PGP e PmMail

Scopo di questo articolo è guidare il lettore nell'installazione e configurazione di Pgp 2.6.3i per OS/2 al fine di utilizzarlo con PmMail (queste istruzioni valgono sia per le versioni 1.xx che per la nuova 2.00)

Nasce quindi come naturale seguito alla recensione scritta da Flora Staglianò e Stefano Tagliaferri su PmMail 1.96a, apparsa nel precedente numero di JustWarp .

NB: sebbene sia stata rilasciata la versione 5.0 di PGP per OS/2, non ho ancora avuto modo di testarla; queste istruzioni si riferiscono esplicitamente alla versione 2.6.3i.

Breve spiegazione dei termini usati

Frase chiave (Pass Phrase):
è analoga ad una parola chiave (password) ma molto più lunga e quindi praticamente impossibile da ricostruire. Deve rimanere assolutamente segreta!

Chiave pubblica (Public Key):
porzione di codice, ottenuto da PGP attraverso l'elaborazione della "frase chiave", serve alla codifica del messaggio.
Deve essere inviata al nostro interlocutore (questi a sua volta dovrà mandarci la sua ) ed è detta pubblica in quanto non necessita della segretezza, vediamo il perché.

PGP codifica i messaggi in uscita usando la chiave pubblica del destinatario (ecco perché deve avvenire lo scambio reciproco delle chiavi pubbliche) e solo il destinatario legittimo sarà in grado di decodificarli.
Infatti unicamente chi è in possesso della "frase chiave" con cui è stata generata la "chiave pubblica" (che è servita per criptare il messaggio) sarà in grado di decodificarlo: il solo possesso della chiave pubblica non è sufficiente per invertire il processo di codifica (un po' come non è sufficiente invertire una combustione per riottenere un foglio di carta integro).

Firma digitale (Sign):
da non confondere con la "signature" usata normalmente in fondo al messaggio! Serve per certificare che il messaggio che riceviamo è stato inviato proprio dal nostro interlocutore e non da un "impostore".
Questa "certificazione" si ottiene inserendo una firma digitale che solo il proprietario della "frase chiave" può generare; la correttezza della firma digitale è verificata dal destinatario attraverso la chiave pubblica del mittente.

Impronta della chiave pubblica (pessima traduzione di Public Key Fingerprint):
potremmo aver ricevuto una chiave pubblica per vie traverse e non direttamente dal nostro interlocutore.
Questi può comunque aiutarci a verificare di essere in possesso della sua chiave pubblica non contraffatta attraverso un'impronta della stessa, cioè un'ulteriore sottoporzione di codice che può essere generata solo da chi possiede la "frase chiave".
Attraverso un'opzione di PGP potremo confrontare le due impronte (quella della chiave in nostro possesso e quella ricevuta) e verificarne la genuinitàsenza doverla reinserire.

Installare e configurare PGP

File utili per eseguire la configurazione di PGP:
     pgp-it.zip (15k)
     config.txt (6k)
     andrea.asc (1k, la mia chiave pubblica)

Creare la directory nella quale si desidera installare PGP e copiare in essa i seguenti file:
     pgp263i-os2.zip
     pgp-it.zip
Scompattare il file pgp263i-os2.zip e poi scompattare il file zip che viene creato: PGP263II.ZIP.
Ed infine scompattare anche il file pgp-it.zip.
NB: è importante che questo file sia scompattato per ultimo in modo da aggiornare alla lingua italiana i file dei messaggi.
Quindi copiare i file andrea.asc e config.txt nella directory di PGP, sovrascrivendo il precedente (l'unica differenza tra i due è l'impostazione della lingua italiana nella corrispondente riga).

Nel file CONFIG.SYS di OS/2 aggiungere le due righe seguenti:
     SET TZ=CET-1CDT,3,-1,0,7200,10,-1,0,10800,3600
     SET PGPPATH=E:\PGP
La prima delle due istruzioni deve sostituire quella eventualmente già presente; nel config.sys; questa imposta correttamente il Time Zone per l'Italia tenendo conto del cambio dell'ora legale.
NB: ovviamente occorre scrivere il percorso corretto nella seconda riga in modo che punti alla directory dove si è installato PGP.

