S/MIME: come crittografare e firmare le e-mail
Quando inviate una e-mail, è di fondamentale importanza che il messaggio venga recapitato inalterato e in modo sicuro al suo destinatario, che deve essere la sola persona in grado di leggerlo. La questione non cambia quando siete voi a ricevere un messaggio di posta elettronica, il cui contenuto non deve poter essere letto o manipolato da terzi. Altrettanto importante è che il mittente non possa spacciarsi per qualcun altro. Requisiti di questo tipo possono essere garantiti soltanto attraverso l’utilizzo della crittografia e della firma elettronica, senza le quali i cyber criminali avrebbero gioco facile, nonostante la protezione di software antispam e antivirus. Uno standard per l’utilizzo di entrambe le funzioni è S/MIME, definito nel 1999.
- Utilizza al meglio le tue e-mail grazie all'IA (opzionale)
- Indirizzo di posta elettronica personalizzato
- Dominio incluso
- E-mail sicura con protezione antivirus e antispam
S/MIME: che cos’è?
Nella RFC 1847 del 1995 sono state descritte due estensioni di sicurezza per lo standard MIME (Multipurpose Internet Mail Extension): il formato multipart/signed per la firma dei messaggi e il formato multipart/encrypted per la crittografia. Quattro anni dopo la IETF (Internet Engineering Task Force) ha pubblicato una nuova estensione di MIME, chiamata S/MIME e descritta in (RFC 2633). Si tratta di uno standard che supporta il formato di firma già citato, mentre per la crittografia utilizza la propria soluzione application/pkcs-mime. Nel caso di un messaggio S/MIME è vostra discrezione se firmarlo, crittografarlo o compiere entrambe le operazioni.
La crittografia e la firma digitale S/MIME sono possibili con tutti i più popolari client di posta elettronica, come ad esempio Microsoft Outlook, Thunderbird o Apple Mail. Una nota alternativa che supporta sia multipart/signed che multipart/encrypted è lo standard del 2007 OpenPGP.
Crittografia e firma digitale S/MIME: come funzionano
S/MIME si basa su un metodo di crittografia asimmetrica e dunque utilizza due chiavi, una pubblica (public key) e una privata (private key). Mentre la prima è condivisa con tutti i contatti di posta elettronica, la seconda è nota solo all’utente. È quindi necessario sia inviare messaggi cifrati in combinazione con la chiave pubblica del destinatario sia decodificare i messaggi ricevuti. Attraverso un certificato S/MIME, disponibile presso diversi provider, il client di posta elettronica è in grado di generare e scambiare chiavi.
Affinché la crittografia di una e-mail funzioni, ogni messaggio S/MIME è preceduto da un’intestazione (header) che fornisce al client destinatario le informazioni necessarie per la comprensione e l’elaborazione del contenuto. Sono qui specificati il tipo di contenuto (es. enveloped data per dati cifrati), il nome del file corrispondente (es. smime.p7m per dati cifrati o firmati) e il modulo di modifica. L’intestazione di una e-mail cifrata può avere ad esempio questo aspetto:
Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m
La firma S/MIME, che si può inserire automaticamente in un’e-mail al momento della composizione, è utile per diverse ragioni. In primo luogo trasmette la chiave pubblica al destinatario per una comunicazione sicura, in modo che possa a sua volta inviarvi messaggi dal contenuto cifrato. Inoltre dimostra al destinatario l’identità del mittente, vale a dire che l’e-mail proviene proprio da voi. A differenza di PGP, la sola aggiunta di una firma non crea caratteri cifrati. Se il client destinatario rileva incongruenze nella verifica della firma, l’autenticità del messaggio non viene confermata: questo consente all’utente di capire che i dati sono stati manomessi.
Se decidete di non utilizzare la firma digitale, potete trasmettere la chiave pubblica anche in altri modi: pubblicandola su un key server o sul vostro sito web, o salvandola come file in un supporto di memoria esterna.
