Dopo aver presentato problematiche del telelavoro sicuro e soluzioni, presentiamo gli strumenti che sono a disposizione sul mercato. Distinguiamo tra prodotti freeware, shareware e commerciali:

• i prodotti freeware sono di pubblico dominio nel senso che qualunque utente li può utilizzare senza dover pagare nessun tipo di licenza d’uso;
• i prodotti shareware vengono messi a disposizione gratuitamente per un periodo, solitamente compreso tra il mese e i tre mesi circa, durante il quale gli utenti possono valutarne l’utilizzo. Alla fine di tale periodo di prova, è possibile acquistare una licenza d’uso permanente ad un costo contenuto.
• i prodotti commerciali vengono forniti dietro pagamento e solitamente sono accompagnati da contratti di manutenzione;

PGP è un programma realizzato nel 1991 da Phil Zimmermann che mette a disposizione del comune utente di un sistema informatico la potenza della crittografia, un tempo riservata esclusivamente a militari e governi. In particolare, PGP implementa un sistema a chiave pubblica, in cui la creazione, gestione, ed uso della coppia di chiavi è affidata completamente all’utente. L'autenticità delle chiavi è garantita da una rete di firme apposte alle chiavi (vedi paragrafo "La fiducia nella firma"). Ogni utente genera una coppia di chiavi costituita da una chiave pubblica e da una chiave privata. Alla chiave privata ha accesso solamente il proprietario, mentre la chiave pubblica viene distribuita ad altri utenti per poter scambiare informazioni in modo riservato. Usando PGP, è possibile proteggere in modo semplice e sicuro il contenuto delle mail e garantirne l’autenticità del mittente. Con la propria chiave privata l’utente può decifrare i messaggi a lui indirizzati, firmare i messaggi, e i file in attachment agli stessi che invia a terza persone.

Utilizzando le chiavi pubbliche di terza persone, l’utente invia messaggi cifrati e verifica l’autenticità delle firme digitali sui messaggi che riceve. Per ragioni di efficienza, PGP utilizza uno schema a crittografia mista (vedi paragrafo "Crittografia mista"), essendo gli algoritmi di cifratura a chiave pubblica assai più lenti di quelli a chiave privata.

In modo del tutto trasparente all'utente, per ogni messaggio da cifrare viene generata dal programma una chiave cosiddetta di sessione, di tipo simmetrico, che viene usata per cifrare il messaggio. Questa chiave, la cui lunghezza non supera i 128 bit, viene a sua volta cifrata usando l'algoritmo RSA a chiave pubblica, usando la chiave pubblica del destinatario del messaggio. Al destinatario viene spedito il messaggio cifrato corredato della chiave di sessione a sua volta cifrata.

PGP utilizza differenti algoritmi a chiave per cifrare un messaggio e precisamente CAST, 3DES e IDEA. Tutti operano su blocchi di 64 bit. Il calcolo del message digest e la generazione della firma digitale sono eseguiti usando SHA-DSA. Per mantenere la compatibilità con le versioni precedenti alla 5 viene utilizzato anche MD5. L'ultima versione freeware di PGP per Windows 95 e NT (è comunque disponibile anche per altre piattaforme: UNIX, MAC) è la 5.5, disponibile in versione internazionale al sito del CERT-IT all'indirizzo:

ftp://security.dsi.unimi.it/

Esiste anche una versione a pagamento, del costo di circa $30, distribuita dalla Computer Associates, che fornisce assistenza sull'utilizzo e gli aggiornamenti relativi a nuovi servizi e nuove release.

Il protocollo SSL, Secure Socket Layer è un protocollo aperto, non proprietario (cioè interamente disponibile), sviluppato da Netscape nel 1994 per la comunicazione sicura via Web. Il protocollo opera tra il livello di trasporto (TCP) dello stack TCP-IP e i protocolli per le applicazioni quali HTTP (Hyper Text Transfer Protocol) per le trasmissioni Web, NTTP (Network News Transfer Protocol) per le News Usenet, e SMTP (Simple Mail Transfer Protocol) per l’invio e la ricezione delle mail. Tramite SSL vengono forniti i seguenti servizi:

• autenticazione del server, mediante certificati digitali; con la possibilità a richiesta di effettuare anche l'autenticazione del client (browser);
• trasmissione sicura mediante cifratura delle informazioni;
• controllo di integrità dei dati.

SSL utilizza un sistema di crittografia a chiave pubblica, per le fasi di autenticazione del server e del client, ed una chiave simmetrica, che deve essere concordata ad ogni connessione tra il server ed il client, per la cifratura delle informazioni trasmesse.

Gli algoritmi usati in SSL sono i seguenti:

• RSA come algoritmo a chiave asimmetrica e certificati X.509 per l’autenticazione del server e del client;
• DES, TRIPLE-DES, RC4 come algoritmi a chiave simmetrica per cifratura della informazioni;
• MD5, SHA per la generazione del message digest dei mesaggi inviati;

La combinazione di algoritmi usati in una sessione SSL viene chiamata suite. Al momento della connessione il client e il server concordano quale suite utilizzare. In generale, viene concordato il metodo di cifratura più forte presente su entrambe le macchine.

