La comunicazione attraverso la posta elettronica è sempre più diffusa nelle aziende di ogni tipo. Queste talvolta dispongono di un loro server della posta, ma molto spesso si basano ancora sui servizi offerti da un fornitore d'accesso a Internet. I problemi relativi alla sicurezza non toccano più di tanto le reti intranet, utilizzate esclusivamente come sistema di comunicazione interno all'azienda. Tuttavia, è alquanto improbabile che chi dispone di un sistema di posta elettronica non abbia la necessità di comunicare anche con il mondo esterno. Proprio in questi casi è opportuno prendere in considerazione qualche forma di protezione. Sfortunatamente infatti la posta elettronica come mezzo di comunicazione è poco sicura, soprattutto quando si viaggia in una rete pubblica e insidiosa come Internet.

L'uso di un sistema di messaggistica aziendale come Exchange Server di Microsoft, Notes di Lotus o GroupWise di Novell offre comunque delle garanzie, grazie alla stretta integrazione con le impostazioni di sicurezza del sistema operativo su cui viene installato.

I dati memorizzati nel database della posta sono al sicuro, talvolta addirittura cifrati e sempre protetti da parole d'ordine ed elenchi di controllo dell'accesso che determinano con esattezza che è autorizzato ad accedere a determinati messaggi, ma appena esce all'esterno da auto blindata che era diviene una decappottabile con il tetto abbassato e il contenuto esposto alla curiosità di tutti.

L'uso di Internet ci pone di fronte a diversi problemi per quanto riguarda la posta elettronica. A tutti piacerebbe avere un controllo totale e assoluto sulla posta elettronica, ma ciò sarà impossibile fino a quando non saranno disponibili forme di sicurezza simili a quelle adottate per i documenti cartacei : autentificazione della firma, nastro adesivo firmato sulle buste, ricevuta di ritorno, eccetera. Anche in Internet la posta elettronica inizia ad aprirsi su queste possibilità.

PGP: nonostante il divieto di esportazione imposto dal governo degli Stati Uniti, PGP si è diffuso in tutto il mondo con sorprendente facilità. PGP è in circolazione da un bel pò ormai ed ha resistito alla prova del tempo oltre che agliinnumerevoli tentativi di violazione. Si può perciò affermare che si tratta della prima opzione da prendere in considerazione nella scelta di un standard per la crittatura. Sfrotunatamente per l'Italia e per molti paesi europei , è sottoposto al divieto di esportazione stabilito dal governo americano e risulyta perciò illegale esportarlo dagli Stati Uniti. Ma ciò non significa che non sia disponibile. Prova ne è la possibilità di scaricarlo attravero la rete. Un gruppo morvegese è riuscito addirittura ad aggirare il divieto e ha creato un sito, ubicato in Norvergia all'indirizzo http://www.pgpi.com, che contine molte informazioni, compresi diversi collegamenti interesaanti e le possibilità di prelevamenti dalla Rete. Per non essere da meno la Network associates che possiede la PGP Inc. ha approfittato della stessa scappatoia per aggirare l'embargo e creare un gruppo di lavoro in Svizzera per rendere PGP disponibile in tutto il mondo (http://www.pgpinternational.com).

Il Secure MIME (S/MIME, www.worldtalk.com) è uno standard per la posta elettronica sviluppato recentemente per garantire la trasmissione protetta delle nostre comunicazioni via Rete. Utilizzando una combinazione di sistemi cifrati e di firme digitali che proteggono contro tre tipi di violazioni della sicurezza: intercettazione, manomissione e falsificazione. Sono supportati vari livelli di cifratura e diversi tipi di firma digitale, il livello minimo è quello basato sulla cosiddetta chiave simmetrica.

Il problema nel caso della cifratura a chiave simmetrica è rappresentato dal principio su cui si basa che contiene in sé una contraddizione : entrambe le persone accedono alla stessa chiave segreta, dal momento che sia il mittente che il destinatario utilizzano la medesima chiave rispettivamente per cifrare e decifrare il messaggio. A questo inconveniente si può sopperire utilizzando la cifratura a chiave asimmetrica, un metodo che utilizza due chiavi. La chiave privata che rimane del mittente e una chiave pubblica che può essere diffusa liberamente. Dato che la chiave privata genera (mediante un complesso algoritmo) la chiave pubblica. Un messaggio cifrato con una ben determinata chiave pubblica può venire decifrato utilizzando solo la corrispondente chiave privata.

S/MIME e gli altri programmi per la sicurezza creati dalla WorldSecure possono inoltre fornire altre opzioni per la posta come ad esempio filtrare la posta in arrivo eliminando intasamenti della propria casella postale dati da pubblicità o da mittenti indesiderati.

Un punto molto debole di S/MIME è che si tratta di un sistema il cui codice sorgente non è stato reso pubblico (al contrario di PGP), perciò non c'è la possibilità da parte di esperti indipendenti di fare delle verifiche ne di trovare e risolvere errori.

Altri programmi per protezione della posta elettronica sono:

RPH INVISIMAIL è un programma basato su PGP che opera completamente sullo sfondo, perciò l'utente non deve attivarlo. Dal momento che è stato sviluppato in Nuova Zelanda non è sottoposto al divieto di esportazione statunitense. Funge da plug-in per i prodotti Microsoft e Netscape nonchè per Eudora, Pegasus e Calypso codificando automaticamente gli allegati oltre che il messaggio. Inoltre, autentica il mittente e verifica che il contenuto di ciascun messaggio non sia stato modificato durante la trasmissione. E' possibile scaricare una versione introduttiva gratuita dal sito http://www.invisimail.com/index.html

IRONWARE MAIL: Ironware Mail (http://aec-security.com) si tratta di uno strumento per la crittatura a se stante e codifica sia i file allegati che i messaggi di posta elettronica. E' compatibile con Windows 3.11, Windows 95 e Windows NT. Questo programma verifica anche l'autenticità delle firme allegate.

MAILSECURE (http://www.baltimore.ie/mailsecure.htm) funziona come plug-in per i programmi di posta elettronica esistente, è compatibile con S/MIME, il che significa che può inviare e ricevere messaggi codificati e firmati da molti prodotti inclusi (Outlook Express, Netscape Messenger eccetera) Quando si riceve un messaggio S/MIME, MailSecure lo decodifica automaticamente e mostra i vari elementi all'utente.

F-SECURE merita una menzione a parte in quanto sviluppato in Finlandia e offre una crittatura molto potente non soggetta ak divieto di esportazione. Consente di allegare messaggi codoficati alla posta elettronica ma funziona come sistema di crittatura anche al livello dei file di Windows 95, Windows NT e Windows 3.1x.

La crittatura correntemente utilizzata offre una grande sicurezza, tuttavia sebbene i sistemi di crittatura siano sempre più sicuri, le capacità dei pirati informatici si affinano di pari passo. anche quando non riescono a penetrare il messaggio, ricorrono ad altri metodi per sferrare i propri attacchi.

Quindi è molto importante non abbassare mai la guardia... e allo stesso tempo non diventare paranoici :o)

Torna al passaporto per la rete