Qual è il modo più sicuro per inviare email usando PGP?

4

Sono un principiante PGP, avendo appena scaricato GPG per OS X. Ho creato la mia prima chiave pub / sec per il mio indirizzo email e l'ho caricata sul server delle chiavi pubbliche.

GPG ha diverse funzionalità disponibili, ovvero: 1) encrypt, 2) decrypt, 3) sign e 4) verify. Date queste opzioni: Qual è il modo più sicuro di usare PGP per inviare & ricevere email?

Quando invio, crittografare le mie e-mail? O firmare e crittografare? O semplicemente firmare? Qual è il migliore? E qual è la differenza tra loro?

E riguardo la ricezione di e-mail? Cosa consideri il più sicuro? Se qualcuno mi invia una e-mail, dovrei insistere sul fatto che sia firmata? o crittografato? o qualcos'altro?

Ci sono molte spiegazioni contrastanti su blog, tutorial, ecc. per il modo migliore di usare PGP. Sto cercando una spiegazione "Plain English", orientata verso persone non-InfoSec come me.

Nota: non utilizzo l'app OS X Mail, poiché utilizzo un client di posta elettronica di terze parti (Sparrow).

Aggiornamento: non sono interessato a installare un altro client di posta elettronica. GPG viene fornito con le voci del menu Servizi OS X che includono crittografia, decodifica, firma e verifica. Funzioneranno con qualsiasi applicazione, e-mail o altro. Questo è quello che sto usando.

    
posta jerzy 16.01.2014 - 02:37
fonte

3 risposte

2

Il modo sicuro più per inviare e ricevere email tramite PGP è firmarlo e crittografarlo.

La firma fornisce l'integrità, consentendo ai destinatari di verificare che il messaggio è stato inviato da te e non è stato manomesso.

La crittografia garantisce la riservatezza, garantendo che chiunque possa intercettare il messaggio non sia in grado di leggerlo.

Entrambi questi sono aspetti importanti della sicurezza, sebbene in alcuni casi si possa decidere di averne bisogno solo uno e non l'altro quando si invia la posta.

Per ricevere la posta, quella a cui sei più interessato è la firma, altrimenti non puoi garantire che il messaggio provenga effettivamente dal mittente. Se ricevi un messaggio non criptato, altre persone che sono / erano in grado di ottenerlo sarebbero in grado di leggerlo, ma non c'è molto da fare se fosse già stato inviato (a meno che non volessi crittografarlo per l'archiviazione sul tuo PC , o per inoltrare ad altre persone).

    
risposta data 16.01.2014 - 07:58
fonte
0

L'utilizzo di GnuPG è molto semplice con Thunderbird o SeaMonkey e il plug-in Enigmail . Entrambi sono disponibili per OS X. La firma, la crittografia e la decrittografia vengono gestite in background e la gestione delle chiavi è semplice.

Non trovo nulla riguardo al supporto di GnuPG in Sparrow e questo post di GPGTools afferma che il suo "lo sviluppo è stato interrotto a partire da ottobre 2012" dopo l'acquisto da parte di Google. Dovresti firmare, crittografare e decodificare con il client GnuPG standalone.

La firma fornisce la prova che hai creato un messaggio. E dice anche al destinatario quale chiave pubblica utilizzare per crittografare una risposta. La crittografia impedisce a terzi di leggere i messaggi. Tuttavia, le intestazioni dei messaggi non sono crittografate, dati i meccanismi di trasmissione della posta elettronica.

Di solito, puoi firmare messaggi che vanno a mailing list o altri forum pubblici, dove la crittografia sarebbe controproducente. La firma e la crittografia sono tipiche dei messaggi privati, anche se alcuni firmano anche dopo la crittografia. Per i messaggi a più destinatari, è possibile crittografare congiuntamente tutte le chiavi pubbliche, in modo che ciascun destinatario possa decrittografarle. Enigmail crittografa anche i messaggi in uscita sulla tua chiave pubblica, in modo che tu possa leggerli anche.

Ciò che ti serve dei corrispondenti dipende da te. Per tutto ciò che riguarda la privacy, io corrispondo solo a chi firma e cripta. Se l'identità è importante, corro solo con coloro le cui chiavi sono state firmate da parti terze fidate. Se è davvero importante, ottengo le chiavi pubbliche da più fonti e verifica che siano identiche.

La mailing list [email protected] è una buona risorsa.

    
risposta data 16.01.2014 - 05:09
fonte
0

Sono passate le tue domande e qui ho trovato una soluzione per questo.

Suggerisco di usare Thunderbird per questo, dato che puoi facilmente configurare PGP. Per crittografare le e-mail tramite PGP, è necessario generare una chiave pubblica e una chiave privata. Basta seguire i passaggi (per Thunderbird) seguendo i passaggi suggeriti dalla procedura guidata della chiave PGP. Per avviarlo, seleziona OpenPGP- > Configurazione guidata .

1. Firma: scegli "Sì .."

2. Crittografia: scegli "No .."

3. Preferenze: scegli "Sì"

Apri chiave PGP non trovata: se non hai una chiave PGP, questa schermata mostra come generarne una. Creazione di una chiave: per impedire che la tua chiave segreta venga utilizzata da chiunque altro, la procedura guidata suggerisce di proteggerla con una password. Facoltativo: è possibile creare un certificato di revoca. Questo ti permetterà di disabilitare la tua chiave se la perdi.

Invio di un messaggio crittografato: In Thunderbird, fai clic sul pulsante "scrivi", che apre una finestra di messaggio. In basso a destra ci sono due simboli, una matita e una chiave.

Questi ti permettono di firmare o criptare un messaggio. Clicca sul tasto, che diventerà giallo, e scrivi il tuo messaggio.

Se fai clic su "invia" e non hai recuperato la chiave pubblica del destinatario, Thunderbird ti suggerirà di scaricare se per te. Nella schermata in basso, clicca su "Scarica le chiavi mancanti".

Spero che questo ti possa aiutare.

    
risposta data 16.01.2014 - 06:27
fonte

Leggi altre domande sui tag