mercoledì 14 aprile 2021

Che cos’è l’e-mail crittografata e sicura?

L’email è stata inventata nel 1971 e da allora è cambiato molto poco. In quel periodo, è riuscito a diventare un grave rischio per la sicurezza per individui, governi e aziende private in tutto il mondo. Questo potrebbe spiegare la crescente popolarità dei cosiddetti provider di “posta elettronica sicura”.

Allora, cosa rende esattamente l’email sicura diversa dall’email normale?

Che cos’è l’e-mail crittografata e sicura?

L’e-mail sicura è essenzialmente un’e-mail normale con alcuni miglioramenti della sicurezza. La tecnologia dietro le quinte è in definitiva la stessa, il che significa che sai già come utilizzare un provider di posta elettronica sicuro. Continui a inviare messaggi a indirizzi con nome con @ e un dominio e ricevi ancora molto spam.

Per questo motivo, chiunque può definirsi un provider di posta elettronica sicuro. Non esiste una definizione del dizionario e anche la maggior parte dei principali provider di posta elettronica come Gmail e Outlook si considerano “sicuri” nonostante non siano all’altezza del marchio.

La maggior parte dei provider che utilizza il termine per descrivere il proprio servizio va ben oltre la richiesta di una password complessa o l’utilizzo dell’autenticazione a due fattori. La sicurezza, in questo senso, non riguarda solo impedire a qualcuno di accedere al tuo account, ma anche proteggere i tuoi dati e la tua identità.

Un provider di posta elettronica veramente sicuro non è in grado di leggere le tue conversazioni di posta elettronica. Idealmente dovrebbero trovarsi in una giurisdizione che non è soggetta alla condivisione dei dati tra le agenzie di intelligence. La tecnologia stessa sarebbe idealmente costruita su standard aperti per un approccio alla sicurezza “crowdsourcing”. Il servizio non dovrebbe profilarti, offrire annunci personalizzati o registrare metadati.

Questo è il motivo per cui Gmail, Outlook, Yahoo e la maggior parte degli altri provider di posta elettronica gratuiti e tradizionali non sono considerati veramente sicuri. Un provider di posta elettronica sicuro è “migliore” di Gmail in termini di sicurezza dei dati, ma ti perderai le funzionalità e le integrazioni profonde di Google. Lascia che le tue priorità decidano qual è l’opzione migliore.

Come ti proteggono i provider di posta elettronica sicuri?

La crittografia end-to-end è essenziale nella creazione di un sistema di posta elettronica veramente sicuro. Sebbene servizi come Gmail crittografino la connessione tra il tuo computer e il server, qualsiasi informazione che invii al server (incluso il contenuto dei tuoi messaggi) non viene crittografata quando arriva lì.

Tutte le conversazioni private (o segreti di stato) di cui stai discutendo rimarranno sui server di Google in un formato non crittografato. Se tali dati vengono rubati, ad esempio, in una fuga di dati, non è necessario decrittografarli prima di poter essere letti. Un provider sicuro crittograferà i dati sul server, rendendoli inutili per terze parti.

La mancanza di crittografia end-to-end significa che i provider di posta elettronica possono accedere ai contenuti dei tuoi messaggi e hanno utilizzato questo accesso in passato. Google ha precedentemente scansionato il contenuto dei messaggi di Gmail per scopi pubblicitari, ma ha interrotto la pratica in 2017. L’azienda ha continuato a scansionare la posta elettronica per alimentare servizi come (l’ormai defunto) Google Now. In quale altro modo l’assistente di Google potrà ricordarti del viaggio che stai per fare?

 

Anche il luogo in cui si trovano questi server potrebbe influire sul modo in cui tali dati vengono trattati. Come nel caso delle VPN, i servizi di posta elettronica più sicuri si trovano solitamente in paesi remoti o storicamente neutri. ProtonMail, ad esempio, si trova in Svizzera, dove le leggi sulla privacy sono notoriamente severe.

I servizi di posta elettronica situati negli Stati Uniti possono essere impugnati in tribunale per la consegna dei dati. Gli Stati Uniti fanno parte dell’alleanza dell’intelligence Five Eyes, insieme ad Australia, Canada, Regno Unito e Nuova Zelanda. I dati vengono regolarmente trasmessi tra diverse autorità in diverse giurisdizioni con il pretesto della sicurezza nazionale.

