recipient.

Along the way, an unscrupulous server operator could view the contents of such emails, with no way for the sender or recipient to know their privacy had been compromised.

While this is of little concern when sharing a cute pet video, or your favorite new recipe, the stakes become much higher when it’s family members discussing financial issues or health concerns, an executive discussing an internal corporate policy, a programmer sharing source code with another developer, or any number of legitimate situations where it’s important to be able to communicate and share information, or even files, in a secure and private manner.

It is just these kind of situations that makes OpenPGP an important tool for anyone concerned with privacy and security.

How It Works

At its core, OpenPGP is a public-key cryptography system. This kind of cryptography uses a public/private key-pair to encrypt and decrypt data. With public-key cryptography, once data is encrypted with a public key, only the corresponding private key can decrypt it.

When you first install an OpenPGP client, you’re prompted to create a key-pair set and upload your public key to key servers, allowing people to search for it by your name or associated email address.

In addition, OpenPGP also helps individuals to verify the authenticity and integrity of a message or encrypted file thanks to the included digital signature. Many software companies will include a PGP digital signature along with their software’s installer that customers can check to verify the integrity of a download, and help ensure it hasn’t been tampered with or compromised to include malicious code.

How to Use It

In spite of OpenPGP’s value, the one thing that has stymied its widespread adoption is ease-of-use. Like many powerful applications, its barrier-to-entry can sometimes be higher than many users want to deal with.

While there are a myriad of OpenPGP clients—far more than the scope of this article can cover—the steps below should provide a general guide to installing and using OpenPGP.

Download a Client

When downloading an OpenPGP client, the first choice is deciding whether to download the commercial PGP from Symantec, or use one of the free, open source clients available.

Generally, the commercial application offers the most streamlined and polished experience, with options for Mac, Windows and iOS, while the open source clients add support for Linux and Android, not to mention being free-of-charge.

Create the Keys

The next step is to create your public/private keys . You will be asked for your name and email address, as well as the password you will enter encrypting and decrypting data.

While there are a couple of choices of algorithms to use for creating the keys, for most individuals, choosing the default RSA algorithm for both signing and encrypting is the best option. The larger the key, the stronger the encryption. As of the time of publication, 2048-bit keys had been factored, or hacked, although the resources required were well beyond practical application, making a 2048-bit key still viable for moderate security needs.

Since a 4096-bit key is almost exponentially stronger than 2048-bit, a 4096-bit key is considered unhackable for the foreseeable future.

Upload the Key

Once your keys have been created, the next step is to upload your public key so other individuals can find it. Once your key is uploaded, anyone with a OpenPGP client will be able to search for your key based on your email address and use it to encrypt emails and files that only you can open.

You can also directly email your public key to individuals you regularly communicate with so they can use it to encrypt files and emails destined for you.

Integrate With Your Email Application

Since encrypting email is one of the fundamental uses for OpenPGP encryption, integration with your email program of choice is the next step. Many packages—such as GPG Suite by GPGTools—will automatically install a plugin for popular email clients, including Apple Mail, Microsoft Outlook or Mozilla Thunderbird.

When emailing someone whose PGP key you possess, your OpenPGP software should give the option to encrypt and/or sign the email. Likewise, when receiving an email that has been encrypted using your public key, the software will prompt you to decrypt the message.

Without a doubt, OpenPGP encryption is a powerful tool for consumers and professionals alike. Although the learning curve may be a little steeper than many people are accustomed to, the benefits are well worth it.

Whether a journalist working in a dangerous environment, a businessman discussing sensitive internal policy, developers sharing code or family members emailing each other private information, OpenPGP provides its users the peace-of-mind that comes with near military-grade encryption.

Samuele Milani

About the author

ingegnere audiofilo e specialista di prodotti audio con oltre 10 anni di esperienza. Sono specializzato nella creazione di altoparlanti e cuffie per musica di qualità dall'inizio alla fine. Sono un esperto nella risoluzione dei problemi audio e nella progettazione di nuovi altoparlanti e sistemi di cuffie. La mia esperienza va oltre la semplice realizzazione di buoni prodotti; Ho anche una passione per aiutare gli altri a essere il meglio di sé possibile, sia attraverso l'istruzione che il servizio alla comunità.

Come utilizzare OpenPGP per proteggere la posta elettronica

Chi dovrebbe usare OpenPGP

Come funziona