The Email Files: “Encryptio Patronum”

Antonio Ieranò

Security, Data Protection, Privacy. Comments are on my own unique responsibility 🙂

August 30, 2024

Incantesimi di Crittografia nel Mondo Digitale

NOTA: causa mia indisposizione di questi giorni non sono in grado di rivedere tutto questo testo ora. Io comunque ve lo condivido sperando che abbia senso ed utilità. del resto non si può essere sempre al 100%. 
Io non lo sono mai!
Ma dopo la flebile flebo eccomi indietro. 

Rilassatevi, immaginatevi in un mondo di pergamente volanti, incantesimi incomprensibili e compicazioni non previste, si proprio il mondo del email. 

E adesso magia: 

"Encryption Patronum"

Ultimamente si sente molto parlare di crittografia (vedi, ad esempio, la faccenda Telegram), e dato che ho già affrontato argomenti come TLS, S/MIME e crittografia generica nel precedente post (quello su DORA), assumendo che i lettori fossero già versati in queste arti magiche, ho deciso di fare un passo indietro. Forse una piccola lezione introduttiva sui diversi incantesimi potrebbe tornare utile. Del resto, se la crittografia fosse compresa da tutti, non ci sarebbe bisogno di lezioni extra, giusto?

Il Flusso dell’Email: Un Viaggio Magico dalla Penna alla Pergamena

Immagina che un utente “A” voglia mandare un messaggio incantato a un utente “B”. Potrebbe trattarsi di segreti aziendali, piani per conquistare il mondo, o semplicemente la ricetta per la pozione della felicità. Ma prima che il messaggio arrivi a destinazione, deve attraversare una serie di portali e guardiani magici. Ecco il viaggio semplificato che deve compiere:

Schema 1: Flusso Semplificato del Messaggio Magico

Utente “A” ➜ Messaggio per B da A ➜ Client di posta A ➜ Server posta A ➜ Email Security Gateway A ➜ Cloud ➜ Messaggio per B da A ➜ Email Security Gateway B ➜ Server di posta B ➜ Client di posta B ➜ Utente “B”

Come sappiamo, il viaggio incantato si sviluppa così:

L’utente A compone il suo incantesimo nel client di posta.

Il client di posta A formatta il messaggio incantato.

Il client di posta A si autentica sul server di posta A.

Il messaggio arriva al server di posta A via client di posta.

(Opzionale ma consigliato) Il server di posta A comunica con un gateway di sicurezza magica (A ovvio).

Il gateway di sicurezza verifica il messaggio e lo invia a destinazione dopo una serie di controlli magici:

Trova il destinatario (usualmente tramite incantesimi MX)
Firma DKIM per dimostrare l’autenticità del messaggio (importante per entrare nei favori di grandi stregoni come Google o Yahoo)
Controlli anti-malocchio, malware e altre malefatte arcane (argatto nelle prossime versioni).

Il gateway di sicurezza A del mittente “Utente A” contatta il security gateway B del destinatario “Utente B”.

I gateway scambiano informazioni e stabiliscono i parametri di connessione: Reputation del mittente (si fidano? Non si fidano?) Parametri di connessione SMTP (quante sessioni concorrenti, quanti messaggi contemporaneamente, ecc.) Verifica dell’esistenza del destinatario (il messaggio non finisce in un pozzo senza fondo).

Il gateway B effettua i suoi controlli di sicurezza magici (occhio, malocchio, prezzemolo e finocchio) e, finalmente, il messaggio incantato arriva al server di posta B.

Ecco allora che il Client di posta B chiama il suo magico server e preleva il messaggio

Ora l’utente B può finalmente accedere ai segreti misterici ed alla conoscenza arcana

Apprendista: “Maestro, mandare un messaggio non dovrebbe essere più semplice? Tipo… legare una pergamena a un gufo?”

Stregone: “Ah, giovane sciocco! Se usassimo i gufi per tutto, saremmo sommersi dalle piume e i segreti verrebbero rubati dalle gazze! Questa è arte complessa!”

