1 2 Risorse per l'uso professionale Mac 2 Cerca nel sito Contattaci Gallerie Newsletter Forum forum
4 5 ipodnet
logosxbasso  

Come Usare la crittografia e la firma digitale con Mail
di Joar Wingfors - Traduzione italiana di Antonio Dini e Antonio Poloni

Prima versione: 24 Ottobre 2003
Ultimo aggiornamento: 31 Maggio 2004
Traduzione: 15 Dicembre 2004

- Introduzione
- Il certificato digitale
- Utilizzare Mail
- Considerazioni finali
- Faq
- Compatibilità del client di posta elettronica
- Altre letture
- Altre lingue per questo documento

Introduzione
La posta elettronica è una delle più vecchie tecnologie di Internet, progettata e messa all'opera in un periodo in cui la Rete era ancora un posto sicuro e pacifico. Non è più così, ma molti server di posta elettronica consentono ancora a chiunque di accedere da Internet ai loro servizi e spedire messaggi di spam; e molti di noi ancora trasmettono le password dei nostri account e i messaggi di posta in chiaro attraverso Internet.

La versione di Mail, il client della posta elettronica di Apple, che viene distribuita insieme a Mac Os X 10.3 ha guadagnato la capacità di firmare e crittare i messaggi di posta elettronica. Questa è un'ottima notizia, perché ci consente di verificare l'identità di chi ha spedito il messaggio di posta che abbiamo ricevuto, di verificare che il messaggio non sia stato alterato nei passaggi da un server all'altro di posta e infine di crittare le nostre email. In altre parole, l'abilità di mettere una busta e un sigillo ai nostri messaggi di posta elettronica.

L'obiettivo di questa pagina web è di fornire una guida passo-passo per iniziare a usare queste nuove e poco conosciute funzionalità di Mail

Il certificato digitale
Nel "mondo fisico" esistono numerose autorità degne di fiducia a cui è demandato il compito di autenticare l'identità di una persona. Queste forme di identificazione possono essere documentate sotto forma di una patente di guida o di un passaporto. Nel mondo digitale vi sono autorità simili che emettono certificati digitali.
Esistono differenti tipi di certificati digitali. Questa guida è relativa ai certificati per la posta elettronica. Un certificato per la posta elettronica (email certificate) è utilizzato per verificare che il mittente di una mail sia in realtà il titolare dell'indirizzo di posta elettronica da cui la mail viene spedita.

In altre parole, se ricevete un messaggio di posta elettronica da parte - mettiamo - di mario.rossi@mail.com, il certificato non vi dirà chi sia veramente il possessore di quell'indirizzo di posta elettronica, ma invece che il possessore di quell'indirizzo di posta elettronica (chiunque sia veramente) è proprio quello che vi ha spedito il messaggio di posta elettronica.

Avrete bisogno di un certificato digitale (digital certificate) per essere in grado di firmare e crittografare i messaggi di posta elettronica. Esistono ovviamente diverse Autorità di Certificazione che emettono certificati digitali. In questa guida noi prenderemo il nostro certificato da Thawte, un'azienda privata con sede in Sudafrica, controllata da VeriSign, che offre gratuitamente certificati per la posta elettronica. Possiamo considerarlo a tutti gli effetti come un notaio digitale il cui ufficio si trova in un paese molto distante dal nostro, ma assolutamente degno di fiducia.

------------
Nota: Per richiedere e scaricare il certificato è necessario utilizzare Safari 1.2 o Mozilla.
In questa guida vi mostrerò solamente come si fa con Safari, anche perché l'applicazione di Apple rende l'intera procedura molto più semplice degli altri. Leggete la FAQ alla fine di quest'articolo per capire quali benefici si possono ottenere usando Mozilla. Vi prego anche di notare che questo non è un discorso partigiano ma basato sul fatto che è necessario utilizzare uno dei due browser, dato che gli altri disponibili per Mac Os X attualmente non hanno la capacità di utilizzare i certificati.
------------

Andate sul loro sito utilizzando il link qui sotto e create un account compilando il questionario fornito dopo aver premuto il pulsante "Join"
Thawte: Personal Cert System Enrollment
http://www.thawte.com/html/COMMUNITY/personal/index.html




Fate attenzione soprattutto a fornire una password (http://docs.info.apple.com/article.html?artnum=106521) sicura per l'account di Thawte.

