💾 Archived View for koyu.space › zuz › glog › drammatico-problema-critto-765.gmi captured on 2022-04-28 at 17:38:26. Gemini links have been rewritten to link to archived content

-=-=-=-=-=-=-

Il problema di mega, protonmail, tutanota, ecc.

Posted by bu on Mon, 31 Jan 2022 07:28:29 +0100 in “Smanett”

Last modified on Tue, 08 Feb 2022 15:43:10 +0100

Il problema principale con mega, tutanota, protonmail e tutti quei servizi che, analogamente a questi, gestiscono dati sensibili dellə utentə, al presente sta già nel fatto che, quando vengono utilizzati attraverso il browser, chi li gestisce è nelle condizioni tecniche di venire a conoscenza di quei dati sensibili; questo, in sostanza, perché il codice javascript che gira nel browser viene scaricato ed eseguito automaticamente dal browser stesso a ogni caricamento di ogni pagina web senza che sia stato verificato da alcuna “parte terza”, e men che meno dall’utente.

È già diverso, meno insicuro, il caso in cui l’accesso al servizio web ed eventuali funzioni di crittografia vengono effettuati da un’estensione del browser il cui codice sorgente è aperto e controllato abbastanza spesso (idealmente dovrebbe esserlo a ogni release) da “parti terze” affidabili ({Mailvelope mi pare corrispondere “abbastanza” a queste caratteristiche[1]}).

Per quanto mi riguarda, comunque, mi sento “abbastanza” sicuro, per quel che è dato esserlo oggi, così...

per le mail su pc uso {Claws Mail[2]} con {GnuPG[3]} (quest’ultimo è sempre molto “auditato”), attraverso {i plugin PGP/Core e PGP/MIME[4]} di Claws (plugin che in quanto a usabilità e funzionalità implementate sono però parecchio carenti); ci sarebbe anche {Thunderbird[5]}, che però ha deciso di utilizzare {RNP[6]}, una nuova implementazione di {OpenPGP[7]} (uno standard aperto per la crittografia end-to-end), invece di appoggiarsi a GnuPG come faceva in precedenza attraverso l’estensione Enigmail, e su RNP per ora non ho trovato auditing (bello che invece {LibreOffice[8]} per le funzioni di salvataggio crittato dei suoi documenti si appoggi a GnuPG: mi sembra eccessivo il proliferare di diverse implementazioni di OpenPGP, ciascuna delle quali dev’essere auditata, e in particolare il fatto che abbiano formati di salvataggio delle chiavi pubbliche e private diversi);
per le mail su android uso {K-9 Mail[9]} con {OpenKeychain[10]} (si trovano entrambi su {F-Droid[11]} e sullo store di gugol); OpenKeychain è stato valutato bene da un auditing indipendente e per quanto riguarda l’usabilità mi sembra abbastanza buono, a parte il grande difetto costituito dal fatto che al presente non ha nessun supporto per i keyserver (sono server come {questo[12]} sui quali è possibile caricare la propria chiave pubblica[*] e cercare e scaricare le chiavi pubbliche altrui);
per i file a volte uso anche servizi web come mega (ma non lo userei mai per cose davvero importanti), però se appena posso (se per esempio le dimensioni del file lo consentono) uso con molta più fiducia altri servizi web, non commerciali, come quello di {disroot[13]} e altri analoghi, sebbene tecnicamente si portino lo stesso problema di cui al primo paragrafo; per ovviare a quel problema, quando posso, critto il file in locale con GnuPG (GPG) e crittografia simmetrica, lo mando su un servizio web e ne passo il link e la password a chi voglio che possa scaricarlo e decrittarlo; questo equivale, per funzionalità, a mandare un file su mega o su qualsiasi altro servizio remoto analogo e poi condividerne il link; al presente è un po’ più scomodo, certo, e richiede che le persone con cui voglio condividere quel file abbiano GnuPG e lo sappiano usare da terminale, ma è più sicuro per noi (e ugualmente sicuro per il fornitore del servizio).

[*] La crittografia delle mail è asimmetrica, ovvero è un tipo di crittografia (quella di gran lunga più utilizzata) in cui ciascun* ha due chiavi, una detta privata e una detta pubblica. Ciascun* deve custodire molto attentamente la propria chiave privata sui propri dispositivi e non darla a nessun*, mentre può dare in giro tranquillamente a chiunque la propria chiave pubblica. Chiunque abbia la tua chiave pubblica può crittare un file o una mail in modo che solo tu, che hai la chiave privata corrispondente alla tua chiave pubblica, possa decrittare quel file o quella mail. Una cosa stramba che mi piace aggiungere è che puoi crittare lo stesso file o la stessa mail con più chiavi pubbliche (compresa la tua) e in questo modo lo stesso file o la stessa mail saranno decrittabili da più persone (compreso te, eventualmente).

[Comunque io volevo solo scambiarmi ricette con mia nonna in modo sicuro tramite l’internet, soprattutto ricette coi {crauti[14]}].