I dati sensibili sono protetti al meglio dall’accesso di utenti estranei se vengono crittografati. Con EFS, Windows XP Professional offre un’opzione per la crittografia dei file, ma non è la soluzione ottimale per ogni scopo. Gli utenti di Windows XP Home non dispongono di questa funzione. Nel seguente articolo presentiamo programmi per vari scenari e mostriamo come utilizzarli in modo sensato.
Indice dei contenuti
Breve escursione nella crittografia
Durante la crittografia, il contenuto di un file viene alterato da un algoritmo in combinazione con una chiave (spesso indicata come password) in modo tale che il contenuto effettivo non sia più riconoscibile. Quando si decifra, il processo viene invertito. La scienza che sta alla base della crittografia e della decrittografia si chiama crittografia.
Varianti di crittografia
Esistono fondamentalmente 3 tipi di crittografia.
a.) Crittografia simmetrica
Con questa variante si utilizza la stessa chiave per la crittografia e la decrittografia. Solo utilizzando una chiave sufficientemente lunga e un algoritmo di crittografia sicuro, i file crittografati sono al sicuro dai cosiddetti “attacchi di forza bruta”, in cui vengono provate tutte le chiavi possibili una dopo l’altra. Attualmente, l’Advanced Enryption Standard (AES) è considerato sicuro e infrangibile. L’algoritmo è disponibile gratuitamente e può essere utilizzato in hardware e software senza costi di licenza. Anche Blowfish è attualmente considerato sicuro e funziona un po’ più velocemente di AES in vari test comparativi. D’altra parte, l’obsoleto DES non dovrebbe più essere utilizzato, perché con la sua lunghezza di chiave di soli 56 bit non è in grado di resistere a un attacco brute force più lungo. Da allora il DES è stato sostituito dall’AES.
b.) Crittografia asimmetrica
A differenza della crittografia simmetrica, la crittografia asimmetrica, nota anche come metodo a chiave pubblica, utilizza due chiavi. Ogni utente dispone di due chiavi: una pubblica e una privata.
I file vengono crittografati con la chiave pubblica e possono essere decifrati solo con la chiave privata. Se 2 utenti utilizzano il metodo della chiave pubblica, il mittente deve solo conoscere la chiave pubblica del destinatario per crittografare il file con essa. Il destinatario può quindi decifrare nuovamente il file solo con la sua chiave privata. Per tutti gli altri utenti, invece, il file è inutile perché manca la chiave privata. Ad esempio, l’Encryption File System (EFS) di Windows XP Professional o Windows Server 2003 utilizza il metodo di crittografia asimmetrica.
c.) Combinazione: crittografia ibrida
La crittografia ibrida è una combinazione di crittografia asimmetrica e simmetrica. In questo modo si sfruttano i vantaggi di entrambe le procedure: l’alta velocità per la crittografia simmetrica dei dati utente e la più sicura crittografia asimmetrica per la piccola chiave di sessione. Questa procedura è utilizzata, tra l’altro, nel protocollo di rete IPsec. I rappresentanti più noti della crittografia ibrida sono PGP (o GnuPG) e S/MIME.
Funziona così: un documento viene crittografato con una chiave simmetrica. Questa stessa chiave viene poi cifrata con la chiave pubblica del destinatario e può essere nuovamente decifrata solo con la chiave privata del destinatario. In questo modo si evita di dover criptare e decriptare grandi quantità di dati con il lento metodo asimmetrico. In questo modo è necessario criptare e decriptare solo la chiave della procedura simmetrica.
Se volete dare un’occhiata più da vicino alla crittografia, dovreste dare un’occhiata a CrypTool. CrypTool è un programma gratuito che aiuta ad applicare e analizzare le procedure crittografiche. In questo modo è possibile creare nuovi documenti e aprire e modificare ulteriormente quelli esistenti. Un documento può essere crittografato e decrittografato utilizzando diversi metodi di crittografia. Sono disponibili metodi di crittografia classici (ad esempio, il metodo di crittografia Caesar) e moderni (ad esempio, i metodi RSA e DES e i metodi basati sulle curve ellittiche).
 |
| CrypTool Fare clic sull’immagine per ingrandirla |
Programmi per la crittografia e la decrittografia di file e cartelle
Su WinTotal, nella sezione Crittografia e password, abbiamo una piccola selezione di programmi su questo argomento. La selezione non ha alcuna pretesa di completezza e include solo programmi che, a nostro avviso, appaiono particolarmente raccomandabili per la loro gamma di funzioni, il prezzo e le prestazioni.
