Topic: Riservatezza delle informazioni scambiate via mail

[bibbolo]

Non so se la sezione sia giusta, in quanto la richiesta non riguarda propriamente supporto al client, quanto un dubbio inerente la sicurezza, tema a me sempre caro.

Ebbene, sappiamo che tutti (o quasi) i provider implementano misure e protocolli per la sicurezza delle informazioni riservate, come ad esempio il TLS/SSL, purché supportato dal client, o in alternativa offrono la webmail protetta con https.

Ora, il mio dubbio (forse banale) è: se invio una mail dal mio client, utilizzando il protocollo TLS/SSL, posso essere relativamente tranquillo che fino al server le mie informazioni sono state cifrate; ma posso essere altrettanto tranquillo che dal (o dai) server al client del destinatario le informazioni rimangano cifrate? In altre parole, il protocollo TLS/SSL si assicura che le informazioni rimangano cifrate dall'inizio alla fine della comunicazione e quindi verificando che anche il destinatario lo supporti oppure ognuno deve avercelo implementato, pena la perdita di riservatezza in almeno uno dei due tratti della comunicazione?

[DavideDaSerra]

Assolutamente no, l'unica connessione cifrata (di cui puoi essere certo) è quella tra il tuo 'client' e il server del tuo provider. Magari il provider del tuo corrispondente non supporta proprio i protocolli 'sicuri' dunque tutto sarebbe in chiaro.

Una possibilità è una cifratura end to end (tu e il tuo corrispondente avete le chiavi, chi è in mezzo no quindi vedrebbe solo byte senza senso)

[bibbolo]

Come immaginavo.

Nel caso della crittografia end-to-end cosa serve esattamente al destinatario? Ad esempio io ho Enigmail installato in TB, e posso creare mail cifrate, ma il destinatario deve avere un altrettanto sistema adeguato immagino, tipo anche lui un software pgp, chiavi pubbliche, private ecc (non ricordo nemmeno esattamente tutti i procedimenti che lessi tempo fa).. giusto?

p.s. benvenuto, visto che ti sei appena registrato

[DavideDaSerra]

Esattamente. Se vuoi la certezza, fai un account PEC 'chiuso' (cioè che lavora solo con altri account PEC), in questo modo avrai garanzie che tutta la catena sia 'protetta' (senza che servano software particolari al destinatario).

[bibbolo]

Esattamente. Se vuoi la certezza, fai un account PEC 'chiuso' (cioè che lavora solo con altri account PEC), in questo modo avrai garanzie che tutta la catena sia 'protetta' (senza che servano software particolari al destinatario).

Sì, ma il problema è quando il destinatario, che non ha né pec né protocolli di sicurezza implementati, ti chiede di mandargli una mail con i tuoi bei dati riservati, e tu non sai come fare per fargli capire che dovrebbe usarli o, peggio ancora, spiegargli come installare ed utilizzare pgp.. In pratica o rischi o non gli mandi niente e l'affare non si conclude.

[DavideDaSerra]

Gli dici che per privacy preferisci mandargli un FAX (oppure ti appoggi a un servizio esterno come dropbox e condividi 'solo con lui' se sono documenti di un certo peso).

In alternativa (ma non è proprio il massimo) alleghi un file zip protetto da password (e magari separato così da mandarlo in più email) e gli comunichi la password per aprirlo a voce per telefono oppure via sms. Non è il top ma è meglio che mandare tutto in chiaro

[miki64]

Gli dici che per privacy preferisci mandargli un FAX (oppure ti appoggi a un servizio esterno come dropbox e condividi 'solo con lui' se sono documenti di un certo peso).

Mettere un documento riservatissimo su un servizio (onorevole, per carità) come Dropbox io reputo che non sia il massimo della riservatezza.

In alternativa (ma non è proprio il massimo) alleghi un file zip protetto da password (e magari separato così da mandarlo in più email) e gli comunichi la password per aprirlo a voce per telefono oppure via sms. Non è il top ma è meglio che mandare tutto in chiaro

Anche qui non sono tanto d'accordo: cifrare il tutto con 7-Zip per me è una baluardo molto sicuro.

P.S.: vedo che hai risposto a parecchi topic, benvenuto a bordo!   

[deckard]

La cifratura SSL/TLS non è l'unico fattore che entra in gioco nella ricerca di una relativa sicurezza nelle comunicazioni.
Basti guardare per farsi un'idea della complessità delle “entità in gioco”:
https://it.wikipedia.org/wiki/Transport_Layer_Security
https://it.wikipedia.org/wiki/Forward_secrecy
https://it.wikipedia.org/wiki/HTTP_Strict_Transport_Security
https://en.wikipedia.org/wiki/Authenticated_encryption
Un punto di partenza che avevo trovato è la guida Kriptonite assieme al materiale fornito dall'associazione Autistici & Inventati e dal Supporto Mozilla...
http://www.ecn.org/kriptonite/kriptonite/index.php
https://www.autistici.org/docs/mail/privacymail
https://support.mozilla.org/it/kb/firma-digitale-crittografia-messaggi-di-posta
Mandare una comunicazione per vie diverse da quelle che un generico scrutatore potrebbe aspettarsi può ancora avere una valenza, ma c'è bisogno di cautelarsi a più livelli.
Mandare una comunicazione attraverso diverse vie e mezzi di comunicazione può sempre servire...
Oltre a Dropbox vi sono anche altri Cloud.
E anche 7-zip ha avuto le sue vulnerabilità e almeno una di queste era abbastanza seria... Io aspetterei a considerarlo un baluardo molto sicuro. Sulla Settimana Enigmistica c'è sempre la vignetta intitolata “Le Ultime Parole Famose”...
Per il resto c'è già qualche discussione in merito a partire da queste due:
Thunderbird: chiamata alle armi per Enigmail, chiavi GnuPG, firme e quant'altro
https://forum.mozillaitalia.org/index.php?topic=68051.0
Re: Ultime novità su Thunderbird (qualche spunto di riflessione sparso)
https://forum.mozillaitalia.org/index.php?topic=28842.615

