Innovazione

Cybersecurity: come proteggere le nostre email

Nell’attuale dibattito su privacy e Internet c’è forse un tassello mancante. Quanta conoscenza si ha degli strumenti prodotti in opensource o da programmatori “coraggiosi” a difesa della nostra privacy?
di Biagio Tampanella
20 aprile 2015

Nell’attuale dibattito su privacy e Internet c’è forse un tassello mancante. Quanto sono informati o si informano gli utenti sui rischi della Rete e sull’utilizzo dei propri dati di navigazione da parte di soggetti terzi? Quanta conoscenza si ha degli strumenti prodotti in opensource o da programmatori “coraggiosi” a difesa della nostra privacy?
L’Eurispes.it propone un percorso conoscitivo di quei programmi, strumenti o applicazioni pensati per offrire maggiore sicurezza nel Web. Iniziamo da Tutanota, nuovo client di posta elettronica tedesco.

 

L’avvento delle nuove tecnologie e il conseguente “need to share”, un bisogno sempre più condiviso (e il gioco di parole è voluto), hanno condotto negli ultimi anni ad un dibattito molto acceso, che non si è ancora concluso: riferendoci alle comunicazioni che avvengono su Internet, da un lato abbiamo chi invoca e pretende la privacy assoluta, dall’altro lato c’è chi accetta, suo malgrado, una limitazione della propria riservatezza a beneficio di una sorveglianza di massa che possa però individuare e prevenire esclusivamente il concretizzarsi delle cattive intenzioni di criminali e terroristi, che usano sempre più spesso la Rete per comunicare fra di loro.

In questo scenario, vale la pena parlare di quattro giovani ricercatori tedeschi, che amano autodefinirsi combattenti per la libertà e per il diritto alla privacy, i quali hanno creato un client di posta elettronica open source e gratuito, denominato Tutanota. Si chiamano Matthias Pfau, Hanna Bozakov, Bernd Deterding e Arne Möhle. Il loro progetto è nato nel 2011 e da allora si è sviluppato fino a raggiungere, oggi, una dimensione che merita attenzione. Vediamo il perché.

Questo servizio email si differenzia dagli altri per via delle sue peculiari caratteristiche che andremo sinteticamente a descrivere. Nel farlo, ci aiuteranno gli ideatori stessi di questo servizio email, i quali hanno accettato di rispondere ad alcune delle nostre domande.

Partiamo dal nome del progetto: “Tutanota”. Esso deriva dall’unione di due parole latine: “tuta” e “nota”, che significano “messaggio sicuro”.

Perché messaggio sicuro? Perché Tutanota opera automaticamente una cifratura dei contenuti dei messaggi di posta elettronica, compresi gli allegati e lo stesso oggetto dell’email. Gli unici metadata che al momento non sono cifrati sono il mittente, il destinatario e la data dell’email, ma gli sviluppatori promettono di riuscire a rimuovere in futuro la relazione fra mittente/destinatario e i relativi metadata, in modo da rendere impossibile tale associazione e rafforzare quindi la privacy.

Il servizio è gratuito e offre 1 GB di spazio di archiviazione dati. Oltre al servizio di Webmail gratuito, esiste anche un Plugin Outlook disponibile per i clienti business.

La registrazione è semplice e avviene in pochi secondi. Al momento della registrazione non è necessario fornire dati personali. Anche se si desidera aggiungere caratteristiche Premium (ad esempio per aumentare lo spazio di archiviazione da 1 a 5 GB), in futuro si sarà in grado di pagare in modo anonimo con Bitcoin.

Gli indirizzi IP dei messaggi di posta elettronica inviati e ricevuti vengono rimossi in modo che la posizione degli utenti rimanga sconosciuta. Più precisamente, gli Indirizzi IP vengono rimossi prima che l’email venga inviata. Allo stesso modo, gli indirizzi IP delle email ricevute vengono rimossi una volta che essi raggiungono i server di Tutanota e prima di essere inoltrate.

I server di Tutanota si trovano in Data Center sicuri in Germania. Tutti i dati conservati sono soggetti alle rigide leggi tedesche in materia di protezione della privacy. Al di là di ciò, tutti i dati sono comunque criptati in maniera end-to-end e non possono quindi essere letti in chiaro nemmeno dai proprietari di Tutanota, dai Provider o da qualsiasi Terza Parte.