Come ottenere un certificato S/MIME per la propria corrispondenza e-mail
Come già menzionato, per utilizzare S/MIME è richiesto un certificato digitale (x.509). In linea di principio è possibile crearne uno autonomamente, a condizione di essere già in possesso di un certificato radice (root certificate). Inoltre, prima che avvenga la condivisione della chiave, è necessario che tutti i contatti importino il certificato radice. La soluzione più semplice è quella di acquisire un certificato da un’autorità certificativa ufficiale, presso cui sono in genere disponibili soluzioni a pagamento o gratuite. È tipica la classificazione dei certificati esistenti in tre categorie:
- Classe 1: il certificato garantisce l’autenticità dell’indirizzo di posta elettronica.
- Classe 2: il certificato garantisce l’autenticità dell’indirizzo di posta elettronica, dell’identità dell’utente e dell’esistenza dell’azienda, dove necessario. Le informazioni sono verificate tramite database terzi o documenti di identità.
- Classe 3: a differenza della classe 2, l’identità dell’utente è verificata di persona.
Se volete cifrare le vostre e-mail con S/MIME e siete alla ricerca di un certificato, non dimenticatevi mai della sua funzione principale: proteggere la corrispondenza e-mail impedendo l’intercettazione e la manipolazione dei messaggi. Per questo motivo l’affidabilità e la serietà del fornitore sono elementi di estrema importanza.
Un servizio che vale la pena di raccomandare è Sectigo (ex Comodo), i cui certificati sono considerati affidabili dal 99 per cento dei client di posta elettronica, secondo quanto riportato sul sito della stessa azienda. L’autorità certificativa, conosciuta soprattutto per i certificati SSL di alta qualità, offre certificati per uso privato (a partire da 16,99 dollari all'anno) o per l'uso nelle aziende (a partire da 39,99 dollari all'anno), con i quali è possibile implementare una cifratura sicura delle e-mail end-to-end con S/MIME. Un partner affidabile per la generazione di certificati gratuiti è il provider italiano di web hosting Actalis.
Come installare S/MIME nel proprio programma di posta elettronica
Per integrare questo dispositivo di sicurezza nel vostro client di posta, avete ovviamente bisogno di un certificato S/MIME. La ricerca di un fornitore è pertanto il primo passo verso una casella di posta sicura, cui seguono la creazione e l’installazione del certificato personalizzato. Sotto questo aspetto le procedure dei vari provider sono tutte abbastanza simili. Dopo l’installazione potete procedere con la configurazione del vostro software di posta elettronica in modo che utilizzi S/MIME e acceda al certificato integrato. Generalmente il setup è completo dopo il riavvio del client, al termine del quale vengono attivate funzioni specifiche per la crittografia automatica o manuale e per la firma digitale dei messaggi.
Di seguito troverete istruzioni dettagliate per installare S/MIME con i sistemi desktop di Windows, macOS e con quelli mobili di iOS e Android. Come esempio di autorità certificativa sarà utilizzato il servizio di certificazione gratuito del provider Actalis.
Come installare S/MIME con Windows
Se desiderate utilizzare S/MIME con un PC Windows, ma non intendete investire dei soldi nel pacchetto Office, potete ricorrere a Thunderbird, una soluzione gratuita offerta da Mozilla, a cui si deve anche il browser Firefox. Se non avete ancora installato il client e creato un account, è questo il momento di farlo. Proseguite quindi in questo modo per attivare la crittografia S/MIME e la firma digitale:
- Aprite il sito web di Actalis e usate il link “Free S/MIME certificates” per inviare una richiesta per la creazione di un certificato S/MIME.
- Nel modulo che si apre, inserite prima l'indirizzo e-mail per il quale volete generare il certificato e cliccate su "INVIA EMAIL DI VERIFICA". Actalis invierà quindi il vostro codice di registrazione individuale a questo indirizzo. Copiate il codice nella riga "Codice di verifica" e inserite i caratteri che vedete nel captcha:
- Nella seconda parte confermate i termini generali e le condizioni specifiche legate a un certificato S/MIME gratuito, spuntando una casella per ciascuna di esse. Con un segno di spunta nella terza casella confermate di aver letto le informazioni di cui sopra e di accettare l'uso dei vostri dati come previsto da Actalis. Potete vietare la raccolta e l'utilizzo dei dati per scopi di marketing selezionando l'opzione "Non acconsento" prima di premere infine su "INVIARE LA RICHIESTA":
- Il vostro browser vi presenterà quindi la vostra password personale per l'utilizzo del certificato S/MIME, che vi sarà inviata all'indirizzo e-mail fornito. Poiché non la riceverete altrove, si raccomanda di annotare la password o di stampare la pagina.