STARTTLS: Il Mago della Crittografia Che Non Ama gli Eccessi

Immagina un mago un po’ insicuro e distratto, che invece di lanciare incantesimi potenti contro le forze del male, si avvicina timidamente e sussurra: “Ehm, potremmo aggiungere un po’ di sicurezza, per favore?” Ecco, questo è STARTTLS.

Cos’è STARTTLS?

STARTTLS è come un incantesimo che trasforma una normale conversazione tra due maghi in un dialogo criptato. Ma attenzione, non è un mago esperto di crittografia nativo (come HTTPS per i siti web). STARTTLS è più un trucco da mago di periferia: chiede gentilmente a due server di posta di iniziare a parlare in codice, sperando che nessun curioso riesca a origliare nel frattempo.

Il problema con STARTTLS?

Come ogni mago un po’ svogliato, STARTTLS non è infallibile. Se un cattivo stregone riesce a intrufolarsi prima che l’incantesimo sia completo, potrebbe convincere i server a non usare affatto la crittografia. E qui il nostro mago si ritrova con le mani vuote, senza nemmeno una pozione di emergenza!

NOTA: Se vuoi approfondire le avventure di STARTTLS e capire meglio come funziona (o non funziona), puoi leggere la RFC 3207. Ma attenzione: potresti trovare più tecnicismi che magie.

Apprendista: “Maestro, se STARTTLS è così incerto, perché lo usiamo?”

Stregone: “Perché è meglio che lasciare le porte del castello aperte, giovanotto. Anche una catena arrugginita è meglio di nessuna catena!”

TLS: Il Guardiano Armato delle Pergamene Magiche

Quando può STARTTLS è però in grado di richiamare un potente incantesimo che si chiama TLS. Immagina un guardiano super efficiente, sempre armato di scudo e spada, pronto a proteggere il ponte ove transitano le tue email come se fossero grimori preziosi. Questo è TLS, il vero protettore delle strade delle pergamene digitali!

Cos’è TLS?

TLS (Transport Layer Security) è come quel buttafuori del castello più esclusivo del regno. È lì per assicurarsi che solo gli invitati possano entrare e che nessuno possa sbirciare nei corridoi segreti. Nel contesto dell’invio di email, TLS crea un tunnel sicuro tra il server di posta che invia e quello che riceve. In altre parole, garantisce che le tue pergamene digitali viaggino in sicurezza attraverso il regno, lontane dagli sguardi indiscreti di maghi malvagi e altri “spioni” digitali.

Il fascino e le limitazioni di TLS

Ma attenzione: TLS non è invincibile. Certo, è molto bravo nel suo lavoro, ma ogni tanto può essere un po’ troppo fiducioso. Per esempio, potrebbe lasciare la porta del castello socchiusa se il server ricevente non è altrettanto protetto o se i protocolli di sicurezza non sono aggiornati. È come se il nostro guardiano stesse prendendo una pausa per sorseggiare un po’ di idromele mentre dovrebbe essere di guardia!

Per i curiosi: TLS è molto più sofisticato di quanto sembri. Usa una combinazione di crittografia simmetrica e asimmetrica e autentica i server per garantire che nessuno possa fingere di essere qualcun altro. Insomma, TLS è sempre un passo avanti rispetto ai malintenzionati… a meno che non stia facendo una pausa per un cappuccino!

schema 2: Introduzione del flusso con STARTTLS

Utente “A” ➜ Messaggio per B da A ➜ Client di posta A ➜ Server posta A ➜ STARTTLS (se accettato, bene, se no, in chiaro)➜ Email Security Gateway A ➜ Cloud ➜ STARTTLS (se accettato, bene, se no, in chiaro) ➜ Messaggio per B da A ➜ Email Security Gateway B ➜ STARTTLS (se accettato, bene, se no, in chiaro)➜ Server di posta B ➜ Client di posta B ➜ Utente B

Apprendista: “Maestro, TLS sembra un po’ troppo rilassato. È davvero sicuro?”

Stregone: “Ah, giovane incauto! Anche il più forte dei guardiani ha bisogno di un po’ di riposo. Ma un buon TLS sa sempre quando rimettersi in guardia!”

DKIM vs S/MIME: La Sfida degli Stregoni delle Email!