[DavideDaSerra]

@miki: un file (ovviamente sempre protetto da password) su dropbox io lo reputo abbastanza sicuro, anche la mail zippata (ma secondo me ha più problemi perchè non sai esattamente su che server transiterà), ma come si dice, dipende da chi è il tuo nemico.
Se il tuo nemico è la 'ditta concorrente della porta accanto' la mail con lo zip cifrato è sufficiente, se il tuo 'nemico' è la CIA, allora è meglio stampare tutto e consegnere di persona.

Il FAX, per i dati sensibili è un ottimo alleato (pensa che negli USA, i sanitari sono obbligati a mandare tutto via fax.

[bibbolo]

Fax, file zippati... ragazzi qui si tratta di mandare una semplice mail con un testo (e magari un allegato). Siamo d'accordo che esistono alternative come fax, consegna a mano, ecc.. ma quando qualcuno dall'altra parte ha come unico modo di ricezione un indirizzo email semplice, come si fa?
Speravo ci fosse ormai una sorta di "globalizzazione" delle misure di sicurezza; gli stessi standard iniziali della posta elettronica, creati negli anni '70, sono stati modificati globalmente per risolvere i problemi di sicurezza iniziali, non è concepibile che oggi giorno questo standard della cifratura non è ancora globalmente abbracciato da tutti i provider, è come se una banca non adottasse l'https per il suo sito web quando passa le credenziali di autenticazione (certo, la posta elettronica è meno importante dei dati bancari, ma sempre di dati riservati si tratta).

[DavideDaSerra]

1> il fax è ideale per mandare 'del semplice testo' in modo sicuro
2> se non ti fidi (legittimamente) della 'semplice' mail e non vuoi costringere la controparte ad adottare qualcosa di più sicuro resta anche la buona vecchia posta ordinaria.

l'unica 'affidabilità' può forse darla GMAIL che da un po' di tempo a questa parte non consente più (per sua scelta) le connessioni non sicure, ma è uno dei pochi, se non l'unico, provider che può permettersi di 'imporre' tale scelta. (anche perchè per un provider la 'sicurezza' è un costo e spesso, se non è obbligatorio, non si hanno vantaggi percepiti a sostenerlo)

[croma.to]

IMHO, associare la sicurezza al solo canale di comunicazione con il server, credo sia limitante.

Inoltre, visto che tutto il mondo si sta spostando su SSL/TLS, tecniche come questa sono sempre più alla portata di tutti

croma.to

[max1210]

Buongiorno.
Mail criptate e non, Fax, file .zip non zip o con bottoni, consegne manuali e tanto altro, ma affidatevi ad un Corriere e il problema è risolto (beh, dipende chi è) 
Io non c'entro è solo un disinteressato suggerimento OT   

[deckard]

IMHO, associare la sicurezza al solo canale di comunicazione con il server, credo sia limitante.

Ah già... Stavo per dimenticarmene..., Grazie di avermelo ricordato...
La scelta del fornitori di servizi e-mail è parte integrante della soluzione e in questo caso mi fido maggiormente di Microsoft e di Outlook.com rispetto a Gmail e a Yahoo. 
Vi sono altre possibili scelte...
Autistici/Inventati, Mailfence, OpenMailBox, ProtonMail, RiseUp e qualcun altro ancora...

Inoltre, visto che tutto il mondo si sta spostando su SSL/TLS, tecniche come questa sono sempre più alla portata di tutti

Se vogliono fare cose in stile “Agenzia di Sicurezza Nazionale” con la mia corrispondenza è molto probabile che ci siano già riusciti.
Poi la domanda sarebbe “Che cosa si vuole nascondere e dagli occhi di chi e perché?!?”
Progetti lavorativi da non fornire su un vassoio d'argento alla concorrenza, conoscenze e amicizie da nascondere ai coniugi o ai genitori, dati bancari e personali come la salute, altro ancora (?!?),...
Poi ci sarebbero i metadati delle comunicazioni... cioè quei dati che riguardano altri dati come ora e durata di una chiamata telefonica, per esempio, oppure il mittente e il destinatario di una mail. Edward S. vi ricorda qualcosa?!?

[miki64]

Ok, adesso però dopo il (come sempre) completo e assennato intervento di Deckard, stiamo sul filo dell'off topic.