Molte aziende si trovano a dover trattare grandi quantità di dati personali, inclusi dati dei clienti, bollettini medici, report finanziari, documenti legali, ecc.
E capita molto spesso che questo tipo di dati venga trasmesso via email.
Ma come fai ad essere certo che queste informazioni riservate vengano trasmesse via email in modo sicuro? E' possibile essere certi dell'integrità e dell'origine di un messaggio?
E ancora, se desideri che il messaggio non sia in nessun caso accessibile a occhi indiscreti, come si deve procedere?
Oggi ti spiego come funzionano la cifratura e la firma, che sono entrambe legate alla "sicurezza" dei messaggi, ma hanno finalità differenti.
Criptazione: quando usarla e come funziona
Le aziende hanno bisogno di proteggere i dati.
Talvolta possono essere dati sensibili, talvolta possono essere dati riservati che si desidera non vengano visti da occhi indiscreti.
E da quando è entrato in vigore il GDPR è aumentata l'attenzione delle aziende verso la salvaguardia dei dati.
Se i dati che vengono trasmessi tramite email non devono per nessun motivo essere visibili ad altri, allora lo strumento da utilizzare è la cifratura.
La criptazione (o cifratura) è il processo attraverso il quale si converte un testo "in chiaro" in un testo cifrato. Un testo cifrato è, in sostanza, un testo convertito, attraverso un algoritmo, in un formato non leggibile.
Molte implementazioni commerciali utilizzano la cifratura basata su chiavi pubbliche (dette anche asimmetriche).
Come funziona nel dettaglio una chiave di criptazione (o chiave crittografica)?
La criptazione con chiave pubblica utilizza delle coppie di chiavi, una pubblica e una privata.
Se ad esempio vuoi che io ti invii un messaggio criptato, mi invierai la tua chiave pubblica, che io importerò nel mio software di criptazione.
Quindi cripto (cifro) il messaggio con la tua chiave pubblica e quando tu ricevi il messaggio, invece, lo decifri con la tua chiave privata. In realtà sarà il tuo software a eseguire questa operazione.
L'immagine qui sotto schematizza quando espresso a parole nel paragrafo precedente.
Naturalmente anche la tua chiave pubblica può essere distribuita in giro e usata da terzi per cifrare messaggi indirizzati a te; messaggi che possono essere decriptati solo tramite la tua chiave privata, la quale deve sempre essere tenuta segreta e in luogo protetto.
I messaggi cifrati con la chiave pubblica possono essere letti solo con la corrispondente chiave privata e viceversa: criptare un messaggio ti aiuta ad assicurarti che rimanga privato e cifrato finché non viene utilizzata la chiave di decriptazione del destinatario.
Firma dei messaggi: quando usarla e come funziona
Oltre alla riservatezza dei dati trattati, quindi oltre a preoccuparsi che i dati non vengano intercettati o letti da persone non autorizzate, potrebbe capitare che tu e i tuoi clienti vogliate assicurarvi che i dati non vengano alterati durante il tragitto dal mittente al destinatario e che il mittente sia realmente chi dice di essere.
Tutto questo può essere ottenuto con la firma dei messaggi (aggiungendo una firma digitale, non con la firma “standard” dei programmi di posta elettronica).
Proprio come la tua firma "a mano", una firma digitale può essere utilizzata con scopi di autenticazione e non può essere contraffatta.
La firma di un messaggio email ti garantisce:
- l'integrità dei dati, ovvero che il messaggio non sia stato alterato rispetto alla sua forma originale;
- l'autenticazione del messaggio (prova di origine), ovvero che il messaggio sia stato effettivamente inviato dal mittente che tu visualizzi.
- La non-contestabilità dell'autenticità del messaggio, ovvero che il mittente non possa negare l'autenticità del messaggio inviato e firmato con OpenPGP.
Ma come funziona la firma dei messaggi?
Per semplificare diciamo che funziona esattamente al contrario delle cifratura vista in precedenza.
La firma dei messaggi utilizza la chiave privata del mittente per firmare (criptare) il messaggio mentre la sua chiave pubblica è utilizzata per leggere la firma (decriptarla).
La firma lega indissolubilmente chi invia il messaggio al messaggio stesso, cosicché ne vengano assicurate l'integrità, l'autenticazione e la non-contestabilità.
Il processo è riassunto nell'immagine che segue.
Chiariamo con un esempio.
Se Francesco volesse inviare un messaggio firmato a Chiara, utilizzerebbe la sua chiave privata per criptare il messaggio e lo invierebbe (assieme alla sua chiave pubblica, se non fosse ancora a disposizione del destinatario) a Chiara.
La firma digitale viene verificata semplicemente utilizzando la chiave pubblica di Francesco, poiché è l'unica in grado di decriptare il messaggio.
Generalmente per firmare digitalmente le email è necessario un “kit” che può essere comprato dagli enti certificatori, per esempio Aruba, Poste Italiane e InfoCert.
Se sei interessato sia alla cifratura delle email, sia alla possibilità di firmare digitalmente le email ti segnalo che il mailserver MDaemon include entrambe le caratteristiche: all'interno dello stesso prodotto trovi fatte e finite entrambe le funzionalità.
Tratto dal blog di MDaemon.
Articolo molto chiaro. Grazie!