OpenPGP, ha senso un'autorità di certificazione anche in Italia?

Sono disponibili diverse soluzioni per crittografare i dati spediti via email. Fatta eccezione per i servizi di posta elettronica crittografata che usano la cifratura end-to-end integrata per garantire la riservatezza delle comunicazioni scambiate tra mittente e destinatario (ad esempio, ProtonMail e Tutanota), OpenPGP è lo standard crittografico più sfruttato su scala globale per la protezione del contenuto delle email e l’eventuale della firma digitale.

Utilizzando OpenPGP, gli utenti possono generare le proprie coppie di chiavi (privata e pubblica) per crittografare i messaggi in modo sicuro. Compatibile con i principali client email, direttamente o previa aggiunta di un’apposita estensione, OpenPGP è basato sul sistema PGP (Pretty Good Privacy), sviluppato da Phil Zimmermann negli anni ’90. PGP è stata una delle prime soluzioni per la crittografia asimmetrica o a chiave pubblica ad essere ampiamente adottato. Ha avuto il merito di integrare un’implementazione pratica dell’algoritmo crittografico a chiave pubblica Diffie-Hellman e del sistema a chiave pubblica RSA (Rivest, Shamir, Adleman).

Progetto open source universalmente apprezzato, sebbene ogni tanto sia necessario ribadire quali sono i “rudimenti” per usarlo in modo sicuro, OpenPGP permette di proteggere le email con la crittografia. L’utente conserva e custodisce con attenzione la chiave privata OpenPGP, essenziale per firmare digitalmente i messaggi e decodificare le email ricevute.

La chiave pubblica, invece, viene distribuita agli altri utenti con i quali si desidera comunicare in modo sicuro. Il mittente utilizza la chiave pubblica del destinatario per inviargli un messaggio cifrato che soltanto lui può leggere. Da parte sua, il destinatario può decifrare il contenuto dell’email usando la sua chiave privata.

Con l’eventuale apposizione della firma digitale, gli utenti di OpenPGP si assicurano che il messaggio non è stato alterato durante la trasmissione e che proviene dal mittente indicato.

Autenticare e certificare le chiavi OpenPGP di altri utenti

OpenPGP si basa sul concetto di Web of Trust: è possibile creare una catena di fiducia in cui gli utenti possono autenticare le chiavi pubbliche altrui. Questo processo si concretizza firmando digitalmente la chiave dell’altro utente. Colui che effettua quest’operazione attesta che la chiave pubblica appartiene effettivamente a quella persona e la indica personalmente come autentica fornendo la sua attestazione.

Quando un utente riceve una chiave pubblica firmata, può verificare la firma utilizzando la chiave pubblica del firmatario. Se la firma è valida, l’utente può acquisire fiducia nella chiave pubblica e nella sua autenticità.

Il meccanismo alla base del funzionamento di OpenPGP richiede un’interazione e una valutazione umana per autenticare le chiavi pubbliche. Gli utenti sono chiamati a valutare la reputazione e l’affidabilità altrui prima di apporre la propria firma.

In Germania c’è un’autorità di certificazione per le chiavi OpenPGP

Governikus è una società tedesca specializzata nello sviluppo di soluzioni software e nella fornitura di servizi di sicurezza e gestione dei processi digitali per il settore pubblico e privato. È considerata uno dei principali fornitori di soluzioni di sicurezza informatica e di e-government in Germania.

Nella pagina Authenticate OpenPGP keys, Governikus si presenta di fatto come un’autorità di certificazione per OpenPGP che fa le veci del Bundesamt für Sicherheit in der Informationstechnik (BSI), agenzia governativa tedesca responsabile della sicurezza informatica e della protezione delle informazioni sensibili.

L’azienda richiede al cittadino o al professionista di autenticarsi con un proprio eID, ad esempio con la carta d’identità elettronica. A questo punto, con una semplice procedura, l’interessato può chiedere a Governikus di associare la sua chiave pubblica OpenPGP con la sua identità digitale precedentemente accertata.

Con una procedura automatizzata, Governikus confronta il nome letto dalla carta d’identità, dal permesso di soggiorno elettronico o da altri eID per i cittadini dell’Unione Europea con il nome specificato nella chiave OpenPGP. Se i nomi corrispondono, Governikus provvede a firmare la chiave OpenPGP indicata e conferma la corrispondenza dei dati. La chiave pubblica Governikus può quindi essere utilizzata dagli interessati per verificare la firma applicata.

In Italia ha senso creare una sorta di autorità di certificazione che firmi le chiavi OpenPGP?

Quanto può essere utile un’operazione del genere? Interessante è il fatto che un soggetto chiamato a rappresentare un ente pubblico abbracci in maniera totale uno standard aperto come OpenPGP. Per secondo, l’apposizione di una firma di un soggetto così conosciuto e autorevole, può essere di grande valore al fine di attestare l’identità dei soggetti coinvolti nelle comunicazioni via email.

Qualcosa di simile può avvenire anche in Italia? Difficile, anche se sarebbe probabilmente utile. L’impegno del legislatore e di AgID è primariamente concentrato sulla PEC europea. E ciò, anche se le differenze tra PEC e OpenPGP sono notevoli.

OpenPGP può essere utilizzato per proteggere la privacy e l’integrità delle comunicazioni elettroniche, inclusa la crittografia di email, file e messaggi istantanei. La PEC, invece, è principalmente utilizzata per scopi legali e amministrativi in Italia. È spesso richiesta per la comunicazione ufficiale con enti pubblici, aziende e professionisti, garantendo l’invio e la ricezione di documenti legalmente validi.