PGP Tools, e-mail sicure
PGP Tools è un programma di criptazione
dei dati delle e-mail che usa l'algoritmo PGP (Pretty Good
Privacy) il quale a sua volta utilizza l'algoritmo RSA per la
criptazione dei dati, l'algoritmo di hashing MD5, l'algoritmo di
compressione dei dati ZIP e l'algoritmo Armor Radix-64.
L'algoritmo RSA è quello utilizzato dai server per criptare dati
segreti come
carte di credito.
Qualunque hacker può inviare e-mail a nome di una persona senza
che questa lo sappia, oppure alterare i dati di una e-mail
inviata, con il metodo PGP non possono essere alterate le e-mail
e tramite le Autorità di Certificazione delle chiavi pubbliche
si ha la certezza legale che una e-mail è stata inviata dal
mittente (sempre che l'Autorità di Certificazione abbia un
sistema incorruttibile).
Ecco i passaggi fondamentali per la criptazione dei dati:
Si genera l'hash del messaggio tramite l'algoritmo di hashing MD5 e viene concatenato a questo (ogni messaggio contiene un valore chiamato hash che lo caratterizza in maniera univoca, questo viene codificato con la chiave privata del mittente, vedi RSA, ed è allegato al messaggio, quindi tramite la codifica con la chiave pubblica se l'hash del messaggio corrisponde all'hash allegato al messaggio abbiamo la certezza della provenienza del messaggio)
Sia il testo che il suo hash vengono compressi in formato di compressione ZIP
Viene creato un numero random (random=casuale) di 128bit
Il messaggio viene criptato tramite un algoritmo di crittografia convenzionale tramite tenendo come chiave (session key) il numero casuale generato prima (di 128bit)
PGP applica l'algoritmo di crittografia a chiave pubblica RSA per codificare la session keyil risultato viene concatenato al messaggio del punto precedente
Si utilizza infine l'algoritmo di ascii Armor Radix-64 per trasformare il testo in modo che contenga solamente carattere asccii (American Standard Code International Interchange)
Il programma provvede a fornirvi una chiave
pubblica ed una privata (se non l'avete già), per e-mail che
devono avere carattere legale (anche l'invio di una e-mail che
contiene l'abbonamento ad un servizio) si DEVONO usare le chiavi
fornite dalle Autorità di Certificazione, in questo modo se
qualche hackers spedisce un messaggio con il vostro nome chi
accetta l'abbonamento DEVE chiedere a queste autorità se il
messaggioè effetivamente del mittente (le Autorità lo
controlleranno dalle chiave privata che hanno nei propri archivi
per vedere se è effettivamente del mittente).
Un utente può avere più chiavi pubbliche (e quindi anche più
chiavi private), ma solo quelle certificate dalle Autorità di
Certificazione hanno valore legale.
Un messaggio viene criptato soltanto se viene eseguita la firma
digitale (che ovviamente non è una firma su un foglio, e neanche
la digitalizzazione al computer di questa) e la si abilita solo
se viene inserita la passphrase giusta (è come una password ma
lunga quanto volete, anche una frase).
Chi riceve il messaggio lo vede illeggibile, e per decriptarlo
deve avere sia il programma PGP Tools che la chiave pubblica del
mittente che può ottenere anche dai keyserver autorizzati come Pretty Good Pryvacy, sempre se il mittente si è registrato presso un
qualunque keyserver (ci si può registrare presso un qualunque
keyserver ed ottenere la chiave pubblica da qualunque keyserver,
in quanto la lista delle chiavi è unica poichè i server
comunicano continuamente tra loro in modo che un utente che si
registra non deve farlo su tutti i keyserver della terra, ne
basta uno.
Attivare sempre la funzione Text output, in questo modo i dati
vengono crittografati con dei caratteri stampabili, questa
funzione è necessaria per alcuni server che non accettano
caratteri speciali (cioè quelli non stampabili), quindi il
documento potrebbe diventare illeggibile. Una delle funzionalità
di PGP Tools è quella di eliminare i messaggi (o file) in modo
permanente senza nessuna possibilità di recupero dei dati.
Il sistema PGP è considerato sicuro perchè per decodificare un
messaggio
RSA senza la chiave privata ci vogliono circa 1010
anni con 1.000.000 di computer in rete se si utilizzano chiavi di
1024 bit, potrebbero però catturare la vostra passphrase e la
vostra chiave privata se non l'avete messa al sicuro, se la
mettete nell'hardisk ci vorrà pochissimo a trovarla (mettetela
in un dischetto e tenetelo nascosto), altri modi per catturare
queste informazioni è attraverso un programma PGP Tools alterato
preso da siti non autorizzati che invia i vostri dati all'hacker,
un sito autorizzato è PGPI
(ma sarà sicuro anche il programma che sta dentro siti
autorizzati o qualche hackers potrebbe modificare questi
programmi mettendo un versione personale, purtroppo non si ha una
protezione reale su questi problemi). Altro modo per prendere la
vostra posta è quello di distribbuire delle chiavi pubbliche
false in modo che chi vuole inviarvi un messaggio lo fa
attraverso delle chiavi false, quindi rimane facile intercettare
la vostra posta e decodificare la posta con la chiave privata
dell'hacker, per evitare ciò è bene accettare chiavi solo se
sono firmate dal proprietario o soltanto se sono fornite da
Autorità di Certificazione.
Questo metodo è il più sicuro che c'è per le spedizione
di e-mail al punto da essere considerato dalle autoritè americane una
vera e propria arma, siccome l'algoritmo PGP è stato inventato in
America e le armi non possono essere esportate, chi ha progettato
l'algoritmo ha dovuto ricompilare una versione debole del PGP
(versione descritta sopra, quindi molto sicura) per la
distribuzione mondiale, purtroppo dobbiamo accontentarci (che
egoisti gli americani!), ma non è detto che non possiamo
ottenerla lo stesso.
Scarica
il programma GRATUITO da PGPI (sito legale)
Scarica
il programma Xfolder con crittografia forte
Prendi la
chiave pubblica di un tuo amico / registra la tua chiave pubblica
Torna alla pagina principale che tratta gli hackers
Aggiungi ai preferiti | | Imposta come Pagina Iniziale | | Stampa Pagina | |
Elenco collegamenti : |
||