- Per utilizzarlo su Thunderbird, è necessario prima scaricare il certificato nella casella di posta e decomprimerlo in una qualsiasi directory (file ZIP).
- A questo punto avviate Thunderbird e aprite le impostazioni dell’account. Potete gestire i certificati nel menu “Sicurezza”.
- Selezionate la scheda “Gestisci Certificati” e importate il certificato salvato in precedenza, cliccando su “Importa” e selezionandolo. Inserite la password per completare il processo.
- Nel menu “Sicurezza” potete selezionare il certificato S/MIME per la crittografia e la firma. È possibile impostare la firma digitale come predefinita e rendere obbligatoria la crittografia selezionando l’opzione “Richiesto” sotto “Impostazioni cifratura predefinite per l’invio dei messaggi”. Si tratta comunque di opzioni selezionabili anche nel corso della composizione di una e-mail cliccando sulla tab “Sicurezza” nella barra degli strumenti:
Come funziona S/MIME con macOS e iOS
I dispositivi Apple hanno un proprio client di posta elettronica integrato, chiamato “Mail”. A differenza dei software standard di Microsoft, esso consente di per sé la crittografia e la firma digitale delle e-mail con S/MIME. Se siete in possesso di un account di posta elettronica, potete creare un certificato con Actalis senza installare alcun programma ulteriore. La procedura è la stessa di Windows: andate sul sito web di Actalis e create un certificato con i vostri dati personali. Procedete quindi con l’installazione del certificato e la configurazione della crittografia S/MIME:
- Aprite l’e-mail che avete ricevuto da Actalis e scaricate il certificato in una cartella a vostro piacimento. Su macOS il file ottenuto si può aprire direttamente con un doppio clic e aggiungere all’Accesso Portachiavi. Se volete utilizzare S/MIME anche sul vostro iPhone o iPad, dovete prima convertire il certificato nel formato .p12. A questo punto potete inviarlo tramite e-mail al vostro dispositivo mobile.
- Una volta installato il certificato, è sufficiente lanciare o riavviare Apple Mail per integrare la crittografia e la firma digitale.
- Per testare S/MIME, inviate una e-mail crittografata e firmata. Le due funzioni sono rappresentate nell’interfaccia di Mail rispettivamente da un lucchetto e da un segno di spunta. Se tutto funziona correttamente, entrambe le icone sono presenti anche al di sotto dell’oggetto del messaggio.
Come configurare S/MIME con un dispositivo Android
Come Windows, anche Android non ha un proprio client con S/MIME integrato. Esistono tuttavia alcune applicazioni che lo supportano e che possono essere scaricate da Google Play Store. Tra le soluzioni gratuite è presente MailDroid, ssviluppata da Flipdog Solutions (a pagamento nella versione pro senza pubblicità). In maniera analoga all’impostazione della crittografia e della firma con Windows e macOS, è necessario prima di tutto un certificato valido che potete generare nel modo già descritto. I passi successivi sono i seguenti:
- Maildroid è dotato di funzioni integrate per crittografare e firmare le e-mail. Tuttavia per utilizzarle è necessario il plug-in Crypto di Flipdog Solutions, scaricabile gratuitamente.
- Utilizzate il plug-in per importare il certificato generato: nel menu ciccate sulla voce “Importa certificato” e selezionate il file corrispondente.
- Tornate su MailDroid e aprite il menu “Impostazioni”. Alla voce “Encryption Plugin” potete ora specificare il certificato insieme alla configurazione S/MIME desiderata. Tra le opzioni disponibili sono ad esempio presenti l’esecuzione predefinita della firma e della crittografia e la possibilità di utilizzare la crittografia solo se un utente dispone della chiave necessaria.
- In base all’opzione selezionata, la crittografia e la firma vengono aggiunte o meno in modo automatico. I meccanismi di protezione sono comunque attivabili utilizzando i comandi presenti nella parte inferiore della finestra di messaggio. Se la codifica e la firma non funzionano, perché ad esempio il certificato o la chiave non sono validi o sono scaduti, MailDroid mostra la schermata seguente: