Posta elettronica in sicurezza con il certificato digitale in regalo per i nostri lettori

La posta elettronica, di per sé, non è uno strumento sicuro per lo scambio di informazioni.

La posta elettronica, di per sé, non è uno strumento sicuro per lo scambio di informazioni. Le e-mail, infatti, transitano attraverso un canale di comunicazione, qual è la rete Internet, di per sé assolutamente insicuro.

MIME è l’acronimo di Multipurpose Internet Mail Extensions e fissa uno standard per il formato di un messaggio di posta elettronica. Ogni messaggio inviato attraverso un server SMTP è considerabile come in formato MIME. Le varie parti di un’e-mail ed, in particolare, le indicazioni MIME inserite al suo interno, specificano, ad esempio, il formato con cui viene inviato il messaggio (solo testo o html), la codifica utilizzata, eventuali allegati e così via. Per l’invio di messaggi “sicuri” il cui contenuto non possa essere letto se non dal reale destinatario, si fa ricorso al formato S/MIME. Sviluppato da RSA Data Security, S/MIME fornisce la possibilità di autenticare, verificare l’integrità, garantire il non ripudio (utilizzando la firma digitale) e proteggere il messaggio (utilizzando la crittografia) trasmesso in Rete.

L’impiego S/MIME permette, ad esempio, di “certificare” l’intero contenuto del messaggio che si invia, consente di trasmettere comunicazioni a qualunque tipo di indirizzo e-mail, è interoperabile con qualsiasi sistema ed è valido in tutto il mondo. Inoltre, l’uso di un certificato S/MIME consente di fidare su di una soluzione che garantisce massima portabilità ed in più è in grado di permettere la protezione del contenuto del messaggio grazie all’utilizzo della crittografia.

Per scambiarsi messaggi di posta elettronica utilizzando il formato S/MIME, i corrispondenti (mittente e destinatario) necessitano di una certification authority (“CA”) che compie diversi controlli sull’identità del richiedente quindi emette un certificato digitale che potrà essere utilizzato, per un certo periodo di tempo, per scambiare messaggi di posta elettronica in modo sicuro. Il sistema che viene adottato nelle comunicazioni è la ben nota soluzione crittografica a chiave pubblica (o “asimmetrica”): una chiave viene cioé inserita all’interno del certificato (“pubblica”) mentre l’altra, collegata alla chiave pubblica, deve restare assolutamente segreta e conservata con cura da parte dell’utente (“chiave privata”).

Come abbiamo più volte sottolineato, due utenti che desiderino scambiarsi e-mail cifrate possono creare autonomamente un certificato digitale senza interpellare una certification authority. E’ possibile farlo, ad esempio, ricorrendo ad applicazioni quali GnuPG o Gpg4Win (ved. questo nostro articolo). La CA si configura tuttavia come una “terza parte” che attesta l’identità di un utente e che è abilitata a rilasciare certificati digitali dotati di tutti i crismi dell’ufficialità. La CA, insomma, gode della “fiducia” di tutte le parti coinvolte nella comunicazione.

A beneficio di tutti i nostri lettori, in collaborazione con la CA italiana Globaltrust, offriamo la possibilità di generare un proprio certificato digitale per iniziare ad inviare e-mail in modo sicuro (firmate digitalmente ed eventualmente anche crittografate).

Come richiedere il certificato digitale

inserendo i propri dati anagrafici ed una password adeguatamente complessa.
Per motivi tecnici legati alla generazione di un certificato perfettamente valido, è necessario effettuare l’intera procedura dallo stesso personal computer ricorrendo sempre al medesimo browser web (Microsoft Internet Explorer oppure Mozilla Firefox).

Noi abbiamo effettuato la procedura di richiesta con Mozilla Firefox: dopo aver visitato l’apposita pagina e debitamente compilato tutti i campi, cliccando sul pulsante Accetto, in basso, Firefox ha mostrato per qualche istante il messaggio seguente:

Al termine di questa fase, è importante annotare il numero d’ordine visualizzato nella finestra successiva: sarà indispensabile al passo n°2.

Dopo aver effettuato le verifiche del caso, Globaltrust invierà un’e-mail all’indirizzo di posta elettronica specificato all’atto della richiesta del certificato: il messaggio contiene un link da seguire per provvedere all’installazione automatica del certificato personale sul proprio sistema.
La procedura di richiesta ed attivazione del certificato digitale va effettuata utilizzando il medesimo browser web, sullo stesso personal computer utilizzato per il passo precedente.
Visitando il link presente nell’e-mail ricevuta (è questo), si dovrà indicare, negli appositi campi, il numero dell’ordine e la password precedentemente scelta.

Dopo aver cliccato sul pulsante Conferma, nella pagina successiva, si dovrà inserire il lungo codice alfanumerico ricevuto per e-mail. Per evitare errori, suggeriamo di effettuare un copia&incolla dal corpo dell’e-mail alla casella visualizzata nel browser web.

Cliccando su Conferma, dopo qualche istante di attesa, comparirà il messaggio seguente:.

Il certificato personale così richiesto consentirà di codificare e firmare digitalmente i propri messaggi di posta elettronica garantendo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse.
GlobalTrust (o comunque la CA che emette il certificato) provvede a fornire all’utente facente richiesta, un certificato contenente l’identificativo dell’algoritmo crittografico usato, un numero di serie, la firma digitale, il nome della CA, le informazioni riguardanti la validità ed una chiave pubblica. Questo insieme di informazioni identifica colui che ha richiesto il certificato come unico possessore ed utilizzatore dello stesso.

Nel caso si sia richiesto il certificato da Internet Explorer, questo potrà essere salvato su disco in formato .pfx avviando il browser di Microsoft, cliccando sul menù Strumenti, Opzioni Internet quindi su Contenuto. Facendo riferimento al pulsante Certificati quindi selezionando il proprio certificato S/MIME dalla scheda Personale ed infine premendo Esporta…, si potrà produrre il file .pfx.

Qualora, invece, si fosse utilizzato Firefox, la procedura di esportazione del certificato S/MIME si concretizza cliccando sul menù Strumenti, Opzioni del prodotto, accedendo alla scheda Avanzate, cliccando su Cifratura ed infine sul pulsante Mostra certificati.
Selezionando la scheda Certificati personali, si noterà la presenza del certificato appena generato ed ottenuto da Globaltrust.

Per esportare il certificato, bisogna cliccare su Salva, indicare la cartella di destinazione ed un nome per il file che sarà memorizzato con estensione .p12 (PKCS12). Firefox richiede di definire anche una password a protezione della copia di backup del certificato.

In tutte le fasi di esportazione ed importazione del certificato S/MIME verrà sempre richiesta la password scelta a protezione del file: mai dimenticarla.

Per inviare messaggi crittografati è sempre necessario possedere il certificato del proprio interlocutore. Come primo passo, quindi, è bene inviarsi a vicenda un semplice messaggio di posta elettronica sul quale sia apposta la propria firma digitale. Così facendo, i client di posta “immagazzineranno” automaticamente il certificato altrui.

Impostare il client di posta affinché utilizzi il certificato digitale: Outlook Express ed Outlook

Se si utilizza Outlook Express per l’invio e la ricezione dei messaggi di posta e si è effettuato la procedura di generazione del proprio certificato digitale da Internet Explorer, il programma è già preconfigurato e non richiede particolari interventi. Cliccando sul menù Strumenti, Opzioni del client e-mail quindi sulla scheda Protezione, facendo riferimento al pulsante ID digitali ed alla scheda Personale, si dovrebbe già trovare in elenco il proprio certificato messo a disposizione, gratuitamente, da Globaltrust.

Qualora si fosse invece generato il certificato da Firefox, si dovrà importarlo affinché possa essere poi utilizzato da parte di Outlook Express. Per procedere, è necessario aprire il Pannello di controllo di Windows, cliccare sull’icona Opzioni Internet quindi sulla scheda Contenuto ed infine sul pulsante Certificati.

Selezionando la scheda Personale, si dovrà poi cliccare su Importa ed indicare il certificato precedentemente esportato da Firefox: nella finestra di dialogo per la scelta del file, si dovrà selezionare – nel campo Tipo file la voce Scambio di informazioni personali (.pfx, .p12) -.
Nella finestra successiva si dovrà introdurre la password a protezione della copia di backup del certificato specificata in Mozilla Firefox.

Le caselle sottostanti possono essere lasciate disattivate ma si abbia sempre cura di conservare, in un luogo sicuro, la copia di backup del certificato.

A questo punto, si potrà procedere con la composizione di un nuovo messaggio da Outlook Express e, facendo riferimento al menù Strumenti quindi alle voci Firma digitale e Crittografa si potrà, rispettivamente, apporre la propria firma digitale e cifrare il contenuto del messaggio di posta.

Utilizzo dei certificati digitali in Outlook

Con Microsoft Outlook, la procedura è praticamente identica a quella vista nel caso di Outlook Express. Anche qui, se si è scelto di generare il certificato digitale utilizzando Internet Explorer, Outlook potrà subito farne uso. Diversamente, il certificato S/MIME dovrà essere manualmente importato seguendo la procedura illustrata nel caso di Outlook Express.