Nel mondo delle email sicure, abbiamo due potenti stregoni che proteggono i tuoi messaggi con tecniche molto diverse, ma entrambe efficaci. Da una parte c’è DKIM, il mago che appone la sua firma digitale unica su ogni messaggio. Dall’altra, S/MIME, il maestro delle arti segrete, che protegge il contenuto delle email con crittografia e sigilli magici. Preparati per un duello epico!

DKIM: Il Mago Firmatario delle Email

Cos’è DKIM? DKIM (DomainKeys Identified Mail) è come un mago del regno delle email. Ogni volta che invii un’email, DKIM tira fuori la sua piuma magica e appone un sigillo digitale dal tuo dominio. In pratica, DKIM dice al server di posta che riceve: “Ehi, questa email è davvero mia! Guarda, c’è il mio sigillo! e nessuno la ha modificata!”
Compatibilità? DKIM è un tipo molto affabile. È compatibile con la maggior parte dei server di posta elettronica perché lavora dietro le quinte. Non richiede configurazioni speciali per gli utenti finali, quindi è come avere un amico che si occupa della sicurezza senza fare troppo rumore.

S/MIME: Il Maestro delle Arti Segrete

schema 3: Flusso di funzionamento di S/MIME

Cos’è S/MIME? S/MIME (Secure/Multipurpose Internet Mail Extensions) è il mago supremo delle email. Armato di incantesimi di crittografia e sigilli digitali, S/MIME non solo assicura che il mittente sia legittimo, ma protegge anche il contenuto del messaggio con una crittografia che solo il destinatario può decifrare. Nessuno può leggere o modificare l’email senza essere scoperto.
Compatibilità? S/MIME può essere un po’ esigente. Non tutti i client di posta elettronica sono pronti a supportare i suoi incantesimi avanzati. Ha bisogno che tu installi certificati digitali sui tuoi dispositivi (un po’ come ottenere una licenza magica costosa e difficile da ottenere). In altre parole, è un po’ come invitare un mago a una festa: devi sapere esattamente cosa stai facendo per evitare di fare brutta figura! E attento, parlare da A a B è diverso che parlare da B ad A. Ti occorrono certificati magici, per ogni destinatario

Differenze Chiave tra DKIM e S/MIME

La differenza tra i due stregoni delle email è fondamentale: DKIM si concentra sull’autenticità del mittente, assicurandosi che il messaggio provenga davvero dal dominio dichiarato certificando il fatto che non sia stato alterato, mentre S/MIME protegge sia l’identità del mittente che il contenuto del messaggio, assicurandosi che solo il destinatario legittimo possa leggerlo.

DKIM è come un sigillo su una lettera: “Questo viene davvero da me.” e ti da la certezza che non abbiano cambiato le parole neanche con un potente incantesimo
S/MIME invece è come un baule magico chiuso a chiave con un messaggio che dice: “Questo è da parte mia ed è solo per te.” dentro c’è la pergamena ma la chiave per aprire e leggere il messaggio deve arrivare ed essere conservata

Compatibilità e Collaborazione

DKIM e S/MIME non sono rivali; anzi, possono lavorare insieme! DKIM si occupa dell’autenticità del mittente e della sua reputazione, mentre S/MIME protegge il contenuto del messaggio. Insieme creano una combinazione potente di sicurezza e affidabilità per le tue comunicazioni digitali.

Per chi vuole esplorare i dettagli tecnici e scoprire tutti i segreti dietro questi incantesimi:

DKIM: Dai un’occhiata alla RFC 6376.
S/MIME: Puoi leggere di più su RFC 5751.

Apprendista: “Maestro, DKIM sembra troppo semplice, mentre S/MIME è troppo complicato. Quale dovremmo usare?”

Stregone: “Ah, giovane ingenuo! La semplicità è la chiave della saggezza, ma la complessità è il segreto della protezione. Impara a usare entrambi e sarai invincibile!”

Implementare DKIM e S/MIME: Una Commedia degli Errori nel Mondo delle Email!

