Prima di tutto dovresti notare una cosa: se sei realmente coinvolto in questioni top secret, se sei una societa' coinvolta in affari miliardi di dollari, se sei un agente segreto, in breve, se la tua viata dipende dalla sicurezza di un messaggio, beh, non essere preoccupato riguardo alla sicurezza della passphrase; continua solo a leggere questa pagina, e sarai sorpreso di sapere che a volte, beh, anche l' algoritmo crittografico piu' forte puo' essere realmente inutile...;-)

(Nel caso tu fossi un semplice utente PGP come me, che considera la privacy solamente una questione importante, continua a leggere questa pagina per tua informazione...).

Di cosa hanno bisogno 'loro' per craccare PGP

Per poter leggere un messaggio cifrato indirizzato a te, sono necessarie la tua chiave privata e la tua passphrase. Qualsiasi persona che ottenga la tua chiave privata e la tua passphrase puo' leggere i messaggi cifrati a te indirizzati! Come possono 'loro' ottenere il tuo file 'secring.skr' (cioe' la tua chiave privata) e/o la tua passphrase segreta? E quali contromisure sono adottabili per far fronte a questo problema? Vediamo i Problemi piu' conosciuti e le relative Contromisure:

16. Lasci la tua chiave privata nel tuo computer - Se lo fai, ricordatene quando consegni il tuo computer per farlo riparare, quando vendi il computer (senza riformattare l' hard disk), quando la tua segretaria usa il computer, quando gli amici universitari di tuo figlio usano il tuo computer, quando sei collegato in rete ed un cavallo di troia malizioso ruba la tua chiave privata, quando qualcuno nel tuo ufficio si dirige verso il tuo computer all' ora di pranzo, quando il tuo computer viene rubato...in breve: porta via la tua chiave privata dal tuo computer! Sei stato avvertito... :)
    3. Nonostante sia un lavoro molto difficile (leggi impossibile) decifrare un messaggio con la tua chiave privata (secring.skr) senza la tua passphrase, credo che dovresti mantenere la tua chiave privata in un posto sicuro. Percio':
       1. Sposta il tuo file secring.skr dal tuo computer in un posto sicuro (per esempio un floppy disk)
       2. Non etichettare il floppy disk contenente la tua chiave privata in questo modo: 'La mia chiave privata realmente sicura...'
       3. Proteggi il tuop floppy disk da sguardi indesiderati utilizzando un software crittografico come PassKeeper 1.2 (questo software usa una implementazione del DES scritta da Eric Young)

16. Dai la tua chiave privata in giro - Ok, ora pensi che io stia scherzando...bene, ci sono realmente parecchie persone che danno le loro password/passphrase agli altri. Spesso i cracker telefonano alla loro vittima fingendosi il loro ISP: 'Salve, sono Pinco Pallino da PincoISP...a causa di recenti problemi attinenti alla sicurezza, si e' reso necessario cambiare tutti i profili associati ai nostri utenti...per questa ragione dobbiamo cancellare e modificare tutte le vecchie password...dal momento che non potra' usare la sua attuale password in un prossimo futuro, devo saperla per cancellarla dall' elaboratore centrale...le daro' la nuova password temporanea 'trapduserXX'... percio vuole gentilemente indicarmi la sua password?'...Bene, credici o no, MOLTI utenti (anche quelli esperti) cascano nella trappola e danno la loro password. Questa attivita' e' chiamata 'Social Engineering' (Ingegneria Sociale), ed e' la tecnica piu' efficacemente usata per ottenere delle password. Tutti i crackers la conoscono... ;-)
    3. Non dare la tua password a nessuno per nessun motivo!! Credimi: gli ISP non hanno bisogno di sapere la tua password...

