A/I :: 20021125-crittografia

From: Autistici/Inventati
Subject: [Avviso] Caselle mail + sicure.
Message-ID: <200211256120714.GF21169@autistici.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859–1
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Precedence: bulk
Reply-To: info@paranoici.org
Date: Tue, 25 Nov 2002 19:19:19 +0200

—————————-
Autistici/Inventati
Privacy Self-Defense
——————————

- sulla privacy.
– i rischi della TUA casella di posta elettronica: consigli.
. il percorso delle email.
. leggere la posta, il confine tra il bene e il male.
– suggerimenti tecnici e crittografia
– ricapitolando
– server commerciali e server indipendenti: sottigliezze
– riferimenti tecnici

——————————-
*** Sulla privacy ***

Nell’ordinanza di custodia cautelare consegnata agli arrestati di
Cosenza si fa esplicito riferimento alle discussioni degli indagati
circa la possibilita’ di cifrare le proprie missive e si valuta questo
fatto come una precisa indicazione della loro volonta’ di compiere
azioni illegali.
La stessa inchiesta ha condotto all’intercettazione di 60.000 email.

Non possiamo accettare che la tutela della propria privacy cada a colpi
di ragion di stato, tra teoremi inquisitori e lo spauracchio del
terrorismo.

In un sistema di cose nel quale il controllo viene sempre piu’ imposto
come la panacea di tutti i mali, vorremmo cercare di fare chiarezza sui
pericoli che la comunicazione via email comporta, e le contromisure che
e’ possibile adottare.

———————————————-
*** il percorso delle email ***

Leggi attentamente questa mail perche’ la tua posta elettronica e’
a rischio in vari modi:

quando spedisci un messaggio, per prima cosa il client di posta che usi
contatta un server attraverso un protocollo detto SMTP e trasferisce a
quest’ultimo il messaggio. Questo trasferimento – di solito – avviene in
chiaro (nessun tipo di cifratura viene applicato al messaggio).

Il server SMTP a sua volta contatta il server di destinazione, e il
passaggio attraverso la rete e’ di nuovo in chiaro.

A questo punto il messaggio e’ passato da una macchina all’altra, e
risiede presso il tuo fornitore di casella postale.

Normalmente i fornitori di questo tipo di servizi mantengono traccia (i
famosi log)
di queste operazioni, quindi e’ possibile risalire alle mail che hai
spedito un certo giorno, ad una certa ora, ad una certa persona, o
viceversa a quelle che hai ricevuto.

——————————————————————————————-
*** leggere la posta, il confine tra il bene e il male ***

Quando scarichi e leggi la posta presso la tua casella postale utilizzi
solitamente uno di questi due metodi:

1) attraverso il web, da un semplice browser.
2) con un programma apposito utilizzando i protocolli POP3 o IMAP.

Sia nel primo caso che nel secondo, senza particolare accorgimenti,
tutto il traffico e’ di nuovo in chiaro, la tua password passera’ in
chiaro ed i messaggi passeranno dalla macchina del tuo fornitore di
servizio al tuo pc in chiaro.

Il rischio si articola dunque su due livelli:

In primo luogo, durante le sue peregrinazioni attraverso la rete, il
messaggio puo’ essere intercettato e letto.

In secondo luogo, durante le soste nei vari server, il messaggio e’
accessibile a chi ne abbia il controllo.

————————————————————-
*** soluzioni tecniche e crittografia ***

Per quanto riguarda il primo problema, puoi utilizzare canali
di comunicazione cifrati fra te ed i server che usi (SMTP con
supporto SSL, POP3s, IMAP su SSL).

Per quanto riguarda il secondo problema, la soluzione e’ utilizzare
programmi per la cifratura del contenuto delle email.

——————————-
*** ricapitolando ***

Quindi utilizza un software di crittografia per scrivere i messaggi
personali e configura il tuo programma di posta affinche’ riceva ed
invii posta in modo sicuro (SMTP con supporto SSL, POP3s, IMAP su
SSL).

Per cifrare i tuoi messaggi puoi utilizzare ad esempio GnPG
http://www.gnupg.org
oppure PGP
http://www.pgpi.org
Il primo e’ un programma opensource ed e’ frutto del lavoro
di una comunita’ di programmatori che, rendendo libero l’accesso
ai sorgenti del programma, ne garantisce l’affidabilita’. Il secondo
ha
una storia un po’ piu’ complicata: inizialmente veniva distribuito in
una modalita’ molto simile a quella di GnuPG, in seguito il programma
e’ passato sotto la gestione di una societa’ commerciale che ne ha
prima modificato le condizioni d’uso ed in seguito ha reso
impossibile
l’accesso ai sorgenti del programma stesso, impedendo alla comunita’
di
accertare l’assenza di errori ed eventuali sistemi di controllo e
monitoraggio inseriti dalla societa’ che distribuisce ora il
programma.
Vi consigliamo quindi di utilizzare GnuPG oppure le versioni piu’
vecchie di PGP (quelle antecedenti alla V6.5.8 compresa), per le