Con i seguenti programmi è possibile criptare e decriptare facilmente i file. È necessaria solo la chiave segreta. Quando si invia il file, il destinatario deve utilizzare lo stesso programma per decifrarlo di nuovo, a meno che il programma di crittografia non sia in grado di creare un file eseguibile che richiede la chiave dopo un doppio clic e poi decifra il contenuto da solo.
Sicurezza avanzata dei file
Il semplice Advanced File Security cripta i file con l’algoritmo AES e un massimo di 256 bit. Il freeware, che può essere utilizzato anche in commercio, si integra nel menu contestuale di Explorer dopo l’installazione e può criptare e decriptare i file da qui.
 |
| Sicurezza avanzata dei file |
Il programma vero e proprio può essere avviato anche senza installazione ed è quindi adatto anche a supporti di dati mobili come le chiavette USB. Il file di origine può essere eliminato dopo la crittografia.
 |
| Sicurezza avanzata dei file Fare clic sull’immagine per ingrandirla |
Shareware, Tedesco, Download via WinTotal (purtroppo non è più freeware)
AxCrypt
AxCrypt, basato su una licenza open source, si integra anche nel menu contestuale dopo l’installazione.
 |
| AxCrypt |
Oltre alla crittografia e alla decrittografia con AES (128 bit), AxCrypt può anche crittografare i file come EXE. Il file crittografato in questo modo può essere decrittografato nuovamente dal destinatario senza bisogno di altro software dopo aver inserito la chiave.
 |
| AxCrypt |
Inoltre, il software è in grado di eliminare in modo sicuro i file esistenti con un trituratore di dati, sovrascrivendoli con contenuti casuali prima dell’eliminazione.
Open Source, Multilingua, Download via WinTotal
Crittografia gratuita Sophos
Sophos Free Encryption è la versione senza licenza di SafeGuard PrivateCrypto. Sophos Free Encryption offre anche la crittografia AES a 128 bit e può salvare i file crittografati come file EXE, che possono essere facoltativamente compressi. Tuttavia, il software è gratuito solo per uso privato.
Freeware per uso privato, tedesco/inglese, download da WinTotal
Il primo gruppo di programmi presentati è adatto solo per criptare singoli file o cartelle. Un altro metodo è quello di crittografare interi file container, a cui si può accedere come a un disco rigido. Il nostro preferito è il programma gratuito TrueCrypt. Un file contenitore è un file non visibile dall’esterno, che è crittografato all’interno, nasconde un file system con i dati effettivi e viene montato da TrueCrypt in modo simile a un’immagine ISO.
TrueCrypt
TrueCrypt, disponibile con licenza open source, crea volumi crittografati che possono essere montati nel sistema come normali dischi rigidi. Un volume può essere un file contenitore o un’unità reale (chiavetta USB, partizione del disco rigido). Senza decrittazione, né la struttura dei file né il contenuto dei volumi sono visibili.
 |
| TrueCrypt Fare clic sull’immagine per ingrandirla |
Nella schermata è possibile vedere un file contenitore da 199 MB con la lettera F: e una chiavetta USB da 509 MB, entrambi registrati come volumi crittografati. È possibile accedere a entrambi i volumi tramite le lettere E e F come a un normale disco rigido.
TrueCrypt è estremamente potente in termini di prestazioni e funzionalità. Le numerose opzioni sono tutte descritte in un dettagliato file PDF in inglese. Ad esempio, è possibile utilizzare le opzioni per determinare per quanto tempo i volumi sono accessibili se non c’è accesso in lettura o scrittura. Dopo xx minuti, TrueCrypt blocca i volumi e richiede di inserire nuovamente la chiave. Le funzioni più importanti di TrueCrypt sono accessibili tramite l’icona systray .