16. Lasci la tua password/passphrase su un biglietto tipo post-it sul monitor del tuo PC, sulla scrivania, su un calendario, in un diario, dato che non riesci mai a ricordarla...
    3. Mai scrivere la tua password/passphrase! Dovresti usare qualche mnemo-tecnica p qualcosa del genere. Dai un' occhiata alla prossima sezione riguardante la scelta delle password e delle passphrase

16. Scrivi la tua password/passphrase su un pezzo di carta che poi getti nel cestino - In questo caso ricorda che nel tuo ufficio chiunque puo' accedere al tuo cestino all' ora di pranzo...Inoltre ricorda che se scrivi la tua password/passphrase su un pezzo di carta e poi lo distruggi, una debole traccia di cio' che hai scritto e' ancora li' (sul foglio del blocco note che si trovava sotto quello che hai usato per scrivere la password/passphrase)
    3. Di nuovo, non scrivere mai la tua password/passphrase da nessuna parte! Se proprio non puoi evitarlo, fai attenzione al blocco note...;-)

16. Digiti la tua password/passphrase davanti a qualcuno che puo' vedere la tastiera
    3. Fai attenzione se qualcuno sta osservando cio' che digiti mentre inserisci la tua password/passphrase. In questo caso, chiedigli gentilmente di distogliere lo sguardo dalla tastiera mentre digiti la tua password/passphrase

16. Scegli una cattiva password/passphrase - Il problema e' che alcuni programmi - chiamati password cracker - possono decifrare facilmente questo tipo di password. I password crackers usano dizionari per tentare tutte le parole ininterrottamente fino a quando non trovano la password giusta. Uno di questi strumenti - piuttosto conosciuto - e' PGPcrack. PGPcrack e' uno strumento di forza bruta ampiamente distribuito per scardinare i file cifrati con PGP. Usa un file dizionario per ottenere le parole da provare, e le prova ininterrottamente fino a quando non trova la password. PGPcrack prova piu' di 15.000 parole al secondo su un Pentium da 100 Mhz (mentre scrivo sono disponibili i Pentium da 450 Mhz in giro...). Credo sia superfluo raccontare che qualcuno ha dimostrato che le chiavi DES a 56 bit possono essere craccate da un attacco di forza bruta. Comunque, solo per tua informazione, devi sapere che DES (Data Encryption Standard) e' uno degli algoritmi commerciali di crittografia piu' usato, sviluppato dal governo americano e da IBM nel 1970. DES usa una chiave di crittografia a 56 bit (in breve, ci sono 72.057.594.037.927.936 chiavi possibili). Era considerato un algoritmo molto sicuro, sino a quando venne scardinato! Cryptography Research, Advanced Wireless Technologies, ed Electronic Frontier Foundation svilupparono dell' hardware e del software appositamente studiati per cercare 90 miliardi di chiavi al secondo. Bene, neanche a dirlo, hanno trovato la chiave e vinto la scommessa di 10.000 dollari della DES Challenge il 15 luglio del 1998 dopo aver cercato per 56 ore. Nota: il budget totale del progetto si attesta al di sotto dei 250.000 dollari...
    3. Scegli buone passwords/passphrases. Ecco alcune linee guida:
       1. Dovresti evitare di scegliere il tuo nome o cognome, il tuo soprannome, la tua data di nascita, il nome di persone, parole comuni, nomi di paesi, animali e cosi' via
       2. Non usare proverbi: alcuni password cracker avanzati conoscono i proverbi...
       3. Non usare parole del dizionario
       4. Piu' lunga e' la password meglio e': evita password minori di 8 caratteri (infatti dovresti usare delle passphrases)
       5. Quando scegli una password, miscela cifre lettere e caratteri speciali come: ':;£$(,.ç@&/!
       6. Usa tecniche mnemoniche con frasi senza senso per aiutarti. Per esempio considera la frase: 'I am writing these pages to help people to use PGP? Well I hope so!'. La passphrase potrebbe essere qualcosa del genere: 'Imwritin'thesepages2helppeople2usePGP?WellIhopeso!' In italiano rende meno...
       7. Crea una password partendo da una passphrase. Percio' dovresti usare una speci di frase che riesci a ricordare, poi prendere la prima lettera di ciascuna parola e metterle insieme per formare la tua password. Per esempio una frase come questa: 'Il Mio Cane Mangia 2 Salsicce Tutte Le Settimane!' e' una frase giusta. La password e': IMCM2STLS!
       8. Non usare la stessa password per piu' scopi. Al contrario, dovresti usare delle passphrase a compartimenti (cioe', certe passphrase per un livello di sicurezza forte come PGP e alcune altre per un livello di sicurezza debole come negli screensaver). Comunque per saperne di piu' sulle passphrase, ti suggerisco di leggere la 'passphrase FAQ'. Puoi trovare la 'passphrase FAQ' ed altro interessante materiale del genere qui:
          1. Galactus' page (Netherlands)
          2. Don Henson's page (USA Texas)
          3. Patrick Finerty's page (USA Utah)
          4. SkuzNET - How to Choose a Passphrase FAQ
          5. Passphrase FAQ by Randall T. Williams
          6. The Diceware Passphrase Home Page (Diceware e' un simpatico sistema per creare passphrase casuali usando i dadi :-)
          7. The Diceware FAQ
          8. Inoltre puoi trovare una copia firmata della FAQ su alt.security.pgp.

