La crittografia delle e-mail e la posta certificata PEC sono due tecnologie che mirano a migliorare la sicurezza e l'affidabilità delle comunicazioni via e-mail, ma lo fanno in modi diversi e per scopi differenti.
Crittografia delle e-mail negli anni '90
Nei primi anni '90, strumenti come Microsoft Outlook e Netscape Communicator (l'antenato di Thunderbird) includevano funzionalità integrate per la crittografia e la firma digitale delle e-mail usando lo standard S/MIME (Secure/Multipurpose Internet Mail Extensions). Questo standard utilizza certificati digitali basati su PKI (Public Key Infrastructure).
Come funzionava S/MIME:
1.
Certificati Digitali: Gli utenti dovevano ottenere un certificato digitale da un'autorità di certificazione (CA). Questo certificato conteneva la chiave pubblica dell'utente e veniva utilizzato per crittografare le e-mail e verificare le firme digitali.
2.
Crittografia: Quando un utente voleva inviare un'e-mail crittografata, utilizzava la chiave pubblica del destinatario per crittografare il contenuto del messaggio. Solo il destinatario, con la sua chiave privata corrispondente, poteva decrittografare il messaggio.
3.
Firma Digitale: Per firmare digitalmente un messaggio, l'utente utilizzava la propria chiave privata. Il destinatario poteva verificare la firma con la chiave pubblica dell'utente, assicurandosi così dell'integrità e autenticità del messaggio.
PGP e GnuPG
Pretty Good Privacy (PGP) è stato sviluppato negli anni '90 da Phil Zimmermann e rappresenta un altro standard per la crittografia delle e-mail. PGP è diventato molto popolare grazie alla sua robustezza e alla possibilità di essere utilizzato senza bisogno di CA centrali.
Come funziona PGP/GnuPG:
1.
Chiavi Asimmetriche: Come S/MIME, PGP utilizza un sistema di chiavi pubbliche e private. Tuttavia, non si basa su CA centrali, ma su un "web of trust", in cui gli utenti si autenticano reciprocamente le chiavi.
2.
Crittografia: Gli utenti scambiano le loro chiavi pubbliche e usano queste per crittografare i messaggi. Solo il possessore della chiave privata corrispondente può decrittografare il messaggio.
3.
Firma Digitale: Gli utenti possono firmare digitalmente i messaggi usando la propria chiave privata. I destinatari possono verificare la firma utilizzando la chiave pubblica del mittente.
GnuPG (GNU Privacy Guard) è un'implementazione open source di PGP ed è ampiamente utilizzata per la crittografia e la firma delle e-mail.
Posta Elettronica Certificata (PEC)
La PEC è un sistema di posta elettronica introdotto in Italia che fornisce una certificazione legale del momento di invio e ricezione delle e-mail, conferendo a queste comunicazioni lo stesso valore legale di una raccomandata con ricevuta di ritorno.
Perché usare la PEC?
1.
Validità Legale: Le e-mail inviate tramite PEC hanno valore legale. Questo è particolarmente utile per comunicazioni ufficiali e legali, dove è necessario avere una prova legale dell'invio e della ricezione.
2.
Tracciabilità e Ricevuta: Ogni PEC inviata genera ricevute di accettazione e consegna che attestano l'orario esatto di invio e ricezione.
3.
Integrità dei Messaggi: I messaggi inviati tramite PEC sono protetti contro alterazioni durante il trasporto.
Perché pagare per la PEC?
- La PEC è gestita da provider certificati che devono garantire una serie di requisiti di sicurezza e conformità legale.
- I costi coprono l'infrastruttura necessaria per garantire la consegna certificata e la protezione legale dei messaggi.
Conclusione
Mentre S/MIME e PGP/GnuPG offrono robusti strumenti per la crittografia e la firma digitale delle e-mail, la PEC fornisce un servizio specifico con valore legale certificato. La crittografia protegge la riservatezza e l'integrità delle comunicazioni, mentre la PEC offre garanzie legali che possono essere cruciali in molte situazioni formali.
Tabella Comparativa
Caratteristica | S/MIME | PGP/GnuPG | PEC
-----------------------------------|---------------------------------------|----------------------------------------|--------------------------------------------
Scopo | Crittografia e firma digitale | Crittografia e firma digitale | Posta elettronica certificata con valore legale
Crittografia | Sì (asimmetrica) | Sì (asimmetrica) | No (non è il suo scopo principale)
Firma Digitale | Sì | Sì | No (ma garantisce l'integrità del messaggio)
Validità Legale | No (da sola) | No (da sola) | Sì, equivalente a raccomandata con ricevuta
Certificati | Autorità di certificazione (CA) | Web of Trust o CA | Provider PEC certificati
Autenticazione | CA verifica l'identità | Utenti verificano reciprocamente | Provider PEC verifica l'identità
Ricevuta di Consegna | No | No | Sì
Tracciabilità | No | No | Sì
Integrità del Messaggio | Sì (con firma digitale) | Sì (con firma digitale) | Sì
Costo | Varie, a seconda della CA | Generalmente gratuito (software open source) | Pagamento per il servizio
Facilità d'uso | Certificati CA possono essere complessi da gestire | Più complesso per utenti non esperti | Relativamente facile, interfaccia utente semplificata
Diffusione | Utilizzato in ambiti aziendali e governativi | Diffuso tra utenti tech-savvy e privacy-conscious | Ampiamente usato in Italia per comunicazioni ufficiali
Integrazione | Integrato in molti client e-mail (Outlook, Thunderbird) | Plugin disponibili per molti client e-mail (Enigmail per Thunderbird, etc.) | Generalmente utilizzabile via webmail e client di posta dedicati
Somiglianze
-
S/MIME e PGP/GnuPG
- Entrambi offrono crittografia asimmetrica e firma digitale.
- Entrambi richiedono lo scambio di chiavi pubbliche.
- Entrambi possono essere integrati con client di posta elettronica.
-
PEC e S/MIME
- Entrambi possono essere utilizzati per inviare messaggi con garanzie di integrità.
Differenze
-
Validità Legale: Solo la PEC fornisce una validità legale certificata per le e-mail inviate e ricev
PEC: cos’è, come ottenerla, obblighi e vantaggi della Posta Certificata