Open source, tedesco/inglese, download via WinTotal
Possibili aree di applicazione di TrueCrypt
Chiave USB con crittografia e NTFS come file system
Se, ad esempio, la chiavetta USB non offre la crittografia, si può semplicemente crittografarla in seguito con TrueCrypt. A tale scopo, fare clic su Crea volume.
 |
| Crea volume Fare clic sull’immagine per ingrandirla |
La seguente procedura guidata aiuta a creare un volume TrueCrypt.
Nota: I volumi nascosti sono una funzione speciale di TrueCrypt. In questo caso, il programma nasconde un file contenitore crittografato all’interno di un file contenitore crittografato. A seconda della password inserita, viene aperto il file esterno o quello interno. In questo modo, se doveste essere costretti a fornire una password, potreste anche rivelare in modo sicuro la password presumibilmente corretta senza destare sospetti.
Nella finestra di dialogo seguente, selezionate la destinazione del volume. Per una chiavetta USB, fare clic su Volume dati e selezionare il volume dati corrispondente (nell’esempio U:).
 |
| Selezionare il supporto dati Fare clic sull’immagine per ingrandirla |
Nella finestra di dialogo successiva è possibile selezionare l’algoritmo di crittografia, tra cui AES e BlowFish.
 |
| Selezionare l’algoritmo di crittografia Fare clic sull’immagine per ingrandirla |
A seconda dell’algoritmo utilizzato, cambia anche la velocità di scrittura e lettura sul volume. Con il pulsante “Benchmark Test” è possibile verificare la velocità in base all’algoritmo. Di norma, si dovrebbe selezionare AES o Blowfish.
Nella finestra di dialogo per la formattazione del volume, è possibile specificare anche il file system del volume. In questo modo è possibile lavorare con NTFS anche su chiavette USB che normalmente offrono solo FAT come file system.
 |
| Selezionare il formato Fare clic sull’immagine per ingrandirla |
Al termine della formattazione, è possibile selezionare il volume appena creato nella finestra del programma facendo clic sul pulsante “Disco” e montarlo come unità. La lettera da utilizzare è definita dall’utente stesso.
 |
| Montare il volume come unità Fare clic sull’immagine per ingrandirla |
Se ora fate clic su “Monta” nell’esempio, il volume della chiavetta USB verrà registrato nel sistema come supporto dati NTFS con la lettera E:.
Volumi virtuali tramite file contenitore
Un’altra area di applicazione è l’uso dei file contenitore. Anche questi possono essere creati tramite la procedura guidata. In questo caso, però, si seleziona “File” come destinazione e si assegna un nome proprio. A differenza dell’esempio precedente, questa volta si definiscono le dimensioni del volume.
 |
| Volume come file contenitore Fare clic sull’immagine per ingrandirla |
È possibile montare il volume finito come file contenitore e indirizzarlo come un disco rigido.
|
| TrueCrypt con volumi montati Fare clic sull’immagine per ingrandirla |
Traveller Disk in azione
Un’altra specialità di TrueCrypt è la funzione Traveller Disk. Con essa è possibile dotare un supporto dati di una funzione di avvio automatico. La procedura guidata copia tutti i file necessari e un file autorun.inf su un supporto dati e può montare automaticamente un volume.
 |
| Crea disco viaggiatore |
Nell’esempio, copiamo i file di Traveller Disk su una chiavetta USB (lettera U:) e specifichiamo che deve montare automaticamente il volume virtuale “Container” nel percorso c: con la prima lettera di unità libera. Se la chiavetta USB viene inserita, è sufficiente inserire la chiave per avere accesso al volume “container”.
Si potrebbero anche masterizzare i file del disco del viaggiatore insieme a un volume su un CD/DVD, ma in questo caso si dovrebbe lavorare con percorsi relativi (ad esempio homedata) nel percorso “mount option”. Se si inserisce un CD/DVD di questo tipo, un volume su di esso verrà montato automaticamente non appena si inserisce la chiave.