Immagina di dover organizzare una festa magica con un cast di stregoni che parlano lingue diverse, usano bacchette diverse, e devono anche ballare mentre incantano. Ecco cosa significa implementare DKIM e S/MIME per la crittografia delle email in diversi scenari: gateway-to-gateway, gateway-to-desktop, e desktop-to-desktop. Preparati per una giostra di confusioni, risate e qualche lacrima (di disperazione).

DKIM: Il Mago del Sigillo Incomprensibile

Gateway to Gateway: Implementare DKIM tra due gateway di posta elettronica è un po’ come organizzare uno spettacolo di magia tra due teatri lontani. Il mago (DKIM) firma ogni email con il suo sigillo digitale prima di mandarla in viaggio. Tutto sembra perfetto finché il mago non scopre che all’altro capo del palco il suo assistente non sa leggere il sigillo. Magari non ha aggiornato le chiavi pubbliche o ha dimenticato di configurare correttamente il DNS. E così lo spettacolo deve essere sospeso mentre tutti cercano di capire chi ha fatto cosa e perché il coniglio è scomparso dal cilindro. Il destinatario deve decidere cosa fare del sigillo, lo rispetto o lo ignoro? per fortuna la mail rimane leggibile in tutti e 2 i casi (forse), ma se il sigillo lo ignoro non saprò mai se il messaggio è stato modificato o meno.

S/MIME: Il Mago delle Arti Oscure con le Mani Legate

Gateway to Gateway: Parliamo di S/MIME tra gateway: qui il mago si ritrova a una festa elegante con un vestito da combattimento completo. Ha tutti i suoi incantesimi criptografici pronti, ma c’è un problema: il gateway non sa come usare questi incantesimi. “Aspetta, cosa sono questi certificati? Devo firmare ogni messaggio? Devo crittografare ogni byte?” E mentre i gateway litigano su chi deve fare cosa, il mago se ne va frustrato senza aver lanciato nemmeno un incantesimo. A meno che esista una magia che associ un utente al suo messaggio, e cosi il mago possa associare quel messaggio di quell’utente all’incantesimo S\MIME. sempre sperando che il destinatario sia capace di fare altrettanto. e questo per ogni destinatario. quanto potere magico impiegato.

Gateway to Desktop: Quando il mago di S/MIME cerca di operare tra un gateway e un desktop, le cose si complicano ancora di più. Qui il mago deve lanciare una serie di incantesimi complicati — firmare digitalmente le email e criptarle — e sperare che il desktop capisca cosa sta succedendo. Ma se il client di posta elettronica del desktop non è configurato correttamente (e non lo è mai!), il mago si ritrova a combattere con una bacchetta difettosa. Gli utenti vedono messaggi criptati che appaiono come geroglifici egizi e l’unica cosa che viene decifrata è il loro mal di testa. E se gli chiedi: e i certificati? Mediamente ti presenta quello medico.
Desktop to Desktop: Implementare S/MIME desktop-to-desktop è come organizzare un duello tra due maghi, ciascuno armato fino ai denti ma chiusi in stanze separate e senza chiavi per comunicare. Ogni desktop deve avere il proprio certificato e ogni certificato deve essere riconosciuto dall’altro desktop. Naturalmente, quando i maghi finalmente riescono a incontrarsi, scoprono che i certificati sono scaduti o, peggio, non sono compatibili. È una danza di frustrazione e di “Perché diavolo non funziona?” mentre i maghi si lanciano incantesimi cifrati che nessuno riesce mai a decifrare. e hai un mago per desktop e un diavolo per capello (ok io son calvo, oco mi importa)

Apprendista: “Maestro, implementare questi incantesimi sembra una vera sfida!”

Stregone: “Oh, giovanotto, benvenuto nel mondo della crittografia! Qui, anche il mago più potente ha bisogno di un manuale d’istruzioni.”

Le Millemila Soluzioni di Crittografia sul Mercato: Streghe e Stregoni Digitali in Azione!

