I problemi di sicurezza della posta elettronica sono ben noti: il mittente è banalmente falsificabile e i messaggi, una volta spediti, possono essere letti o modificati da terze parti.

I sistemi crittografici, quali PGP e i certificati digitali x.509, gestiti da molti client di posta, si propongono di garantire l’integrità del messaggio e la sua non ripudiabilità (ovvero la sicurezza dell’identità del mittente).

Anche la posta certificata si basa su certificati x.509, e però non standard e inadatta ad un uso generale. I certificati x.509 fanno uso di metodi crittografici detti “asimmetrici”: a ogni certificato x.509, che contiene informazioni pubbliche, quali nome e cognome del proprietario, è associata una chiave privata, nota solo al titolare, con cui è possibile firmare digitalmente un messaggio. Se poi il mittente possiede il certificato (pubblico) del destinatario, può cifrare il messaggio, proteggendolo da occhi indiscreti.

La sicurezza dipende dalla lunghezza della chiave privata (almeno 1024 bit) e da quanto scrupolosamente è conservata: chi la conosce, infatti, può impersonare il titolare. Perchè il sistema funzioni, é essenziale possedere i veri certificati digitali dei corrispondenti, altrimenti sarà sempre possibile per chi abbia cattive intenzioni spacciarsi per qualcun altro grazie a certificati contraffatti. Per questo, tutti i certificati sono firmati digitalmente da un’entità super partes: la Certification Authority (o CA), che ne garantisce l’attendibilità.

Una volta sicuri dell’autenticità del certificato di una CA, è facile verificare tutti quelli delle entità (persone e siti web) per cui essa garantisce: il controllo è fatto automaticamente dal client di email (o dal browser, se ci colleghiamo ad un sito protetto), cui però va indicato quali sono le CA di fiducia. I certificati delle CA più diffuse sono già preconfigurati in questi programmi, mentre se vogliamo verificare un certificato garantito da una CA non presente, dovremo aggiungerne il certificato all’elenco. É quindi sicuramente più semplice usare certificati emessi da CA preinstallate: per questo, il GARR, tramite il Terena Certificate Service (https://ca.garr. it/TCS), offre gratuitamente agli appartenenti ad organizzazioni che hanno aderito alla Federazione IDEM, certificati personali emessi da Comodo CA.

In pratica

1. Procuratevi un certificato x.509 e installatelo.
Se la vostra organizzazione non ha aderito ad IDEM potete richiederne uno alla GARR CA, https://ca.garr.it, (è gratis, ma non è preinstallato nei client di posta), o compratene uno dalle tante CA sul mercato.

2. Indicate nelle preferenze che volete firmare tutti i messaggi. Da questo momento i vostri corrispondenti potranno verificare l’autenticità e l’integrità di ciò che spedite (e voi non potrete più negare di averlo fatto...). Ottenuti i certificati dei destinatari (basta che vi inviino un mail firmato), potete anche cifrare la corrispondenza: non avrete la certezza che sia letta solo da loro, ma che solo questi la capiscano, sì.