Tuta Mail cripta automaticamente tutti i dati memorizzati nella casella di posta elettronica Ende-zu-Ende con algoritmi di crittografia quantum-resistant. Quando si inviano e-mail o inviti al calendario crittografati, la crittografia Ende-zu-Ende viene eseguita con una crittografia asimmetrica, con l’aiuto di una chiave pubblica e di una privata.

In Tuta, quando si invia un’e-mail sicura a un altro utente Tuta, la si cripta con la sua chiave pubblica in modo che solo lui possa leggerla. L’utente non si accorge del processo di crittografia Ende-zu-Ende perché Tuta gestisce automaticamente lo scambio di chiavi.

Stabilire la fiducia

Tuttavia, come si fa a sapere che la chiave pubblica utilizzata quando si invia un’e-mail crittografata appartiene veramente al destinatario? In teoria, un “mostro nel mezzo” (MITM) potrebbe fornire la propria chiave pubblica e fingere che sia la chiave del destinatario. L’aggressore potrebbe quindi decriptare il messaggio e leggerlo prima di inoltrarlo al destinatario.

La verifica della chiave risolve questo problema. Assicura che tutti i messaggi inviati possano essere verificati dal destinatario e che non siano stati manomessi.

Verifica delle chiavi in Tuta

La verifica delle chiavi in Tuta deve essere effettuata manualmente. La verifica manuale delle chiavi funziona meglio quando si è fisicamente insieme al proprio contatto o quando ci si può autenticare a vicenda attraverso un canale fidato. Una volta verificate le impronte digitali della chiave pubblica dell’altro, si può essere certi che ogni messaggio inviato sia al sicuro da intercettazioni.

È possibile verificare la propria chiave pubblica in due modi:

• scansionando un codice QR con l’app
• inserendo l’indirizzo e-mail del destinatario e confrontando l’impronta digitale con quella visualizzata nelle impostazioni di verifica della chiave dell’altro.

Una volta verificata, il client Tuta si assicurerà che la chiave corrisponda a quella salvata come verificata prima di inviare i messaggi.

Cosa succede se non si verifica una chiave?

La verifica delle chiavi è facoltativa, ma si consiglia vivamente di verificare le chiavi dei propri contatti. Se si sceglie di non verificare la chiave di un contatto, Tuta utilizzerà il concetto di TOFU (Trust On First Use).

Cosa significa TOFU?

Quando si comunica per la prima volta con qualcuno in Tuta, il client memorizza automaticamente la sua chiave pubblica e ne presuppone la validità. Da quel momento in poi, Tuta controllerà ogni nuovo messaggio inviato per verificare che la chiave non sia cambiata.

• Se la chiave rimane invariata, la comunicazione continua senza problemi.

• Se la chiave cambia inaspettatamente, Tuta vi avvisa, perché ciò potrebbe indicare un potenziale rischio per la sicurezza, come un attacco “monster-in-the-middle”.

TOFU rende la comunicazione sicura senza problemi, senza richiedere una verifica manuale. Tuttavia, non è forte come la verifica di una chiave da parte dell’utente, perché al primo scambio di e-mail non si può essere sicuri al 100% che nessuno abbia manomesso la chiave.

Per questo motivo, la verifica della chiave è la soluzione migliore per ottenere la massima sicurezza, mentre TOFU offre una comoda opzione predefinita per gli utenti che non vogliono effettuare subito la verifica manuale.

Sicurezza al top

Una volta verificati i vostri contatti, potete essere certi che i messaggi crittografati Ende-zu-Ende che inviate sono più sicuri che mai!

Siamo entusiasti di offrirvi questa funzione come parte della nostra missione di costruire il servizio di posta elettronica e calendario più sicuro e rispettoso della privacy. Tuta Mail e Tuta Calendar vi permettono di comunicare online in modo riservato. Grazie alla recente introduzione della crittografia quantum-resistant e all’aggiornamento della verifica delle chiavi, siamo certi che i vostri dati saranno al sicuro, ora e in futuro.