Con l’aiuto del disco di viaggio su una chiavetta USB o un dischetto, insieme a un volume in un file contenitore, è possibile memorizzare in modo sicuro i dati privati sul PC aziendale (se consentito), proteggendoli dall’accesso di altri dipendenti e amministratori. Poiché è possibile scegliere liberamente il nome del file contenitore, questi file possono essere nascosti in modo discreto nelle profondità del disco rigido. Chi sospetterebbe che dietro default.tmp si celi un contenitore con dati privati, ad esempio?
Crittografia ibrida con PGP e OpenPGP
PGP
PGP è il software più noto per la crittografia di tutti i tipi di dati. Il programma utilizza il sistema di crittografia ibrido, che è stato spiegato all’inizio. Per il download è necessario inserire almeno un indirizzo e-mail valido, dopodiché si riceverà via e-mail il link per il download insieme a una licenza di prova in formato PDF. Si tratta di una versione di prova che dopo 30 giorni torna a essere freeware. Le seguenti funzioni rimangono attive: crittografia e firma dei file PGP, PGP Zip nonché crittografia, verifica e firma del contenuto della finestra attiva e degli appunti. Le funzioni saranno spiegate tra poco. Durante l’installazione è necessario inserire il nome, l’indirizzo e-mail e il numero di licenza.
Freeware, Multilingua, Download via WinTotal
Durante il setup è possibile creare chiavi o importare quelle esistenti. PGP supporta, tra l’altro, AES e TripleDES.
 |
| Impostazioni della chiave PGP |
L’interfaccia del programma è semplice e chiara:
 |
| PGP Desktop Fare clic sull’immagine per ingrandirla |
Il programma offre le seguenti funzioni in modalità di prova/versione completa:
- PGP Whole Disk: crittografia di interi dischi
- PGP Virtual Disk: protezione di file, cartelle, unità USB e CD utilizzando contenitori criptati
- PGP Mail: crittografia e firma automatica di e-mail e allegati
- PGP Secure Messenger: crittografia dei messaggi di AOL Messenger (quindi anche di ICQ)
- PGP Zip: compressione e crittografia di messaggi, allegati di posta elettronica e file
- PGP Shred: eliminazione sicura dei dati
In termini di funzionamento, questo programma è esemplare. L’integrazione in Windows e nei programmi di posta è molto buona. Alcuni esempi:
 |
| Integrazione nel menu contestuale |
 |
| Integrazione nei client di posta elettronica |
 |
| PGP Desktop Fare clic sull’immagine per ingrandirla |
La crittografia e la firma della posta non richiedono alcuno sforzo di configurazione nel programma di posta. Non appena PGP riconosce una mail attraverso le porte di posta conosciute, la crittografia e/o la firma vengono applicate automaticamente, a seconda della configurazione.
La crittografia non può essere più semplice da usare. Tuttavia, la versione domestica di PGP Desktop costa 105 euro. Chi non può permetterselo può dare un’occhiata all’alternativa gratuita: OpenPGP.
OpenPGP
OpenPGP è un protocollo ibrido standardizzato di crittografia e firma, lanciato nel 1998 dopo una serie di eventi. OpenPGP si basa sul codice sorgente di PGP 5.x, che è stato esportato in forma di libro a causa delle norme sull’esportazione vigenti negli Stati Uniti all’epoca. Tali norme prevedevano che la crittografia >40 bit fosse vietata. Inoltre, gli algoritmi utilizzati in PGP (IDEA e RSA) erano brevettati. Si sono anche diffuse false voci sull’esistenza di backdoor in PGP.
Nel frattempo, il PGP segue quasi completamente lo standard OpenPGP, originariamente sviluppato dopo di lui, per cui non ci sono quasi problemi nello scambio di dati.