A questo punto occorre resettare il PC.
NB: per avere un elenco completo dei comandi disponibili in PGP digitare pgp -h ; questo risulta utile in caso di modifiche, cancellazioni, ecc..., qui non trattate.

Al riavvio aprire una finestra comandi OS/2 e digitare il percorso della directory di PGP; bene, si stà per creare la propria passfrase!

Digitare pgp -kg (sta per PGP key generator).
Scegliere l'opzione 3 (chiave a 1024 bit) oppure digitare 2048 (anche se non presente tra le possibili opzioni) che permette di creare una chiave a 2048 bit.

Alla richiesta successiva scrivere il proprio nome cognome e il proprio indirizzo email; ad esempio:
Mario Rossi <mariorossi@email.it>
NB: compresi i simboli di minore e maggiore, proprio come scritto qui sopra.

Ora occorre digitare una "frase chiave": per sicurezza è bene SCRIVERLA PRIMA SU CARTA e seguire queste indicazioni:

non scrivetela troppo corta come si farebbe normalmente per una password, ad esempio non tipo "apriti sesamo", bensì una vera e propria frase, del tipo:
Anastasio era un signore un po' sciocco e Laura preferiva passeggiare con Marco, che aveva solo 3 occhi, mentre lei ne aveva gia' 9.
...be' magari anche un po' più corta, perché occorrerà scriverla altre volte anche durante l'uso normale;
quando la si digita non è possibile vederla sul monitor, inoltre ocorre reinserirla per verifica: quindi bisogna fare molta attenzione a maiuscole, minuscole, virgole ecc; le due battiture devono essere assolutamente identiche;
non spazientitevi se per caso vi segnala errori tra i due inserimenti, riprovare scrivendo molto lentamente (io l'ho dovuta riscrivere almeno quattro volte per colpa di vari errori di battitura...);
ripeto: conservate con cura il foglio su cui l'avete scritta, vi servirà ancora, più tardi, con PmMail.

Può darsi che vi chieda di battere dei tasti a caso, gli serve per generare la chiave segreta.
Se questo primo passo è stato completato correttamente si dovrebbe ricevere un messaggio di conferma.
Ora, digitando pgp -kv (che sta per key view), si può visualizzare il contenuto del "portachiavi": al momento c'è solo la vostra ma tra poco dovreste essere in grado di inserire anche la mia.

Digitare pgp -kxa vostroindirizzo@email nomefile (sta per key extract); ad esempio:
    pgp -kxa mariorossi@email.it mario
esattamente così, senza i segni di maggiore e minore usati prima.
Dove nomefile sarà il file che conterrà la vostra chiave pubblica, quella che potrete spedire a chi ne farà richiesta per inviarvi email criptate, è l'analogo di andrea.asc.
NB: l'estensione *.asc l'aggiunge PGP, non occorre scriverla.
Come risultato, quindi, nella directory di PGP, si avrà il file nomefile.asc contenente la vostra chiave pubblica.
Per il momento la lasciamo in attesa...

Ora inseriamo la mia chiave pubblica nel vostro portachiavi.
Dalla solita finestra OS/2 digitare: pgp -ka andrea.asc (sta per key add).
Se tutto è stato fatto correttamente, PGP segnalerà che ha trovato la mia chiave e vi chiederà di certificarla; cioè se siete sicuri che si tratti della mia chiave: potreste averla ricevuta per vie traverse e voler rifiutare il riconoscimento.
Date risposta affermativa digitando s a questa ed alle successive richieste di conferma.

Al termine di questa fase bisogna ridigitare la propria "frase chiave" e rispondere ad una domanda un po' "sibillina": cioè se ci si fida della persona, della quale si sta aggiungendo la chiave, come presentatore di chiavi pubbliche di altre persone.
Dopo aver deciso il livello di affidabilità del vostro corrispondente telematico, avete completato la fase di inserimento della sua chiave pubblica.

Ora, per verificare che ci siano entrambe le chiavi (la vostra e la mia) nel portachiavi, digitate di nuovo pgp -kv.

PmMail e PGP

Supponendo di usare il computer in un ambiente nel quale non ci si debba difendere da curiosità indiscrete, si può digitate la "frase chiave" nell'apposito campo: si vedranno come al solito solo degli asterischi, pertanto vi consiglio di scriverla prima usando l'editor di testo di sistema per poi copiarla in PmMail in modo da evitare errori di scrittura:

Per maggior sicurezza è comunque possibile scegliere di digitarla ogni volta che si invia un messaggio (...piuttosto scomoda come scelta), oppure che PmMail la richieda una sola volta per ogni sessione.

