Abbiamo già discusso, in precedenti articoli, di PGP (abbastanza ostico da usare per i non esperti) e di servizi nativi di posta elettronica crittografata (come Tutanota e ProtonMail) che, pur non richiedendo alcuna conoscenza tecnica in tema di crittografia, necessitano dell’installazione di un client apposito su dispositivi mobili ed hanno il difetto di non poter essere configurati in client di posta elettronica convenzionale attraverso POP3 o IMAP.
Se volessimo utilizzare crittografia e firma digitale, su caselle di posta convenzionali (libero, gmail, gmx…) attualmente le strade possibili sarebbero due: PGP o S/MIME. Entrambi sono degli standard per la crittografia a chiave pubblica e firma digitale, ma i formati sono incompatibili.
Il vantaggio di S/MIME è che nella maggioranza dei casi è già supportato in modo nativo dai client di posta elettronica che siamo abituati ad utilizzare, come Thundebird per PC o il client Mail per iOS, pertanto non richiedono ulteriori installazioni. S/MIME è basato sull’utilizzo di un certificato che deve essere emesso da una Certification Authority.
Il primo passo quindi, per poter utilizzare S/MIME, è quello di procurarsi un certificato digitale da utilizzare per le email.
Una CA famosa, che offre gratuitamente per un anno, un certificato di questo tipo è Comodo: https://www.instantssl.com/ssl-certificate-products/free-email-certificate.html
Per ottenere un certificato è sufficiente specificare nome, cognome, email a cui abbinare il certificato e una password per l’eventuale revoca del certificato stesso (da utilizzare nel caso in cui sospettiate che il certificato sia compromesso, ad esempio in caso di furto del dispositivo).
Dopo aver letto ed accettato i termini di servizio, vi arriverà una email con un link che consente di installare il certificato sul vostro pc. A questo punto vi segnalo che ho avuto problemi ad installare il cerificato con il browser Chrome. Pertanto vi consiglio di fare l’intera procedura sul browser Firefox (o Safari nel caso di utente Mac).
Una volta installato il certificato è necessario farne una copia completa su un supporto sicuro (meglio se supporto offline). Se usate Firefox andate su Opzioni – Avanzate – Certificati – Mostra Certificati – Certificati personali. Selezionate il certificato appena installato e premete su Salva, salvandolo in formato PKCS12 (estensione .p12). Date un nome al file e scegliete una password abbastanza robusta (questa password vi servirà successivamente per importare il certificato nel client di posta). Attenzione, non inviate mai questo file a nessuno. Serve solo per scopo di backup e per configurare i vostri client di posta personali (fissi e mobili). Il vs certificato non deve mai essere inviato al vostro interlocutore.
Fatto ciò, se utilizziamo Thunderbird, dobbiamo importare il certificato di sicurezza dalla copia di backup appena effettuata, seguendo queste istruzioni.
Analogamente, se vogliamo abilitare S/MIME sul nostro iPhone o iPad, dobbiamo prima importare il nostro certificato digitale sul nostro iDevice, e poi abilitare la specifica opzione S/MIME nel client, relativamente alla casella di posta interessata.
Per importare il certificato digitale su iPhone/iPad, la via più veloce è quella di inviarselo come allegato via mail dal PC o Mac, su una casella di posta già configurata sul client Mail per iOS. Evitate di salvare il vostro (i vostri) certificati su servizi Cloud (come iCloud, Dropbox…).
Quanto segue, dovrà essere ripetuto su tutti i vostri dispositivi iOS:
Apriamo Mail su iOS, apriamo l’allegato (con estensione .p12) e confermiamo l’installazione del certificato: vi saranno chieste due password. la prima è il codice di sblocco del vostro iPhone. la seconda è la password che avete scelto in fase di backup del certificato. Fatto ciò il vostro certificato sarà visibile su Impostazioni – Generali – Profili, da cui potranno eventualmente essere eliminati.
Adesso non ci resta che abilitare S/MIME ed abbinarlo al relativo certificato appena installato.
Andiamo su Impostazioni – Mail – Account e individuiamo l’account di posta interessato.
Premete su Account – Avanzate ed attivate l’interruttore S/MIME. Poi impostate “Si” sia su Firma che su Codifica di default.
Da questo momento in poi, le vostre email partiranno con firma digitale S/MIME: la firma assicura al destinatario, che il messaggio provenga effettivamente da voi, e che non sia stato alterato strada facendo.
Firmare un messaggio consente inoltre al destinatario di salvarsi la parte pubblica del vs certificato, tramite il quale, potrà spedirvi messaggi in maniera crittografata (e che quindi potrete leggere solo voi).
Per inviare messaggi crittografati S/MIME ad un destinatario è necessario disporre della chiave pubblica (certificato) dello stesso. Per ricavare la stessa, è sufficiente farsi inviare un messaggio firmato digitalmente. Quando si riceve un messaggio firmato da un utente il cui certificato è sconosciuto, verrà mostrato un messaggio di firma non attendibile. A questo punto occorrerà convalidare ed installare il certificato del mittente. Da quel momento in poi sarà possibile comunicare con lui in maniera crittografata.
Una volta configurati tutti i vs iDevices, vi consiglio di cancellare l’email tramite la quale vi siete auto-inviati i certificati digitali.
Il tutto dovrà essere ripetuto per ogni indirizzo email su cui vorrete abilitare S-MIME.