La prima implementazione di OpenPGP è stata GnuPG, ancora oggi utilizzata in molti programmi. Ad esempio, esisteva una suite chiamata GnuPT, che combinava gestione delle chiavi, crittografia della posta e crittografia dei file. Tuttavia, lo sviluppo è stato interrotto a favore di un altro progetto open source chiamato gpg4win, che non era così snello come GnuPT. Entrambi i programmi hanno una cosa in comune: purtroppo non esiste un’interfaccia utente uniforme. Di seguito, gpg4win viene presentato nella sua attuale versione 1.00 (aprile 2006). In seguito, si parlerà di un’estensione per il programma di posta elettronica Thunderbird, chiamata EnigMail, che consente di crittografare e firmare la posta in modo semplice.
gpg4win
Come già detto, gpg4win è costituito da singoli componenti che possono essere selezionati nel programma di installazione:
 |
| Installatore di gpg4win |
Gli strumenti in dettaglio sono:
- GnuPG – strumento a riga di comando, si occupa della crittografia vera e propria
- GPGol – un plug-in per Outlook 2003 per crittografare e firmare i messaggi di posta elettronica
- GPA – gestione delle chiavi
- WinPT – gestione alternativa delle chiavi – decidete voi stessi quale è più adatto a voi
- GPGee – estensione del menu contestuale di Windows Explorer per la crittografia e la firma
- Sylpheed – client di posta POP3 e newsreader con supporto GnuPG integrato
Come con PGP, si crea prima una chiave personale nella gestione delle chiavi. Questa chiave ha una parte pubblica e una segreta. La chiave può essere utilizzata per la certificazione, la firma e la crittografia. L’integrazione in Outlook 2003 offre un pulsante nell’interfaccia principale di Outlook 2003 per accedere alla gestione delle chiavi e due pulsanti (Crittografa + Firma) quando si crea un messaggio di posta.
 |
| Integrazione in Outlook Fare clic sull’immagine per ingrandirla |
Nelle opzioni di Outlook è presente una scheda con importanti impostazioni per il plug-in.
 |
| Impostazioni per il plug-in |
Ora avete tutti i mezzi tecnici necessari. Ora è necessaria solo la chiave pubblica della persona a cui si desidera inviare un messaggio crittografato. La persona può esportare questa chiave come file ASC nella gestione delle chiavi. Esistono anche i cosiddetti server di chiavi, che conservano le chiavi pubbliche di molte persone. È anche possibile importare le chiavi da questi nella propria gestione delle chiavi.
EnigMail
EnigMail è un plug-in per il client di posta Thunderbird e offre crittografia e firma OpenPGP. Il programma richiede l’installazione di GnuPG, quindi è possibile utilizzare anche gpg4win. Il download è disponibile come file XPI, che può essere installato tramite Extras – Extensions in Thunderbird.
Open Source, Multilingua, Download via WinTotal
Dopo l’installazione, è necessario impostare il percorso di GnuPG (gpg.exe).
 |
| EnigMail – Impostazioni |
EnigMail è quindi pronto per l’uso.
 |
| EnigMail pronto per l’uso Fare clic sull’immagine per ingrandirla |
Dopo aver fatto clic su “Invia”, i messaggi vengono crittografati e/o firmati in base alle impostazioni e quindi inviati.
Altri client di posta
Per quasi tutti i client di posta esiste anche la possibilità di utilizzare OpenPGP o la sua implementazione GnuPG. Troverete molte informazioni su questa pagina. La pagina è consigliata anche per le implementazioni dei programmi di posta. Ad esempio, troverete programmi come GPGRelay – un proxy di posta che fornisce crittografia e decrittografia per POP3 e SMTP. Il supporto IMAP è tecnicamente disponibile, ma non funziona correttamente e attualmente non è in fase di ulteriore sviluppo. Per Outlook Express 5.0/5.5/6.0 è disponibile un plug-in dello sviluppatore della gestione delle chiavi WinPT, che utilizza semplicemente i pulsanti di crittografia e firma esistenti del supporto S/MIME implementato in Outlook Express.
Conclusione
A seconda dell’ambito di applicazione e dello scopo, esistono diverse soluzioni e metodi di lavoro per la crittografia, spesso anche gratuiti. In futuro, i dati sensibili non dovranno più essere archiviati in modo non protetto o inviati a Internet. Spetta all’utente garantire la sicurezza dei dati. Le possibilità sono almeno disponibili e utilizzabili da tutti.
In caso di problemi con il software di crittografia, il sito web del produttore è sempre un buon punto di partenza.