L’invio di credenziali di accesso, di informazioni sugli account, di numeri di carta di credito o di altre informazioni sensibili via Internet, e-mail o un’applicazione di messaggistica spesso non sarebbe l’idea migliore, ma a volte può essere l’unico modo di procedere. In questi casi ci viene in aiuto la crittografia su cui si basano i molti modi oggi disponibili per condividere in modo sicuro le informazioni ed i file sensibili, e molti di essi sono abbastanza semplici da poter essere utilizzati anche senza alcun background tecnico.
Ricordatevi però che le informazioni sensibili sono in genere più vulnerabili quando sono “in giro” di quanto non lo siano nei pochi secondi in cui vengono trasmesse in rete. Quindi, indipendentemente dal modo in cui deciderete di inviarle, assicuratevi che successivamente vengano cancellate e/o riposte nuovamente in un luogo sicuro !
Link usa e getta
Se dovete inviare solo del testo il modo più semplice e veloce per farlo è utilizzare un servizio che cripta il vostro messaggio, genera un link da inviare al destinatario e poi cancella il messaggio una volta che è stato visualizzato. Questi servizi criptano il vostro messaggio e/o la password che state inviando direttamente nel vostro browser e non sul loro server, il che significa che non memorizzeranno in alcun modo il vostro messaggio in chiaro e non avranno a disposizione nemmeno la chiave di decrittazione. L’invio e la ricezione di messaggi utilizzando questi strumenti non richiede molta più abilità tecnica di quella necessaria, ad esempio, per l’utilizzo di un abbreviatore di URL.
Esistono molti servizi che forniscono questo tipo di tool, probabilmente perché è relativamente semplice da implementare, ma qualunque sia quello che deciderete di utilizzare dovrebbe come minimo essere open source, criptare il vostro messaggio localmente nel vostro browser e darvi le opzioni per la cancellazione automatica dei messaggi. Eccone alcuni esempi:
- Onetimesecret.com (usate una passphrase per il massimo livello di sicurezza)
- privatebin.net (ottimo per condividere codice, molto simile a PasteBin)
- 1ty.me (alternativa a OneTimeSecret)
- password.link (per utilizzare alcune funzionalità è necessario il login)
Servizi di invio sicuro dei file
Google Drive e Dropbox utilizzano la crittografia e sono abbastanza sicuri, ma i vostri file rimarranno salvati in remoto per impostazione predefinita, quindi un servizio di invio sicuro con una funzione di auto-cancellazione potrebbe essere un’idea migliore. Inoltre, se necessario, sono disponibili anche servizi di cloud storage sicuro.
Firefox Send: Servizio molto semplice da utilizzare, consente di inviare file fino ad 1GB senza effettuare l’accesso o fino a 2,5GB una volta autenticati. Tutto ciò che si fa è caricare il file ed inviare al destinatario (o ai destinatari) la URL di download. Firefox Send codifica il file nel browser, inserisce la chiave nel link di download e permette all’utente di scegliere per quanto tempo il file rimarrà disponibile. Servizio molto sicuro, abbastanza privato e facile da usare per chiunque.
Tresorit Send: Se vi scontrate con il limite di 2,5GB di Firefox Send, Tresorit vi fornisce 5GB di spazio ed è altrettanto privato e sicuro. Inoltre vi fornisce alcuni strumenti extra, come i registri di accesso in tempo reale ed il controllo su chi può vedere i vostri documenti, e, nella versione a pagamento, può anche agire come un servizio di cloud storage sicuro.
OnionShare: E’ tra i servizi migliori, non c’è un limite di dimensione dei file ed è molto sicuro. Sia il mittente che il destinatario devono utilizzare un browser Tor, ma solo il mittente ha bisogno del programma OnionShare. Il funzionamento è il seguente: OnionShare codifica il vostro file, avvia un server Onion sul vostro computer e genera una URL che chiunque potrà usare per connettersi al vostro computer e scaricare il file direttamente tramite un browser Tor. Poiché entrambe le parti devono avere le conoscenze tecniche necessarie ad installare ed utilizzare Tor c’è una piccola barriera tecnica all’utilizzo di questo servizio, ma scaricare ed installare alcuni programmi non è poi così complicato.
7-Zip: Il popolare software di compressione dei file 7-zip è dotato anche di un’opzione per crittografare e proteggere con password il file ZIP utilizzando la crittografia AES-256. Dovrete comunque trovare il modo di fornire al destinatario la password per entrare nel file, ma se volete solo inviare un’e-mail (o volete che i vostri file siano doppiamente criptati) questa è un’ottima opzione.
Password Managers
Se avete solo bisogno di condividere una password molti gestori di password popolari come LastPass e Dashlane forniscono la possibilità di inviare le vostre credenziali in modo sicuro ad un altro utente con un account sullo stesso sistema di gestione delle password. Questo metodo è valido per le password, ma si possono anche condividere nello stesso campo altre informazioni testuali.
Messaggi cifrati
Se sia voi che il destinatario utilizzate lo stesso servizio di messaggistica sicura allora questo è probabilmente il modo più veloce per scambiarsi informazioni di testo e piccoli file. Ancora meglio se è possibile impostare l’auto-cancellazione dei dati dopo un lasso di tempo per ridurre al minimo il rischio connesso alla loro archiviazione. Quale sia oggi il miglior servizio di messaggistica criptata è opinabile, ma comunque le due opzioni più popolari sono:
Signal: Servizio open source, sicuro, con crittografia end-to-end e con la funzionalità di cancellazione messaggi, ma necessita di un numero di telefono per funzionare.
Wickr Me: Probabilmente il servizio di messaging cifrato più popolare dopo Signal, con il principale vantaggio di non richiedere un numero di telefono.
Wire, Telegram, WhatsApp, Threema, and Viber sono delle altre buone opzioni.
PGP
PGP è la soluzione tecnicamente più complessa di questa lista in quanto richiede per poterla utilizzare un po’ di lavoro sia a voi che al destinatario, ma è ancora considerato un metodo abbastanza robusto e nel complesso un buon standard (anche se in passato ha avuto alcuni problemi di vulnerabilità in alcuni client di posta elettronica e numerose alternative lo stanno rendendo meno popolare). È ancora un’ottima opzione per le email sicure e può essere utilizzato sia come strumento autonomo di crittografia manuale tramite uno strumento di posta elettronica come Enigmail, sia con un servizio di webmail che lo utilizzi, come ad esempio Protonmail.