Il programma PGP Pretty Good Privacy consente la protezione delle email, grazie a un’infrastruttura a chiave pubblica per la cifratura del contenuto della posta elettronica.
Si tratta di uno strumento molto importante, visto che la posta elettronica oggi è indispensabile per cittadini e aziende. E visto che le nostre caselle email sono crocevia di una quantità enorme di informazioni da proteggere.
Il problema principale di queste soluzioni, tuttavia, resta la scarsa fruibilità. Purtroppo, questi strumenti sono spesso di non semplice comprensione e utilizzo da parte dell’utente medio.
Tra i client PGP più popolari vi è senza dubbio Mailvelope, che consente in maniera relativamente semplice di proteggere il contenuto delle nostre email.
PGP Pretty Good Privacy, i risultati di un esperimento con Mailvelope
Un gruppo di ricercatori statunitensi della Brigham Young University, attraverso uno studio dal titolo Why Johnny still can’t Encrypt: Evaluating the usability of a modern PGP client, ha dimostrato quanto questa tipologia di tool sia poco usabile dagli utenti.
A un gruppo di 20 individui è stato chiesto di formare delle coppie per stabilire una comunicazione a mezzo email, protetta mediante Mailvelope. L’esperimento consentiva nel chiedere a ciascun individuo di inviare una mail cifrata al proprio partner. Ciascuno di loro aveva a disposizione un’ora per mettere in piedi l’ambiente necessario all’invio sicuro delle mail (generazione delle chiavi PGP e scambio del messaggio cifrato tra i due interlocutori). A sorpresa, solo una coppia di utenti è riuscita a scambiare email in tutta sicurezza usando il software. Si è trattato dell’unica coppia in cui un componente avesse nozioni di crittografia e infrastrutture a chiave pubblica.
I ricercatori suggeriscono l’integrazione di tutorial nell’applicazione Mailvelope per aiutare i nuovi utenti a svolgere le principali fasi di installazione e uso.
Addirittura lo stesso creatore del PGP, Phil Zimmerman, non usa l’attuale versione del software, acquisita da Symantec nel 2010, perché incompatibile con il suo Mac.
Vale la pena ricordare che Mailvelope è il sistema per la protezione delle email suggerito dall’organizzazione Electronic Frontier Foundation, che da sempre si adopera per la difesa della privacy e la sicurezza degli utenti in Rete.
Mailvelope è probabilmente l’applicazione più usabile per la cifratura delle email. Il suo plugin è integrato nel browser Chrome e dalla maggior parte degli utenti è considerato di più semplice uso rispetto ad applicazioni GPG.
Così come è oggi, il PGP risulta ancora troppo difficile da usare e le ripercussioni sulla sicurezza complessiva delle nostre missive digitali possono essere serie.
Tra i problemi principali riscontrati c’è la difficoltà di stabilire una comunicazione protetta a mezzo mail quando uno degli interlocutori non ha mai usato alcuna tecnologia per la protezione della posta elettronica.
I ricercatori hanno raccomandato ai gestori dei client PGP di implementare strumenti che consentano di superare queste difficoltà iniziali. Ad esempio, facendo sì che l’interlocutore più esperto possa inviare una mail preconfezionata al destinatario, con le istruzioni per installare il client PGP e generare la chiave pubblica da condividere con gli interlocutori.
Altri errori comuni derivano dall’uso scorretto delle chiavi, ad esempio utilizzando la propria chiave pubblica per cifrare messaggi di posta.
Nell’esperimento si è verificato addirittura il caso di un partecipante che ha inviato al suo interlocutore la sua chiave privata e la password del suo archivio delle chiavi, nel disperato tentativo di farsi aiutare a decifrare il messaggio.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef
