Il mese scorso, sviluppatori di numerosi progetti correlati a OpenPGP si sono riuniti presso la sede di Proton a Ginevra per lavorare insieme e discutere il futuro dell’email crittografata utilizzando lo standard OpenPGP. Proton si è offerta di ospitare la sesta edizione del summit (normalmente) annuale dopo l’ultimo incontro a Berlino nel 2019. Tuttavia, quell’incontro è stato rimandato a causa della pandemia. Ora, con la fine dei lockdown in tutta Europa, abbiamo finalmente potuto riunirci di nuovo.
Erano presenti sviluppatori di progetti come Thunderbird(new window), Enigmail(new window) e Proton Mail(new window), implementazioni di OpenPGP come Sequoia-PGP(new window), PGPainless(new window), OpenPGP.js(new window) e GopenPGP(new window), e l’Ufficio Federale Tedesco per la Sicurezza dell’Informazione (BSI) BSI(new window). I temi di discussione variavano dall’aggiunta della crittografia post-quantistica a OpenPGP al miglioramento dell’usabilità dell’email crittografata.
Il momento è stato fortunato poiché lo standard OpenPGP (RFC 4880) è attualmente nelle fasi finali di ricezione di un “aggiornamento crittografico”, che modernizza i primitivi crittografici utilizzati nello standard, aggiungendo algoritmi di firma e crittografia più sicuri. Il risultato di ciò sarà pubblicato come un nuovo RFC nel prossimo futuro. Le discussioni si sono quindi concentrate anche su potenziali temi futuri per la standardizzazione dopo che quel lavoro sarà completato, in un possibile “re-chartering” del Gruppo di Lavoro OpenPGP.
Alcune idee includevano l’inoltro automatico delle email in arrivo quando il destinatario è “fuori ufficio” in modo sicuro (senza la necessità di condividere la chiave privata) oltre al miglioramento della sicurezza e delle prestazioni dell’archiviazione delle email attraverso la rielaborazione simmetrica delle email per lo stoccaggio. Sono stati discussi anche la protezione dell’intestazione (ad esempio, la crittografia degli oggetti) e la segretezza in avanti, tra gli altri argomenti.
Migliorare lo standard OpenPGP e standardizzare queste nuove caratteristiche è importante per garantire la continua interoperabilità tra diversi provider di email, anche quando le email sono crittografate. Questo è particolarmente rilevante nell’attuale discussione sull’interoperabilità versus la crittografia end-to-end: è possibile raggiungere entrambi gli obiettivi, come dimostra la comunità OpenPGP, anche se ciò richiede uno sforzo dedicato. Incontri come l’OpenPGP Email Summit aiutano a facilitare discussioni aperte tra le parti interessate.
Un internet migliore richiede una crittografia open-source forte
Proton è un forte sostenitore degli standard aperti e del software open-source. Aprire le proposte alla revisione tra pari migliora la qualità e la sicurezza e si integra bene con il nostro background di fisici e scienziati. Ecco perché abbiamo reso tutte le app di Proton open source(new window) e le abbiamo sottoposte a numerosi audit di terze parti(new window).
Manteniamo anche le librerie di crittografia open-source OpenPGP.js(new window) e GopenPGP(new window). Riteniamo che il mantenimento di queste librerie di crittografia sia una parte fondamentale del nostro lavoro per creare un internet migliore in cui la privacy sia la norma. Se la crittografia forte è interoperabile, facile da usare e liberamente disponibile, è più semplice per gli sviluppatori creare app più riservate per impostazione predefinita, il che beneficia tutti.
Nel complesso, il summit è stato molto utile e produttivo. Ci ha permesso di fare progressi significativi sui temi precedentemente menzionati. Inoltre, sono stati presi impegni concreti da parte nostra e di altri per lavorare sull’email crittografata nel frattempo.
Ringraziamo tutti coloro che hanno partecipato al summit e speriamo di vedere tutti di nuovo (e altri per la prima volta) al prossimo!
