Mail criptate: ProtonMail, perché e percome.

Pubblicato il Pubblicato in Privacy

Inizio con ringraziare JEBY per l’articolo integrale su http://www.jeby.it da cui ho estrapolato il necessario per parlarvi di PROTONMAIL

PRISM, Datagate, NSA, il grande scandalo dei programmi di sorveglianza globale: per alcuni il segreto di pulcinella, per gli assuefatti al social niente di cui preoccuparsi, per altri un motivo serio per fermarsi e riflettere. Che ne è delle mie cose quando le affido al web? Le mie comunicazioni private sono veramente private?

C’è qualcuno che sostiene che se non si ha nulla da nascondere non ci si deve preoccupare della sorveglianza. Il problema non è voler nascondere qualcosa, il problema è chi sono i sorveglianti. Dall’altra parte della sorveglianza può esserci un utopico governo di santi, oppure un ben più terreno governo di esseri umani, non necessariamente il nostro governo (vedi Obama e Cameron), con tutte le buone intenzioni del caso, e si sa dove possano portare le buone intenzioni, o ancora gente che le buone proprio non le ha prese in considerazione, criminali, ricattatori, attivisti politici estremi, dittatori totalitaristi e via dicendo. A me non va di consegnare le mie comunicazioni a questa gente.

Tra le comunicazioni più facili da spiare ci sono le mail. Paradossalmente basta che qualcuno abbia accesso ai server del provider internet su cui transitano le mail per leggerle. Ovvero: non è necessario accedere ai server del provider mail (Google, ad esempio), basta accedere ai server del provider internet (Telecom, per esempio), che di solito conserva una copia della mail per qualche tempo. Leggere il contenuto della mail è semplice perché essenzialmente mandiamo mail non criptate. Se le mail fossero criptate chi accede in modo malevolo (o benevolo secondo lui, non necessariamente secondo me) al server su cui è transitata la mia mail al posto del corpo della mail si vedrebbero una serie di caratteri senza senso: questa tecnica che sostituisce ad un testo (o ad un file binario) una serie di caratteri è spesso detta ASCII Armor.

A rendere le cose semplici e ancora più sicure potrebbe pensarci ProtonMail, un nuovo servizio di posta elettronica gratuito, sicuro, privato. Vediamo i punti che lo rendono interessante:

  • Sviluppato dal CERN (il posto dove hanno inventato l’interweb) e dal MIT. Non esiste cosa più nerd.
  • Il servizio è gratuito e continuerà ad esserlo foreva end eva. Almeno per ciò che concerne l’account base.
  • E’ facilissimo da usare.
  • I server risiedono fisicamente in territorio Svizzero. In fatto di privacy non c’è miglior posto al mondo.
  • Il servizio funziona con due password. Una è la password di login, serve ad identificare l’utente. Questa password è conservata nei server di ProtonMail e in caso di necessità può essere recuperata. La seconda password è quella necessaria a decriptare la casella di posta. Tale password non viene nemmeno comunicata a ProtonMail, e non è conservata da nessuna parte se non nella vostra testolina. Se la perdete, siete fritti. Inoltre: nessuno può leggere la vostra posta se non conosce questa password, nemmeno se ha accesso al vostro computer, né può costringere ProtonMail a rivelarla, perché loro non la sanno e non l’hanno mai saputa.
  • Perché due password? Perché la criptazione avviene nel browser sul vostro dispositivo, non sul server. In questo modo né ProtonMail né altri possono decriptare i messaggi dal server.
  • Viene utilizzata una criptazione end-to-end: i messaggi partono criptati, transitano criptati, e arrivano al recapito criptati. Tutte le copie trasmesse/conservate sono criptate.
  • Tra utenti ProtonMail ci si può scambiare mail criptate in maniera del tutto trasparente. Si possono mandare mail criptate anche a chi usa altri servizi (tipo gmail ecc), utilizzando una password di criptazione (tecnica di criptazione simmetrica) che sarà nota a chi riceve il messaggio. Viene inviata una mail non criptata con un link sul quale recuperare la mail, previo sblocco tramite password.
  • Funziona tramite browser web: non bisogna installare nulla, non si deve impostare nessuna chiave, basta navigarci, da qualunque dispositivo dotato di browser web.
  • E’ anonimo: non raccoglie dati su di voi e non usa sistemi automatizzati per leggere nelle mail e proporvi pubblicità.
  • Altri n-motivi spiegati bene qui.

Quali sono gli svantaggi di questo sistema?

  • E’ in fase di beta.
  • Possono passare mesi prima di poter aprire un account, il servizio è a numero limitato. Un po’ come gmail all’inizio, ma senza il meccanismo dell’invito.
  • Solo 500 MB di spazio e 1000 mail/mese. Di più si paga (quanto e come non l’ho capito).
  • Niente autenticazione a due fattori, a meno di pagare (quanto e come non l’ho capito).
  • Non è possibile utilizzarlo con i normali client di posta. Sono in preparazione delle app per dispositivi mobili che arriveranno chissà quando.
  • Per quanto sicuro, non sarà mai tanto sicuro quanto non mandare la mail. Sembra stupido ma è così: ProtonMail è affetto da tutti i problemi delle sue tecnologie base (SSL, OpenPGP, ecc…) più tutti i problemi dell’utente che potrebbe lasciare le sue password esposte a malintenzionati.

ProtonMail non è, in definitiva, un sistema perfetto. ProtonMail è un sistema facile e gratuito per aumentare il livello di privacy delle nostre comunicazioni, è certamente un prodotto utile a moltissimi professionisti che scambiano informazioni sensibili (segreti industriali, corrispondenza di carattere giuridico) o al privato cittadino che non vuole vedere le proprie conversazioni potenzialmente sbandierate ai quattro venti o utilizzate per estorsioni.

Tutti i diritti sono riservati e di proprietà degli autori originali citati all’inizio del post.