Per quanto riguarda le ultime quattro opzioni presenti, dopo aver effettuato un po' di prove, ho deciso di tenerle disabilitate. Vediamo comunque a cosa servono.

Inserisce la "firma digitale" in ogni messaggio; questo non è molto gradito a chi non ha un programma di posta elettronica abilitato per PGP, in quanto si ritrova in coda al testo del messaggio un bel po' di caratteri senza alcun significato.

Inserisce in coda ad ogni messaggio la vostra "chiave pubblica".

Inserisce in coda ad ogni messaggio la cosidetta "impronta" della vostra "chiave pubblica".

Quest'opzione fa apparire un avviso ogni volta che si invia un file come attachment di un messaggio criptato, infatti PmMail non attiva PGP sui file esterni, limitandosi al corpo del solo messaggio, per lo meno fino alla versione 2.00 inclusa.

Per concludere l'impostazione dei settaggi selezionare Ok.

Bene ora potete creare il vostro primo messaggio criptato:
aprite un nuovo messaggio, potete indirizzarlo a me [apenna@dns.4net.it] se non avete già la chiave pubblica di altre persone.
Scrivete quello che volete e, infine, attaccate il file che avete creato prima, nomefile.asc (quello contenente la vostra chiave pubblica).

Prima di inviarlo cliccare su Options presente nella barra dei menù del messaggio che si sta compilando e scegliere Security: potete abilitare la voce Sign, consigliabile, e ovviamente abilitare Encript.

Se avrete abilitato la quarta opzione (Warn about secutity issues) nella pagina dei settaggi, al momento dell'invio del messaggio verrà visualizzato un avviso per ricordare che i file in attachment non verranno criptati: nel caso specifico di questo messaggio non ci interessa, infatti la chiave che inviamo è quella pubblica.
Quindi è sufficiente dare l'OK e inviare il messaggio.

Se l'avrete inviato a me, riceverete una mia risposta, criptata usando la vostra chiave; cioè sarà un messaggio che solo voi sarete in grado di leggere.

C'è anche un altro modo per inviare la vostra chiave pubblica ed è quello offerto dall'opzione Encript - Include Public Key presente nel menù Options della finestra del messaggio che state per inviare (visibile nella figura precedente).

Questo permette al ricevente di usufruire di un secondo metodo per aggiungere la vostra chiave pubblica (altrettanto potete fare voi in ricezione, ovviamente): quando questa e' presente nel messaggio e' possibile, dal menù Tools della finestra del messaggio ricevuto, scegliere l'opzione per aggiungere la chiave al portachiavi: Add Public Key To Keyring, vedi figura.

PmMail identifica i messaggi scritti usando PGP (criptati o anche solo contenenti la chiave pubblica, la sua impronta o la firma digitale) con un'icona diversa: una chiave giallo-oro; in altri la chiave è di colore argento per indicare la compresenza di un "attachment".

Ma...

Nulla è perfetto e neanche i nostri due programmi lo sono; ad esempio potrà capitarvi di ricevere un messaggio pieno di caratteri senza senso: è un messaggio criptato che PGP non è stato in grado di decifrare pur dovendo, capita... soluzione: chiedete al mittente di rispedirvelo non criptato.
Qualche altra volta potrà non venir riconosciuta la "firma digitale" del mittente, oppure capita che PmMail identifichi un messaggio aperto successivamente ad uno criptato come inviato dal mittente precedente... è una sorta di memoria residua ;-) ma nulla di grave.
Non pensate che si tratti di un'installazione sbagliata, si tratta proprio di bachi presenti in uno dei due programmi, se non in entrambi.

NOTA: l'argomento PGP non può certo considerarsi "esaurito" in questo articolo in quanto sono molti gli aspetti (anche di carattere legale) connessi all'uso e alla distribuzione dello stesso. Se volete approfondirne la conoscenza è possibile trovare alcuni spunti nella mia homepage.

Grazie a Mauro Gatti per aver contributo a migliorare queste informazioni e a Paolo Basaglia per aver segnalato alcuni errori presenti nei link della stesura iniziale.