Utilizzate il programma Keychain Access (fornito con Mac Os X) per archiviare la password e inserite come "Secure Note" la domande-risposte che fornirete a Thawte.

Una volta che è stato creato l'account potrete entrare nella parte del sito riservata ai membri utilizzando il link qui sotto, e richiedere un certificato compilando il questionario che vi viene sottoposto premendo il pulsante di "request"
Thawte: Request A Certificate



Accettate i valori di default nelle prime quattro pagine dle questionario. Nella quinta, scegliete "Accept Default Extensions".
Quando l'operazione supera la sesta pagina, viene generato e scaricato nel vostro Portachiavi (Keychain) una chiave digitale.
Se Portachiavi (Keychain) è bloccato vi verrà chiesto di sbloccarlo con la password del vostro nome utente per permettere di aggiungere la chiave. Cliccate su accetta nell'ultima pagina del questionario per inviare la vostra richiesta a Thawte.



Note: Mi immagino che molti di noi vorranno sfruttare la possibilità di rifiutare di essere contattati da Thawte e dalle "compagnie che posseggono Thawte, ne sono controllare, sussidiarie, business partner o rappresentanti", su tutto quello che non sia direttamente collegato con i nostri certificati. Si può rifiutare di essere contattati inviando una mail al loro indirizzo di posta elettronica a questa pagina del loro sito:
Thawte: Opt-Out

La loro dichiarazione circa le politiche della privacy può essere trovata qui:
Thawte: Privacy Statement


Adesso è un ottimo momento per prendersi un attimo di pausa. Thawte sta generando il vostro nuovo certificato e questo richiede alcuni minuti. Aspettate per il messaggio di posta elettronica che vi invieranno oppure semplicemente monitorate il progresso dei vostri certificati direttamente sulle loro pagine web:
Thawte: Certificate Request Status

Inizialmente lo status del vostro nuovo certificato sarà "pending" (pendente), e quando il processo sarà finalmente completato lo status del certificato passerà a "issued" (pubblicato). Quando il certificato è stato pubblicato potete cliccare il link per la versione "Navigator" per essere reindirizzati alla pagina dove sono contenuti i dettagli del vostro certificato e cliccare a questo punto il bottone con la scritta "fetch" per scaricare il suddetto certificato



Subito dopo che avrete cliccato sul bottone "fetch" si aprirà il pannello di download. Una volta che la procedura di scaricamento sarà terminata, Safari lancerà automaticamente il programma Keychain Access per trasferire il certificato.



Nota: Avete bisogno di un differente certificato per ogni indirizzo email che utilizzate. Tornate sul sito di Thawte per registrare ulteriori indirizzi di posta elettronica e scaricare i loro certificati.


Utilizzare Mail
Per spedire un messaggio di posta elettronica firmato, semplicemente selezionate il bottone "sign" nella finestra del nuovo messaggio. Ugualmente, per spedire un messaggio crittato, selezionate il bottone "encrypt".
Potete sempre selezionare entrambi i bottoni, se sono disponibili, a meno che il destinatario del messaggio non abbia esplicitamente richiesto di non ricevere messaggi di posta elettronica non firmati o non crittati.



Nota: Un messaggio firmato (signed) vi consentirà di autenticare l'integrità del messaggio (cioè che non sia stato alterato una volta che è stato firmato dal mittente) e l'identità del mittente stesso, ma il messaggio sarà ancora trasmesso in chiaro, a meno che non venga crittato. Un messaggio crittato protegge il contenuto della mail da occhi indiscreti ma non lo firmerà.
Se avete un certificato potete spedire messaggi firmati a chiunque, invece i messaggi crittati potranno essere spediti solo quando voi e tutti i destinatari del vostro messaggio saranno in possesso di certificati digitali.

