La posta elettronica oggi rappresenta uno strumento indispensabile per privati cittadini ed aziende, le nostre caselle di posta sono i crocevia di una quantità enorme di informazioni ed è quindi cruciale pensare alla relativa protezione.

Molti tra voi avranno sentito parlare del programma PGP (Pretty Good Privacy) che consente la protezione delle email utilizzando un’infrastruttura a chiave pubblica per la cifratura del contenuto della posta elettronica.

Il problema principale di queste soluzioni tuttavia resta la fruibilità al pubblico, purtroppo questi strumenti sono spesso di non semplice comprensione ed utilizzo da parte dell’utente medio.

Tra i client PGP più popolari vi è senza dubbio Mailvelope che consente in maniera relativamente semplice di proteggere il contenuto delle nostre email una volta transito.

Un gruppo di studio composto da ricercatori statunitensi della Brigham Young University ha condotto un singolare esperimento coinvolgendo 20 individui a cui è stato chiesto di formare delle coppie per stabilire una comunicazione a mezzo email protetta mediante il popolare software.

L’esperimento consentiva nel chiedere a ciascun individuo di inviare una mail cifrata al proprio partner, ciascun di loro aveva a disposizione un’ora per mettere in piedi l’ambiente necessario all’invio sicuro delle mail (e.g. generazione delle chiavi PGP e scambio del messaggio cifrato tra i due interlocutori).

Con sorpresa solo una coppia di utenti è riuscita a scambiare email in tutta sicurezza utilizzando il software.

Lo studio, dal titolo “Why Johnny still can’t Encrypt: Evaluating the usability of a modern PGP client” (Perché Johnny non riesce ancora ad usare la crittografia: Valutare l’usabilità di un client moderno PGP) ha dimostrato quanto questa tipologia di tool sia poco usabile degli utenti.

Addirittura lo stesso creatore del PGP, Phil Zimmerman, non utilizza l’attuale versione del software acquisita da Symantec nel 2010 perché incompatibile con il suo Mac.

Protezione delle email con PGP

 

Vale la pena ricordare che Mailvelope è il Sistema per la protezione delle email suggerito dall’organizzazione Electronic Frontier Foundation che da sempre si adopera per la difesa della privacy e la sicurezza degli utenti in rete.

Mailvelope è probabilmente l’applicazione più usabile per la cifratura delle email, il suo plugin è integrato nel browser Chrome e dalla maggior parte degli utenti è considerato essere di più semplice utilizzo rispetto ad applicazioni GPG.

Tutti gli individui coinvolti nello studio hanno scelto per il test di utilizzare un account Gmail per la gestione della loro posta elettronica.

Delle dieci coppie, solo una è riuscita nell’impresa, ma l’evento non deve farci fare i salti di gioia, perché l’unica coppia ad aver portato al termine il compito è stata l’unica ad avere uno dei partecipanti con nozioni di crittografia ed infrastrutture a chiave pubblica.

I ricercatori hanno suggeriscono l’integrazione di tutorial nell’applicazione Mailvelope per aiutare i nuovi utenti a svolgere le principali fasi per l’installazione e l’utilizzo dell’applicativo.

Così come è oggi, il PGP risulta ancora troppo difficile da utilizzare e le ripercussioni sulla sicurezza complessiva delle nostre missive digitali possono essere serie.

Tra le principali problematiche riscontrate vi è la difficoltà nello stabilire una comunicazione protetta a mezzo mail quando uno degli interlocutori non ha mai utilizzato nessuna tecnologia per la protezione della posta elettronica.

I ricercatori hanno raccomandato ai gestori dei client PGP di implementare strumenti che consentano di superare queste difficoltà iniziali, ad esempio facendo sì che l’interlocutore più esperto possa inviare una mail per-confezionata al destinatario contenente le istruzioni per installare il client PGP e generare la chiave pubblica da condividere con gli interlocutori.

Altri errori comuni derivano dall’uso scorretto delle chiavi, ad esempio utilizzando la propria chiave pubblica per cifrare messaggi di posta.

Addirittura in un caso, i ricercatori hanno osservato che un partecipante ha inviato la sua chiave privata e la password al suo archivio delle chiavi ad suo interlocutore nel tentativo disperato di farsi aiutare per decifrare il messaggio.

 


Pierluigi PaganiniAutore: Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

2 COMMENTS