Anche il tipo di dati registrati insieme alla tua email può dire molto su di te. I metadati sono “dati sui dati” essenziali, come i timestamp su un’e-mail o la “firma” dell’agente utente lasciata dal browser che stai utilizzando. Non consapevolmente creare metadati, ma serve come traccia cartacea per quasi tutto ciò che fai online.

I servizi di posta elettronica sicuri elimineranno il maggior numero possibile di metadati dall’e-mail inviata. Ciò rende più difficile risalire all’origine di un messaggio e protegge ulteriormente l’identità della persona che lo invia.

Alcuni provider di posta elettronica sicuri integrano anche strumenti come Pretty Good Privacy (o PGP in breve) nelle loro interfacce. PGP ti consente di “bloccare” il contenuto di un messaggio in modo che possa essere letto solo da qualcuno con la chiave privata corretta. Se impostato correttamente, la tua e-mail apparirà normale, come testo normale leggibile. Se qualcuno senza la chiave dovesse intercettare il messaggio, sembrerebbe senza senso.

Infine, c’è un argomento da sostenere per la creazione di prodotti incentrati sulla sicurezza su software open source. Il codice sorgente che è stato rilasciato al pubblico può essere messo alla prova in un modo che il codice sorgente chiuso non può.

Quale servizio di posta elettronica sicuro è il migliore?

Non esiste un approccio unico per proteggere la posta elettronica. Esistono molti fornitori diversi, che offrono tutti diversi livelli di sicurezza a una varietà di fasce di prezzo. Il budget è qualcosa che probabilmente dovrai considerare poiché la maggior parte dei servizi non offre un’opzione gratuita generosa come Gmail o Outlook.com.

ProtonMail (account gratuito disponibile) è uno dei provider crittografati più noti e uno dei più maturi. I dati vengono crittografati su server situati in Svizzera, con la società che conduce controlli per garantire che gli utenti possano fidarsi delle sue protezioni. Il servizio è basato su tecnologia open source ed è disponibile un’app mobile dedicata per iPhone e Android (ma sfortunatamente non supporta le app di posta predefinite).

Tutanota (account gratuito disponibile) è un altro provider di posta elettronica sicuro altamente raccomandato, con un set di funzionalità (e un controllo) simile a ProtonMail. I server si trovano in Germania (l’azienda ha spiegato perché) e il servizio si basa su molte basi open source. C’è un avvertimento simile con l’accesso mobile in quanto è necessario utilizzare un’app dedicata per decrittografare la tua posta.

Posteo (nessun account gratuito) si trova anche in Germania e si è fatto un nome per essere un’alternativa più economica sia a ProtonMail che a Tutanota. Tutto è crittografato end-to-end, con supporto per l’implementazione di PGP per fornire ulteriore tranquillità. Non è inoltre necessario un nome, un indirizzo email di backup o altre informazioni di identificazione per creare un account.

Ci sono molti altri provider di posta elettronica sicuri tra cui scegliere (troppi per elencarli qui), inclusi Mailfence, mailbox.org, Fastmail e CounterMail. Dovresti pensare seriamente al servizio di posta elettronica sicuro che scegli, proprio come faresti se scegliessi una VPN.

È meglio scegliere un fornitore affermato con una solida esperienza data la natura di questo tipo di servizio. Uno di questi fornitori con sede in Islanda, chiamato UnSeen, è scomparso senza lasciare traccia negli ultimi tempi 2020, solo per riapparire con un taiwanese nome di dominio, che ha portato a ogni sorta di speculazione e sfiducia.

Hai bisogno di un provider di posta elettronica sicuro?

Se hai bisogno di un provider di posta elettronica sicuro, probabilmente lo conosci già. Forse sei un giornalista e sei preoccupato per le citazioni in giudizio che espongono fonti e materiali privati. Forse sei il prossimo Edward Snowden.

Per la maggior parte delle persone, un provider di posta elettronica sicuro probabilmente non è necessario. Fornirà tranquillità al costo di alcune funzionalità, convenienza e denaro. Il tuo provider di posta elettronica non sarà in grado di vedere i contenuti dei tuoi messaggi e sarà più facile comunicare con le persone con crittografia end-to-end. (Potresti, ovviamente, usare Signal anche per comunicare con la crittografia end-to-end.) Se valga la pena, dipende da te.

Ma se la tua motivazione principale è la sicurezza, tieni presente che è più probabile che tu cada vittima di attacchi di ingegneria sociale rispetto alle violazioni dei dati e-mail.