Per impostare Outlook affinché utilizzi il certificato personale, basta far riferimento al menù Strumenti, Opzioni del programma quindi alla scheda Protezione. Cliccando su Impostazioni ci si può assicurare che il certificato in uso sia quello ricevuto da Globaltrust.
I pulsanti Codifica e Firma visualizzati in fase di composizione di un’e-mail permetteranno quindi di cifrare o firmare la comunicazione che si è in procinto di inviare.

Per aggiungere la chiave pubblica di un destinatario alla lista dei certificati, è sufficiente cliccare sul simbolo raffigurante una coccarda di colore rosso (contenuto nell’e-mail ricevuta dall’interlocutore) quindi cliccare sulla voce Aggiungi ai contatti di Outlook.
La chiave pubblica del contatto verrà così automaticamente associata al contatto stesso e risulterà visibile selezionando la scheda Certificati.
Se il certificato dell’interlocutore si presenta sotto forma di allegato (estensione .cer) al messaggio di posta elettronica, sarà possibile aggiungerlo alla lista selezionando il comando Importa.

Configurazione di Mozilla Thunderbird e uso di Google Gmail

La gestione dei certificati in Thunderbird si effettua cliccando su Strumenti, Impostazioni account quindi sulla voce Avanzate ed infine sulla scheda Certificati. Cliccando su Mostra certificati è possibile importare certificati e controllare quelli disponibili. Selezionando la scheda Certificati personali quindi servendosi del pulsante Importa, si può aggiungere in elenco il certificato ottenuto gratuitamente da Globaltrust: è sufficiente selezionare il file precedentemente esportato dal browser web.
Nella scheda Persone Thunderbird aggiunge automaticamente i certificati, allegati ai vari messaggi di posta elettronica, ricevuti da parte dei propri interlocutori.

Per configurare l’utilizzo del certificato, con la possibilità di firmare digitalmente e crittografare i messaggi di posta, è sufficiente comporre una nuova e-mail (pulsante Scrivi della barra degli strumenti), quindi cliccare sulla freccia a destra del pulsante Sicurezza: apparirà il menù che segue:

Cliccando su Cifra questo messaggio, Thunderbird mostrerà un messaggio d’avviso: “è necessario impostare uno o più certificati personali prima di poter utilizzare questa funzione di sicurezza. Si desidera farlo ora?“. Rispondendo affermativamente, si accederà alla sezione Sicurezza delle impostazioni dell’account correntemente selezionato.
Sia nel riquadro Firma digitale che in Cifratura si dovrà fare clic sul pulsante Seleziona quindi specificare il certificato digitale precedentemente importato in Thunderbird e rilasciato da Globaltrust.

Per impostazione predefinita, non viene mai apposta una firma digitale ai messaggi in fase di composizione (la casella Apponi una firma digitale ai messaggi è disattivata) e l’opzione Impostazioni cifratura predefinite per l’invio dei messaggi è regolata su Mai.

Affinché ciascuna e-mail contenga sempre la vostra firma digitale, si dovrà spuntare la casella Apponi una firma digitale ai messaggi. In alternativa, la firma potrà essere applicata al bisogno facendo riferimento al pulsante Sicurezza, nella finestra di composizione del messaggio, quindi alla voce Apponi firma digitale.
Per quanto riguarda la cifratura del contenuto del messaggio di posta, è possibile attivarla in modo predefinito (opzione Sempre) oppure (consigliato) richiederla quando necessario utilizzando il menù del pulsante Sicurezza quindi la voce Cifra questo messaggio.

Utilizzo di Google Gmail

Per chi utilizzasse il servizio Google Gmail da web, senza quindi appoggiarsi ad un client di posta, è possibile inviare e-mail firmate digitalmente e cifrate ricorrendo all’add-on gratuito per Mozilla Firefox denominato Gmail S/MIME e scaricabile da questa pagina. Dopo aver installato l’add-on, la finestra di composizione di un messaggio di Gmail risulterà arricchita di due nuovi pulsanti: l’uno permette di firmare l’e-mail, l’altro di cifrarne il contenuto.

).
Per usare il certificato S/MIME offerto da Globaltrust nella versione web di Google Gmail, si dovrà ovviamente importarlo in Mozilla Firefox accedendo al menù Strumenti, Opzioni, cliccando sulla scheda Avanzate quindi su Cifratura ed infine sul pulsante Mostra certificati. Dalla scheda Certificati personali, si dovrà cliccare su Importa… e selezionare il file .pfx o .p12 relativo al proprio certificato S/MIME.

Ti consigliamo anche

Link copiato negli appunti