Nel vasto mondo della crittografia delle email, ci sono innumerevoli incantatori digitali — o, se preferite, streghe e stregoni moderni — ognuno con la propria bacchetta magica (o algoritmo) per proteggere i tuoi messaggi. Come in ogni buona fiaba, però, non tutte le magie sono create uguali, e alcune richiedono ingredienti segreti, mentre altre sono gratuite ma con qualche “ingrediente” nascosto. Vediamo insieme alcuni incantesimi disponibili:

1. OpenPGP: La Strega del Borgo con l’Erbario Completo

Descrizione: OpenPGP è come quella strega vecchia scuola che conosce tutte le erbe giuste per ogni pozione e conserva ogni foglia in un libro magico (il tuo desktop). Questo incantesimo open source ti permette di firmare e criptare email utilizzando un sistema di chiavi pubbliche e private.
Chiavi Asimmetriche: OpenPGP è ossessionato dalle chiavi: ce n’è una pubblica, una privata, e probabilmente anche una per la cantina. Problemi? La gestione di tutte queste chiavi è un incubo logistico. Se una delle chiavi finisce nelle mani sbagliate, addio sicurezza!
Non-repudiation: OpenPGP è molto bravo a dimostrare che un messaggio è stato davvero inviato da te… sempre che tu riesca a dimostrare di avere ancora la tua chiave privata. Se perdi le chiavi o se vengono compromesse, le tue prove vanno in fumo!
Costo: Open Source e Gratuito. Tuttavia, l’erbario di chiavi può diventare un po’ pesante da gestire, e potresti aver bisogno di un apprendista per mantenere tutto in ordine. I costi indiretti includono la formazione e la gestione dei keyring (gli anelli delle chiavi magiche), che richiedono tempo e pazienza.
Compatibilità: Funziona meglio quando entrambe le parti sono pronte a scambiarsi chiavi pubbliche e a riconoscere la magia dell’altro. Se una delle due parti non sa usare bene la bacchetta, la magia rischia di svanire.

2. PGP (Pretty Good Privacy): Lo Stregone Misterioso con Troppi Forzieri

Descrizione: PGP è lo stregone che ha tutto sotto controllo, ma nasconde i suoi incantesimi in numerosi forzieri sparsi per il suo laboratorio (il tuo desktop). Utilizza chiavi asimmetriche per proteggere le email, ma è anche dotato di chiavi simmetriche autogenerate per ogni messaggio, giusto per aggiungere un po’ di pepe.
Chiavi Asimmetriche con Chiavi Simmetriche Autogenerate: PGP adora complicare le cose. Per ogni messaggio, c’è una chiave segreta… che viene poi protetta da un’altra chiave! Problemi? È come proteggere una cassa del tesoro con una combinazione di lucchetti e serrature: funziona, ma è una scocciatura immensa.
Non-repudiation: In teoria, PGP offre non-repudiation solida… ma solo se riesci a tenere traccia di tutte quelle chiavi e se non affondano con la tua nave (ehm, desktop).
Costo: A pagamento. Diverse implementazioni, come Symantec Encryption Desktop, richiedono una tassa per i loro incantesimi avanzati. Costi indiretti: Potresti dover acquistare certificati digitali da autorità di certificazione (pensalo come pagare un tributo al Gran Consiglio dei Maghi per ottenere la loro approvazione).
Compatibilità: Molto utile quando il mittente e il destinatario sono entrambi stregoni esperti che sanno come usare le loro chiavi magiche. Se invece hai a che fare con maghi alle prime armi, aspettati un sacco di incantesimi falliti e confusioni.