Mail ha bisogno dei certificati per crittare un messaggio in uscita. Se Mail non richiedesse questa cosa, cioè che i vostri destinatari abbiano i certificati ma non voi, dopo aver spedito i messaggi non sareste più in grado di poterli leggere.
Il modo più semplice per far sapere a Mail che un destinatario possiede un certificato, e per consentire a Mail di accedere a tale certificato, è di fare in modo che quella persona vi spedisca per prima una mail firmata (non crittata, semplicemente firmata). Mail automaticamente archivierà i certificati ricevuto nel Portachiave come futura referenza.
Il bottone per crittare non è visibile nei nuovi messaggi che scriverete se non possedete il certificato del destinatario o se ne ha uno ma la sua copia non è archiviata nel vostro Portachiavi.


Nell'immagine qui sotto, ecco come si presenta un messaggio firmato e crittato nel caso che voi siate il ricevente. La piccola stessa con il segno della spunta è il sigillo che garantisce che l'identità del mittente è corretta e che il messaggio non è stato modificato dal momento in cui è stato firmato dal mittente.




Se Mail non è in grado di verificare la firma del messaggio, come nell'esempio in cui del testo sia stato aggiunto al messaggio dopo che questi è stato firmato, Mail vi mostrerà un messaggio di allerta.




Considerazioni finali
Spero che Apple decida di utilizzare di regola la posta elettronica sicura anziché come ipotesi eccezionale, proprio come ha scelto di aiutare a consolidare nel corso degli anni gli standard Usb, WiFi e tante altre tecnologie di questo genere. Tuttavia, questo è quasi certamente impossibile sino a che il processo con il quale acquisire un certificato è difficoltoso come lo è oggi. Per questo Apple potrebbe risolvere questo problema, ad esempio, facendo in modo che ad ogni membro di .Mac sia dato un certificato per la posta elettronica. In questo modo, oltretutto, l'acquisto dei certificati diventerebbe una procedura completamente trasparente per l'utente finale.

Se volete inviare un feedback, suggerimenti e segnalare errori, siete i benvenuti: utilizzate l'indirizzo di posta elettronica disponibile in cima alla pagina.

FAQ
Q: Il portachiavi non importa il certificato digitale perché "L'elemento specificato già esiste nel portachiavi".
A: Molto probabilmente questo è causato dal fatto che il certificato che si cerca di aggiungere è collegato allo stesso indirizzo di posta elettronica di un certificato già presente in Keychain Access. Controllate in Keychain Access per verificare se è questo il caso oppure no.
Se avete dei certificati per più di un indirizzo di posta elettronica, è probabile che abbiate richiesto e/o scaricato lo stesso certificato più di una volta.

Q: Ho un certificato per il mio indirizzo di posta elettronica nel portachiavi, perché Mail non mi consente di firmare o crittare la mia mail?
A: Verificate che l'indirizzo di posta elettronica del certificato e quello che avete configurato nell'account di Mail siano scritti esattamente nella stessa maniera (maiuscole e minuscole comprese). Nonostante il fatto che Mail effettivamente scarichi la posta elettronica di due indirizzi scritti come "Mario.Rossi@mail.com" e "mario.rossi@mail.com", li considera due identità separate quando cerca di accoppiare un certificato a un indirizzo di posta, per essere in regola con quanto previsto dalla sezione 2.4 dell'Rfc 2821 sul protocollo Smtp.

Q: Perché non sono in grado di creare messaggi di posta elettronica crittati?
A: Per favore, rileggete quanto ho scritto sopra circa i requisiti necessari a spedire messaggi crittati. In pratica, quello di cui Mail ha bisogno per essere in gradi di crittare il messaggio è il certificato del destinatario.