Vediamo brevemente come avviene il processo per una connessione con SSL:

1. il client apre una connessione verso il server e gli invia un messaggio chiamato "CLIENTHELLO" che include la versione SSL utilizzata, quali algoritmi utilizza per la cifratura del canale di trasmissione, e la propria chiave pubblica;
2. il server risponde con un messaggio "SERVERHELLO" contenente il proprio certificato cifrato con la chiave pubblica del client;
3. il client verificata l’autenticità del server (controlla la presenza, sul certificato della firma di una autorità di certificazione di cui il client si fida) e invia al server una richiesta per ottenere una chiave di sessione;
4. il server genera la chiave di sessione e la invia cifrata con la chiave del client allo stesso;
5. il client e il server si inviano rispettivamente messaggi per la conferma della chiave di sessione;
6. inizia la comunicazione sicura tra il server e il client.

Quando una connessione sicura viene stabilita tra un client ed un browser il canale di trasmissione viene interamente cifrato comprendendo:
L’URL dei documenti richiesti;

• il contenuto dei documento;
• il contenuto di form;
• cookies inviati dall server al client e dal client al server;
• il contenuto degli header HTTP.

Quando si stabilisce una connessione sicura tra un server ed un client, il canale di trasmissione viene interamente cifrato. Ciò significa che sono cifrati l'URL dei documenti richiesti, il contenuto della pagina scaricata, il contenuto dei form eventualmente compilati, i cookie inviati dal server al client e dal client al server il contenuto degli header HTTP. Per questa ragione, le connessioni SSL sono visibilmente più lente rispetto a quelle ordinarie. Per poter utilizzare SSL è sufficiente disporre di un browser come Netscape Navigator o Microsoft Internet Explorer.

Per accedere ad un server che supporta l'uso di SSL, si sostituisce http:// con https:// dove la s finale significa secure. Quando la connessione sicura è stata stabilita, alcuni dettagli nell'aspetto del browser indicano che è attiva una connessione sicura:

• una sottile linea blu separa la pagina dalla barra di controllo del browser;
• nei browser Netscape 3.X e Microsoft Explorer la chiave, solitamente spezzata, è intera, mentre in Netscape Navigator 4.X la chiave è sostituita da un lucchetto chiuso;
• lucchetto quando la connessione è sicura, aperto in caso contrario. Selezionando queste icone si ottengono maggiori informazioni sulla connessione sicura.

S/MIME è un protocollo sviluppato da RSA per la sicurezza della posta personale. I servizi sicuri offerti sono l’autenticazione del mittente (tramite un meccanismo di firma digitale) e la riservatezza dei messaggi (tramite la cifratura dei messaggi). S/MIME utilizza un metodo basato su crittografia mista, spesso indicato con il termine "digital envelope": la cifratura del messaggio avviene attraverso un sistema simmetrico che utilizza una chiave detta di "sessione" mentre un meccanismo a chiave pubblica è utilizzato per lo scambio di tale chiave e per la firma digitale. Gli algoritmi simmetrici a disposizione in S/MIME sono DES, TRIPLE DES e RC2. La versione esportata al di fuori degli USA utilizza quest’ultimo perché permette di impostare, da parte dei produttori, la dimensione della chiave, limitata a 40 bit nelle versioni esportabili del protocollo. Le chiavi pubbliche degli utenti sono contenute in certificati digitali (conformi allo standard X.509) ottenibili presso delle Certification Authority (CA). Una di queste, cioè Verisign (http://www.verisign.com), permette di scaricare certificati temporanei di prova e della durata di un anno dietro il pagamento di circa $10, utilizzabili per lo scambio di mail sicure. Vari prodotti implementano già la posta sicura usando S/MIME:

• Netscape Communicator;
• Microsoft Outlook e Outlook Express;
• OpenSoft ExpressMail;

L’utilizzo di S/MIME è completamente gratuito con Communicator e Outlook.

SSH è un programma, sviluppato in Finlandia, che permette di connettersi remotamente ad un'altra macchina sulla rete, eseguire comandi sua un macchina remota, trasferire file da una macchina ad un’altra. Fornisce strumenti per l’autenticazione dei due host collegati e la cifratura delle informazioni su canali insicuri. Sostituisce quindi comandi di sistema, quali telnet, rlogin, rsh e rcp. Il meccanismo di autenticazione si basa su chiavi asimmetriche RSA, sia per l’autenticazione degli host connessi, sia per l’autenticazione dei singoli utenti. La crittografia dei dati trasmessi avviene invece, per mezzo di algoritmi simmetrici quali IDEA, DES, 3DES, RC4, Blowfish. Uno dei vantaggi di questo protocolli è che essendo stato sviluppato in Finlandia, non è soggetto alla limitazione delle chiavi a cui sono soggetti i prodotti statunitensi. SSH è disponibile in versione freeware presso il cert.dfn.de, che non è ritenuta sicura, ed esiste una versione commerciale sia per Unix che per Windows (solo il client) distribuita http://www.f-secure.com.

Gli antivirus da utilizzare devono avere le seguenti caratteristiche:

• facili da utilizzare;
• costantemente aggiornati;
• controllo di macro-virus;
• controllo di virus provenienti da web.

Alcuni dei prodotti più utilizzati sono:

• McAfee: commerciale, http://www.mcafee.com;
• Norton Antivirus: commerciale, http://www.symantec.it;
• F-prot: freeware, http://www.f-secure.com;>
• PC-Cillin: commerciale, http://www.pccillin.com;P>
• DR-Solomon: commerciale, http://www.drsolomon.com.

Per quanto riguarda i costi di tali prodotti, la cifra di ognuno si aggira intorno alle Lit. 100.000. Ogni prodotto, inoltre, garantisce all’utente aggiornamenti dell’antivirus acquisibili o attraverso il Web oppure attraverso la posta (viene spedito a casa il dischetto/i). Gli aggiornamenti per il primo anno sono gratuiti.