3. Proofpoint Encryption: La Fata Madrina della Crittografia con il Tocco Magico

Descrizione: Proofpoint Encryption è come una fata madrina digitale che si occupa di tutto per te. Non devi nemmeno agitare la bacchetta: fa tutto lei dal gateway, senza invadere il tuo spazio (desktop). È una soluzione che genera chiavi simmetriche autogenerate per ogni messaggio e le gestisce con grazia e precisione.
Chiavi Simmetriche Autogenerate per Messaggio: Proofpoint è super efficiente: genera una chiave segreta per ogni messaggio e destinatario e la gestisce come un vero professionista. Problemi? Qui è tutto quasi perfetto. La chiave viene creata e distrutta con un click, e puoi anche settare un expiration date! Hai inviato per errore l’email alla persona sbagliata? Nessun problema, il nostro maggiordomo ti permette di “revocare” l’accesso: blocca la chiave, e il messaggio diventa illeggibile. È come avere un pulsante di annullamento magico!
Non-repudiation: Proofpoint offre non-repudiation in maniera discreta ma efficace. Ogni apertura di messaggio viene registrata nel suo database di fiducia, così sai esattamente chi ha letto cosa e quando. È come avere una telecamera di sicurezza digitale che monitora ogni passaggio. E tutto con la massima eleganza!
Costo: A pagamento. Proofpoint è una soluzione aziendale con un modello di pricing basato su abbonamento. Costi indiretti: Praticamente nessuno, poiché tutta la gestione delle chiavi e la sicurezza sono centralizzate e incluse nel servizio. È come avere una fata madrina che non chiede nulla in cambio… o quasi.
Compatibilità: Perfetto per le aziende che desiderano una protezione robusta senza doversi preoccupare di complessi rituali crittografici. Il destinatario non ha bisogno di installare software speciali: la fata madrina si occupa di tutto attraverso un portale web sicuro.

4. Zix Email Encryption: Il Guardiano del Tunnel Segreto

Descrizione: Zix è come un guardiano di un tunnel segreto tra due castelli (i gateway di posta). È specializzato nel proteggere la corrispondenza tra domini specifici, assicurandosi che solo i messaggi autorizzati possano attraversare il suo passaggio sicuro.
Chiavi Simmetriche Centralizzate: Zix utilizza chiavi simmetriche centralizzate per crittografare e decrittare i messaggi tra i gateway di posta elettronica. Problemi? Devi fidarti del custode del tunnel (Zix) per gestire le chiavi e proteggere i tuoi messaggi.
Non-repudiation: Zix offre un buon livello di non-repudiation tracciando chi ha accesso al tunnel e monitorando ogni messaggio che passa. Non è il massimo del controllo granulare come Proofpoint, ma fa il suo lavoro con rigore.
Costo: A pagamento. Zix offre piani di abbonamento per utenti aziendali. Costi indiretti: Pochi, poiché l’infrastruttura di crittografia e gestione delle chiavi è inclusa nel servizio, ma ci potrebbe essere un costo se si decide di usare funzionalità avanzate o integrazioni personalizzate.
Compatibilità: Altamente efficace quando entrambe le parti utilizzano il suo sistema. Se una delle due parti non è cliente Zix, potrebbe essere necessario un incantesimo extra per aprire il portale di accesso sicuro.

Scambio tra Stregone e Apprendista:

Apprendista: “Maestro, con tutte queste opzioni, quale incantesimo di crittografia dovremmo scegliere?”

Stregone: “Ah, giovane apprendista, la scelta del giusto incantesimo dipende da chi sei, da cosa proteggi, e da quanto sei disposto a pagare per il privilegio. Ma ricorda: anche il più potente degli incantesimi è inutile se non sai come usarlo!”

Conclusioni: Come Scegliere la Tua Strega o il Tuo Stregone Digitale?

Quando si tratta di scegliere il giusto incantesimo di crittografia per la tua azienda o uso personale, ci sono alcune considerazioni importanti:

Facilità d’Uso: Se sei un novizio nel mondo della magia digitale, scegli un incantesimo facile da usare, come Proofpoint o Zix, che richiede meno competenze tecniche e gestisce la sicurezza per te.
Compatibilità: Assicurati che il tuo destinatario possa ricevere e decifrare il messaggio senza dover imparare formule magiche complicate. Soluzioni come Proofpoint e Sophos Email Encryption sono ideali per chiunque non voglia fare un corso accelerato di crittografia.
Costo e Costi Indiretti: Considera il budget. Le soluzioni open source come OpenPGP sono gratuite ma potrebbero richiedere tempo e competenza per essere utilizzate correttamente. Le soluzioni a pagamento come Proofpoint offrono un’esperienza più fluida, ma a un prezzo.
Scopo e Bisogni: Cosa devi proteggere e da chi? Se stai scambiando segreti aziendali con altre aziende (o meglio, castelli vicini), una soluzione gateway-to-gateway come Zix potrebbe essere perfetta. Se invece devi proteggere i dati degli utenti finali, una soluzione desktop-to-desktop come PGP potrebbe essere più appropriata.