16. Un microfono nascosto ascolta la tua password
    3. Non leggere la tua password/passphrase a voce alta! Beh, alcuen persone lo fanno. Dovresti ricordarti che un microfono nascosto puo' origliare la tua password...

16. Una telecamera nascosta osserva la tua password
    3. Usa dei metodi di contromisura di sorveglianza tecnica (TSCM)

16. Il tuo file di swap viene rubato - Windows3.x e Windows95 usano un file di swap per simulare una dimensione di memoria maggiore del reale (memoria virutale) e se tu prendi una copia del file di swap ed un editor di file, potrai trovare la passphrase di PGP scrutando tra i byte.
    3. Dopo aver decifrato/firmato un messaggio con PGP, cancella (wipe) il file di swap e spegni il computer. Oppure, se hai abbastanza memoria, disabilita la memoria virtuale.

16. File 'Non abbastanza cancellati' - Devi sapere che quando cancelli un file, questo si trova ancora li' nell' hard disk, perche' il sistema operativo non lo cancella effettivamente. Semplicemente lo etichetta come file cancellato. Pero' il file e' ancora li', e lo puoi persino recuperare con alcuni strumenti come le Norton Utilities ad esempio. Nota che alcune applicazioni mantngono una copia del documento mentre ci stai lavorando, e lo cancellano non appena termini la sessione. Bene, quel file temporaneo non e' cancellato effettivamente: e' semplicemente 'etichettato' come file cancellato...
    3. Ci sono delle utility di 'wiping' che cancellano effettivamente i file sovrascrivendoli. PGP ha una opzione di wipe, ma sovrascrive solo una volta. E' sufficiente nella stragrande maggioranza dei casi, ma gli esperti dicono che dovresti sovrascrivere un file almeno 3 volte prima di poterlo considerare cancellato effettivamente (beh, anche se esistono dei microscopi elettronici a scansione molto sofisticati che recuperano i file che sono stati sovrascritti tra le 7 e le 9 volte, credo che tu sia abbastanza sicure usando quelle wiping utility... ;-)

16. Le tue battute vengono monitorate - Ci sono programmi che leggono i tasti quando vengono premuti. Un intruso potrebbe installare questo tipo di software sul tuo sistema per poi leggere la tua pasphrase mentre la digiti. Ci sono parecchi modi per farlo. Per esempio, ci sono un sacco di strumenti di 'sniffing' (keyboard sniffers appunto) basati sul sistema Dos, disponibili sulla rete. Sto parlando di strumenti basati sul sistema operativo Dos perche' e' un po' piu' complicato installare tali programmi su sistemi Unix, dato che per far cio' e' necessario l' accesso come root (certo, a meno che tu non stia usando una interfaccia X-Window, dato che ci sono molti strumenti che leggono i tasti durante una sessione X-Window). Ma come puo' un intruso installare questo tipo di software sul tuo sistema? Beh, per esempio attraverso un virus. E' da notare come non sia indispensabile caricare dei virus di tipo TSR per raggiungere questo scopo. Infatti un boot virus puo' fare questo lavoro senza problemi.
    3. Scarica software solo da fonti fidate. Usa un buon software antivirus. Usa un pacchetto di controllo del monitoraggio della tastiera come 'NetSafe'.