Tutanota utilizza un complesso e articolato sistema di crittografia (che combina algoritmi di cifratura asimmetrica, simmetrica, funzioni di hash), che per brevità non andremo ad illustrare in questo articolo. Il potente e complesso sistema di sicurezza viene però celato da una interfaccia grafica semplice, pulita, senza pubblicità e senza fronzoli, essenziale ma molto piacevole.

Si evidenzia come la funzionalità di recupero password non sia possibile, in quanto i server di Tutanota non conoscono la vostra password (in realtà ne conoscono una versione cifrata, dalla quale però è impossibile risalire a quella in chiaro).

Tutti i dati cifrati hanno un backup, e i backup sono a loro volta duplicati in Data Center differenti. Questo significa che anche se un server dovesse andare distrutto (per esempio in un incendio), rimarrebbero almeno due copie dei propri dati in altri luoghi fisici diversi.

Gli sviluppatori di Tutanota ci tengono a precisare, con onestà intellettuale, che nessun sistema su Internet è sicuro al 100%. Comunque, il codice di Tutanota è open source e quindi può essere verificato e migliorato da chiunque. Il software open source, in questo caso particolare, garantisce anche l’assenza di backdoor nel codice stesso.

L’obiettivo di Tutanota è essenzialmente quello di proteggere (o rendere la vita più dura) dalla sorveglianza di massa indiscriminata: mentre email non cifrate possono essere intercettate, lette e analizzate con un “click”, le informazioni criptate in maniera end-to-end non possono esserlo.

Tutanota è stato oggetto inoltre di una serie di penetration test dal SySS GmbH nel mese di Novembre 2013. Durante le prove gli esperti non sono stati in grado di accedere al sistema o di recuperare tutti i dati confidenziali.

La privacy viene aumentata anche nelle comunicazioni fra un utente Tutanota e un utente non Tutanota. Quando si invia una email cifrata a un destinatario esterno, a qualcuno quindi che non usa Tutanota, è possibile usare una password, scambiata in precedenza, che operi una cifratura della email stessa. Il mittente quindi inserisce la password prima di spedire l’email.

Il destinatario riceverà un’email di notifica contenente un link a Tutanota. Cliccando su tale link ed inserendo la password nota a priori, potrà leggere l’email decifrandola automaticamente, potrà inoltre rispondere, sempre in maniera confidenziale, e conservare tutti i messaggi scambiati localmente.

Sul sito web www.tutanota.com è possibile reperire ulteriori maggiori informazioni su tale interessante progetto, che vede già quasi 100.000 utenti registrati. Oltre a poter accedere all’email da qualsiasi browser, sono state implementate anche due applicazioni mobili per i possessori di dispositivi Android e iOS.

Tornando al quesito iniziale amletico, ho rivolto la medesima domanda agli sviluppatori di Tutanota.

La privacy è un tema molto importante nella società odierna. Pensate che la privacy assoluta, per chiunque, anche coloro i quali vogliono comunicare in maniera anonima per cattive intenzioni, sia più importante della sorveglianza?

Questa è una domanda molto importante. Riteniamo che la privacy sia un diritto umano fondamentale. Se rinunciamo a questo diritto per milioni di cittadini, abbiamo già perso. Uno Stato di sorveglianza trascura tutti i nostri basilari diritti democratici di libertà di espressione e di privacy. In Germania abbiamo imparato l’importanza della privacy nel modo più duro con la Stasi. Nessun politico vorrebbe mai proibire il nostro diritto a sussurrare, ma per qualche ragione il sussurrare online viene considerata una cosa negativa. Noi non siamo d’accordo. Noi affermiamo che tutti dovrebbero sussurrare in modo che le attuali pratiche di sorveglianza di massa, che mettono chiunque sotto un sospetto generale, diventino impossibili. Il nostro diritto alla privacy è fondamentale se vogliamo continuare a vivere in una democrazia libera.

Avete mai subito pressioni per fermare il vostro progetto?

No. Al contrario, abbiamo ricevuto finanziamenti pubblici dalla Germania e dall’Unione Europea.

Quali sono i prossimi sviluppi per rafforzare la sicurezza di Tutanota?

Sicuramente è l’autenticazione a 2-fattori (doppia password). Implementeremo questa funzionalità prima dell’estate 2015. Con tale forma di autenticazione, si potrà essere più sicuri che nessuno potrà avere accesso alle vostre email.

Nel panorama dei progetti che mirano ad una maggiore garanzia della nostra privacy, riteniamo che Tutanota rappresenti un valido contributo di successo e pertanto auguriamo agli sviluppatori un buon lavoro.