Finalmente una visione chiara: totemo spiega i vari standard per la crittografia delle email e offre soluzioni. Le aziende devono reagire alla varietà degli standard di crittografia.
Le e-mail sono parte integrante del lavoro quotidiano: le aziende raggiungono in questo modo la quasi totalità dei clienti, sia utenti finali che aziende, nonché i loro partner commerciali. La forte crittografia delle e-mail è quindi una delle basi più importanti per proteggere i dati business-critical o personali da accessi non autorizzati durante la trasmissione e l'archiviazione. I responsabili della sicurezza IT dovrebbero quindi familiarizzare con gli standard TLS, PGP/OpenPGP, MIP e S/MIME. Diventa subito chiaro: la crittografia delle e-mail richiede un "traduttore specializzato" e i responsabili IT hanno bisogno di una buona prospettiva.
TLS: La protezione del trasporto
TLS (Transport Layer Security) è un protocollo crittografico che crittografa il canale di trasporto tra il mittente e il destinatario. Il vantaggio di una tale "crittografia del trasporto" è che durante la trasmissione non è possibile visualizzare dall'esterno nemmeno i metadati come mittente e destinatario, oggetto e ora di invio.
Per fare ciò, i sistemi di posta del mittente e del destinatario devono comunicare direttamente tra loro. Tuttavia, di solito non è così, quindi la crittografia funziona solo fino al nodo successivo. Ecco perché gli esperti raccomandano di combinare il protocollo TLS con la crittografia dei contenuti come S/MIME o PGP. Ciò compensa i punti deboli di TLS.
PGP: Abbastanza buono, ma complesso
PGP sta per "Pretty Good Privacy" e, a differenza di TLS, crittografa il contenuto di un'e-mail, che può quindi essere letta solo dal destinatario autorizzato, indipendentemente dal canale di trasmissione. Questo standard si basa su un "Web of Trust" durante la convalida di una chiave. Le chiavi pubbliche sono certificate in modo decentralizzato da molte persone. Ciò fornisce sicurezza partendo dal presupposto che un potenziale aggressore avrebbe difficoltà a ingannare allo stesso modo tutti coloro che hanno precedentemente firmato la chiave. D'altra parte, non è chiaro chi abbia effettivamente contribuito alla certificazione.
Sebbene PGP sia uno degli standard più importanti, principalmente le aziende esperte di tecnologia e gli utenti privati della comunità IT ricorrono a PGP a causa della sua mancanza di facilità d'uso. Uno dei motivi è che lo standard non è integrato in tutti i comuni client di posta elettronica, quindi non c'è un'esperienza utente coerente.
Microsoft 365 offre un'alternativa con MIP
Con Microsoft Information Protection (MIP) in Microsoft 365 (M365) esiste in linea di principio un'opzione molto intuitiva per crittografare le e-mail con una soluzione diffusa. Tuttavia, questo vale principalmente per i clienti commerciali, raramente per gli utenti privati.
Gli utenti dovrebbero anche drizzare le orecchie: il provider cloud possiede la chiave di crittografia. Le autorità statunitensi possono invocare il CLOUD Act del 2018 per costringere le società statunitensi a rilasciare dati personali anche se si trovano su server all'estero. Chiunque sia d'accordo consegna una cassa a Microsoft, per così dire, con la chiave attaccata alla parte inferiore.
S/MIME: un tuttofare?
La crittografia dei contenuti S/MIME gode di un livello di conoscenza simile a quello di PGP e ha il vantaggio di essere già integrata nei comuni client di posta. Poiché non sono necessari plug-in o download aggiuntivi, S/MIME offre un elevato livello di facilità d'uso, anche per M365. Pertanto, molte aziende utilizzano questo standard invece di PGP.
A differenza di PGP, lo standard per la convalida delle chiavi pubbliche prevede un numero limitato di autorità di certificazione affidabili. Sebbene il processo non sia infallibile, offre agli utenti maggiore sicurezza rispetto al Web of Trust di PGP, dove praticamente chiunque può assumere le funzioni dell'autorità di certificazione, praticamente senza supervisione.
Purtroppo anche questo standard non è una vera e propria soluzione a tutto tondo, perché – come quasi tutti i processi – richiede l'utilizzo sia del mittente che del destinatario. Inoltre, gli utenti devono gestire le proprie chiavi e quelle dei partner di comunicazione, operazione non banale.
Cercasi: traduttore specializzato flessibile
Quindi ci sono molti buoni standard di crittografia, ma sono come le lingue: il mittente e il destinatario devono parlare la stessa lingua per "capire" i messaggi crittografati. Un'alternativa sono i metodi push e pull, in cui il destinatario non deve utilizzare la propria crittografia. Questi sono molto sicuri e consentono all'utente di aprire l'e-mail crittografata sia come allegato a un'e-mail nella propria casella di posta o su un portale web esterno - a seconda del metodo scelto - senza la propria crittografia.
A livello tecnico può essere d'aiuto un gateway di posta elettronica che "parli" gli standard più comuni. Questo si occupa della crittografia in background controllando quale standard il destinatario ha padroneggiato prima di inviare un'e-mail e crittografando automaticamente il messaggio del mittente di conseguenza. Ciò rende la crittografia delle e-mail più user-friendly e può essere garantita nel modo più ampio possibile.
Altro su totemo.com
A proposito di totemo
Il produttore svizzero di software totemo ag offre soluzioni per lo scambio sicuro di informazioni commerciali. totemo protegge la comunicazione e-mail e il trasferimento dei dati con la crittografia e attribuisce particolare importanza alla massima facilità d'uso, ovviamente anche sui dispositivi mobili.
La piattaforma di sicurezza totemo brevettata e convalidata FIPS 140-2 consente un'integrazione rapida e semplice in qualsiasi infrastruttura IT esistente.