Q: Tu dici che sia possibile spedire un messaggio crittato solo a qualcuno da cui precedentemente si è ricevuto un certificato. Questa non è una situazione "Catch-22", in cui cioè A precede B e B precede A?
A: No. C'è una differenza tra un messaggio firmato (signed) e uno crittato. E' possibile spedire un messaggio firmato a chiunque fornendogli anche il proprio certificato e quindi la possibilità di scrivere una risposta con un messaggio crittato.

Q: Devo utilizzare il mio certificato su un altro computer. Come faccio a esportare il mio certificato da Keychain?
A: Sfortunatamente in questo momento l'applicazione di Apple Keychain Access (distribuita con Mac Os X 10.3.2) non permette di esportare un certificato in un formato trasportabile. L'unico modo per aggirare questo problema che io conosca è di evitare di scaricare i certificati con Safari e, al suo posto, utilizzare Mozilla. Mozilla può esportare i certificati in un formato che può essere importato poi nel Keychain Access. Istruzioni su come fare possono essere trovate qui (in inglese):
Using Mozilla to download certificates

Compatibilità del client di posta elettronica
Non sono riuscito a trovare una fonte attendibile e completa circa l'interoperabilità di differenti client di posta elettronica rispetto ai certificati digitali. Per favore, fatemi sapere qualunque problema abbiate incontrato scambiando i messaggi firmati e/o crittati tra Mail e altri client di posta elettronica.

Queste sono alcune delle informazioni che ho raccolto sulla base dei feedback ricevuti fino ad ora:
- Per quanto Outlook XP possa leggere messaggi di posta elettronica firmati/crittati che vengono spediti da Mail, Mail non è in grado di aprire i messaggi spediti da Outlook XP che siano stati contemporaneamente firmati e crittati.

- Outlook Express ha dei problemi con i certificati contenenti più di un indirizzo di posta elettronica. Per evitare questi problemi, scaricate un certificato differente per ogni indirizzo di posta, piuttosto che utilizzare un unico certificato per più indirizzi.

- Netscape 7.01 non riconosce i messaggi firmati spediti da Mail. L'aggiornamento a Netscape 7.1 risolve il problema.
Sembra anche che molti dei più diffusi programmi di posta elettronica supportino i certificati digitali nelle ultime versioni. Il miglior modo per risolvere problemi usando i certificati digitali è probabilmente quello di essere sicuri di usare l'ultima versione del vostro client di posta elettronica.

Altre letture
(in inglese)
- Apple: Mac Help
   Mail Help > Browse Mail Help > Sending and receiving email >
      About encryption and digital signatures
      Encrypting and signing a message in Mail
   Keychain Access Help > Adding certificates to a keychain
- Apple: How to Use a Secure Email Signing Certificate (Digital ID)
- Thawte: Overview of digital signatures and certificates
- RSA: What is S/MIME?
- Mac DevCenter: How to Set Up Encrypted Mail on Mac OS X
- Mark Noble: S/MIME Secure Email for Windows users

Altre lingue per questo documento
Inglese
Francese
Spagnolo
Tedesco

  • Notizie a tema le trovi su:
  • Macity
  • MacProf
  • IlmioMac
  • Aggiornamac
  • iPodnet
  • Fotodigi
  • Palmipede
  • <%4DEXECUTE:exeres:=WN_ArticleCat([WNArticles]Code;'macity';'
    ';true)%>
  • <%4DEXECUTE:exeres:=WN_ArticleCat([WNArticles]Code;'macprof';'
    ';true)%>
  • <%4DEXECUTE:exeres:=WN_ArticleCat([WNArticles]Code;'ilmiomac';'
    ';true)%>
  • <%4DEXECUTE:exeres:=WN_ArticleCat([WNArticles]Code;'aggiornamac';'
    ';true)%>
  • <%4DEXECUTE:exeres:=WN_ArticleCat([WNArticles]Code;'ipodnet';'
    ';true)%>
  • <%4DEXECUTE:exeres:=WN_ArticleCat([WNArticles]Code;'fotodigi';'
    ';true)%>
  • <%4DEXECUTE:exeres:=WN_ArticleCat([WNArticles]Code;'palmipede';'
    ';true)%>