16. Il tuo browser web e' insicuro - I web browser hanno dei bug di sicurezza. Inoltre alcuni linguaggi di programmazione come Java, Javascript, VBscript, ActiveX possono essere usati per recuperare informazioni dal tuo computer (per esempio il tuo portachiavi). Alcuni di questi linguaggi pongono molta attenzione ai problemi di sicurezza (vedi Java) altri invece sono molto piu' insicuri (vedi ActiveX). Inoltre le versioni piu' vecchie sono meno sicure delle versioni piu' nuove (vedi Javascript).
    3. Usa le ultime versioni del tuo web browser preferito. Disabilita Java, Javascript, VBscript, ActiveX nel tuo browser. Usa Lynx (un browser web testuale vecchio stile, che non presenta dei rischi di sicurezza conosciuti)

16. Qualcuno ti osserva con un telescopio attraverso la finestra mentre digiti la tua passphrase
    3. Come vedi un intruso non deve necessariamente usare strumenti complicati...Percio', beh, chiudi la finestra... ;-)

16. Qualcuno usa TEMPEST per recuperare delle informazioni - TEMPEST sta per Transient ElectroMagnetic PulsE STandard ed e' uno standard per la schermatura elettromagnetica dei componenti dei computer. Significa che i monitor (CRT) la CPU e/o le periferiche, emettono radiazioni elettromagnetiche simili alle onde radio che posso essere intercettate da una postazione remota posta ad una certa distanza e con poco sforzo. Per esempio, qualcuno potrebbe piazzare un furgone all' esterno della tua casa, puntare un' antenna e leggere tutto cio' che stai digitando - e vedendo - sul tuo computer (per saperne di piu': http://www.eskimo.com/~joelm/tempest.html).
    3. Acquista hardware schermato contro l' effetto TEMPEST. Usa le comuni tecniche di schermatura delle frequenze radio.

16. Un cavallo di Troia ruba la tua password/passphrase - Cos' e' un cavallo di Troia? E' un programma apparentemente innocuo. Bene, quel programma fa proprio le cose che ci si aspetti che faccia. Ma proprio come il cavallo di Troia di Ulisse, in modo simile, del codice subdolo e' scritto all' interno di quel programma. Quel codice puo' registrare la tua passphrase segreta e, se trova un modem, puo' inviarla ad un host specifico.
    3. Purtroppo non puoi rilevare un cavallo di Troia prima che questo agisca in qualche modo. Gli antivirus non possono rilevare i cavalli di Troia, perche' questi sembrano appunto degli innocui e normali programmi a tutti gli effetti.

16. Un intruso non ha bisogno della tua passphrase perche' la tua copia 'modificata' di PGP cifra i messaggi usando sempre una seconda chiave. PGP puo' essere modificato o tramite patch nel codice binario o modificando e ricompilando il codice sorgente (ricorda che il codice sorgente di PGP e' pubblicamente disponibile sulla rete). Inoltre considera che la tua copia di PGP puo' essere sostituita fisicamente con una copia modificata in tua assenza. Infine chiunque puo' usare un attacco di tipo 'man in the middle' (lett. 'uomo nel mezzo'), cioe', chiunque si puo' interporre tra te e l' host dal quale scarichi PGP per fornirti una una copia modificata mentre credi di scaricarla da una fonte leggittimata come quella del MIT (questo attacco e' anche chiamato 'session hijacking', ossia dirottamento di sessione).
    3. Dovresti proteggere il tuo computer con una password. Dovresti scaricare piu' copie di PGP e confrontarle. Dovresti scaricare la tua copia di PGP da una fonte conosciuta e sicura. Dovresti verificare tutte le firme. Dovresti compilare da te i sorgenti presi da fonti fidate. Dovresti conservare degli hash (riassunti) della tua copia di PGP e controllarli regolarmente.

16. Dei virus elaborati per raccogliere/rubare informazioni rubano la tua chiave privata
    3. Usa un buon antivirus