Apprendista: “Si Ma quindi che implemento? Cosa serve? Che faccio?”

Stregone: “Mio ingenuo giovine Ora per essere sinceri devo dire che io sono un poco rigido in queste cose, tendo ad insultare malamente chi considera queste questioni secondarie e peggio mi adombro quando è evidente che non sanno di cosa si parli o a che serva anche se sono esperti di sechiuriti, ciberrobe e master in informesciontecnologi”

Stregone: Ma mettiamola cosi in maniera semplice persino per sopracitati

Connessioni SMTP: o usi TLS o secondo me hai dei problemi

Non esiste nessuna buona ragione per non usare TLS su SMTP se non che la controparte non sia in grado di gestire tali connessioni.

Ma, in questo caso, forse è meglio che non gli mandiate proprio posta elettronica, perché se tanto mi da tanto questi non hanno idea di cosa sia la sicurezza informatica.

Considerate che oramai persino Google e Yahoo (no, dico, Yahoo) non vogliono transazioni senza TLS.

Comunque STARTTLS è in grado di gestire magicamente la questione, scegliendo magicamente se usare TLS o meno col destinatario. lo fa chiedendoglielo e sperando che nessuno mago malvagio abbia già compromesso il castello del destinatario.

Se avete controparti specifiche particolarmente rognose (che so la BCE) il TLS obbligatorio con un bel certificato dedicato sarebbe indicato, anche per evitare il problema della gentilezza di STARTTLS.

Encryption da chi, a li a là

A meno che non siano fatti espliciti riferimenti a standard precisi (S\MIME) qui la questione è più fluida e la scelta molto dipende da con chi e perché si comunica.

In caso di Gateway to Gateway S\MIME lavora egregiamente, ovvio occorre un accordo e scambio di certificati tra le controparti

Ma se si tratta di connessioni estemporanee da dare in mano agli utenti la scelta è varia.

PGP e OpenPGP, ad esempio, van bene se le 2 parti che si scambiano messaggi sono senzienti. È vero che la chiave pubblica la metti nella firma, ma occorre che l’altra parte lo capisca. E se vuoi risposte altrettanto sicure deve essere in grado di fare lo stesso.

Stregone: “Vedi mio buon ascoltatore, il metro di giudizio non dovrebbe essere la tua capacità di discernimento, ma quella della famosa massaia di voghera a cui, non si capisce bene perché, tutti sentono il bisogno di mandare cose complicate.”

Quindi queste cose vanno bene per chi, pochi ma buoni, hanno un grado di adattabilità alla tecnologia superiore a quella di un utente medio.

Apprendista: “Come me maestro?”

Stregone: “Meno figliuolo, meno”

Se devi mandare messaggi ad una moltitudine di utenti vari ed avariati, per esempio comunicazioni sensibili, bollette o cose così, forse l’approccio PGP nelle sue forme non è il top.

Allora scelte legacy che permettano al mittente di leggere il messaggio anche se NON dispone di software specifici sono più indicate.

Se poi la scelta di encryption può essere controllata al gateway via policy o controlli meglio ancora, perché meno che del desitinatario ci si può fidare del mittente.

Stregone: “E ricordati che non ci si può fidare di nessuno, e spesso la colpa di ciò è tua”

Riflessioni Finali: Il Concilio dei Maghi della Crittografia

La sicurezza delle email è come una grande tavola rotonda di maghi e streghe digitali, ognuno con il suo libro degli incantesimi. Alcuni incantesimi richiedono complicati rituali, altri sono più semplici e immediati. L’importante è scegliere il giusto tipo di magia per le tue esigenze specifiche, evitando di complicare eccessivamente le cose o di lasciare porte aperte ai nemici.

In un mondo perfetto, tutti saprebbero fare un incantesimo di crittografia perfetto, ma nel mondo reale, ci affidiamo alle soluzioni che ci fanno sentire al sicuro senza doverci trasformare in maghi esperti. Quindi, scegli saggiamente il tuo stregone digitale, conosci le sue (e sopratutto tue) capacità e limitazioni, e proteggi le tue email come se fossero preziosi grimori!