pgp cryptolocalatm tutorial

Se possiedi BTC, dovresti utilizzare PGP

Ci sorprende ancora oggi che le persone coinvolte nel mondo della blockchain e criptovalute, anche con decine di migliaia di dollari investiti su questa tecnologia, non abbiano familiarità o peggio non conoscono le pratiche di base della sicurezza informatica. Mentre alcuni non vanno incontro a problemi, ma non grazie al fatto che si sono protetti altri, sfortunatamente, non sono così fortunati motivo per il quale sentiamo regolarmente notizie di perdite finanziarie, spesso significative e purtroppo in molti casi evitabili.

Di recente un nostro cliente ci ha comunicato che sia lui che un suo amico hanno perso entrambi 1 BTC ciascuno. Ai prezzi attuali sono circa $ 9k. Quello che è successo è che l’email di un amico in comune è stata hackerata e quindi i BTC inviati effettivamente sono arrivati a chissà chi invece di arrivare all’amico in comune. Sebbene in questo articolo non stiamo parlando dell’hacking degli account anche questa è una truffa che poteva essere evitata.

PGP, uno strumento per aiutarti a rimanere anonimo e sicuro

PGP è acronimo di “pretty good privacy” e  fa riferimento alla crittografia a chiave pubblica e privata. Le criptovalute effettivamente usano la crittografia a chiave pubblica e privata, quindi probabilmente hai già familiarità con i suoi concetti anche se non hai mai sentito parlarne prima. La crittografia a chiave pubblica coinvolge: una chiave privata e una chiave pubblica. La chiave privata sono dati segreti che solo tu dovresti conoscere. La chiave pubblica invece può essere condivisa con il mondo intero. Le interessanti applicazioni della crittografia a chiave pubblica sono:

  • Firma digitale. Firma un messaggio con la tua chiave privata. Chiunque abbia una copia della chiave pubblica può verificare che il messaggio sia stato creato con la chiave privata corrispondente. Dato che sei l’unica persona che dovrebbe avere una copia, questo fornisce una prova evidente che hai creato il messaggio. Una volta creata questa firma digitale, non c’è modo di alterare l’autenticità o cambiare il messaggio sottostante che è stato firmato.

  • Crittografia Asimmetrica. Crittografa un messaggio con la chiave pubblica. Questo messaggio crittografato può essere decrittografato solo con la chiave privata. Questo può essere usato per crittografare i messaggi che devono essere letti solo da un destinatario specifico alla quale è connessa la relativa chiave pubblica.

Come puoi usare PGP per rimanere al sicuro

  1. Quando invii o rispondi ad email sensibili per dimostrare che provengono da chi dovrebbe essere. Immagina una richiesta del tipo “Inviami 1 BTC, esiste un ICO promettente che termina in poche ore. Ti rispedirò i soldi con interesse domani. ”È molto probabile che i miei amici stiano per essere truffati. Si fidavano di questa persona e non sembravano pensare che il suo account potesse essere stato hackerato. Se avessero richiesto che la richiesta del 1 BTC fosse firmata digitalmente, avrebbero potuto avere un modo sicuro per verificare che la richiesta fosse realmente fatta dal loro amico e non da terzi. Ci sono altri modi per “verificare” che il richiedente sia chi crediamo noi come parlare al telefono o chat video ma questi metodi possono essere non sicuri come la firma digitale. Non  sarebbe la prima volta che qualcuno viene indotto a pensare di parlare al marito / amico /  al telefono solo perchè il truffatore dall’altra parte parla dimostrandosi in preda al panico e al pianto. A differenza di questi altri metodi, PGP è piuttosto infalsificabile. Il messaggio è stato firmato o non lo è stato e chiunque nel mondo può verificarlo. C’è poco spazio per l’errore umano o l’ambiguità..

  2. Quando si inviano dati sensibili richiedendo con certezza che solo il diretto interessato possa vederli. Immagina che invii a qualcuno il tuo indirizzo BTC. Vorresti che gli altri sapessero quanti soldi ci sono nel tuo conto wallet? Che cosa succede se si stanno inviando dati ad un intermediario ma che per forza di cose passano prima nelle mani di un segretario? Puoi essere sicuro che solo chi vuoi tu venga a conoscenza dei tuoi dati sensibili crittografando i dati privati inviati grazie al PGP.

Esempi su come usare PGP

  • Quando si invia a qualcuno una fattura, potrebbe essere crittografata con la chiave pubblica. In questo modo queste informazioni sensibili sono solo per il destinatario.

  • Quando si invia a qualcuno il tuo indirizzo Bitcoin può essere crittografato con la sua chiave pubblica e firmato con la tua chiave privata. Ora gli altri che intercettano il messaggio non possono vedere quanto possiedi e il destinatario allo stesso tempo sa per certo che l’indirizzo appartiene a te e che non è potuto essere intercettato o modificato.

  • Quando invii a qualcuno il tuo indirizzo Monero, può essere semplicemente firmato con la tua chiave privata. Poiché tutte le transazioni in Monero sono private, nessuno sarà in grado di vedere il tuo saldo.

  • Effettuare richieste di denaro. Queste richieste sono fortemente soggette a truffe evitabili richiedendo una firma digitale così da garantire che stai effettivamente comunicando con il reale destinatario.

  • In fase di contratto. Che cosa succede se hai un accordo delicato e vuoi assicurarti che siano vincolati dalle promesse fatte? Richiedi di firmare digitalmente il messaggio tramite PGP invece di basarti su promesse di persona o al telefono. Potresti richiedere una promessa per iscritto, ma una garanzia ancora più forte di una firma con un inchiostro è una firma digitale. Così non dovrai preoccuparti di sentirti dire che gli accordi erano diversi e rischiare problemi da parte delle autorità legali a causa della natura non dimostrabile di un accordo.

Considerazioni finali

È meglio acquisire familiarità con PGP prima che tu ne abbia realmente bisogno. Magari non ce l’hai e ti fa comodo pensare “beh, sono sicuro al 95% che comunque sono loro.” Devi sapere che questi sono proprio i pensieri su cui fanno leva gli hacker. Sicuramente prima di separarti dai tuoi soldi guadagnati duramente ti senti abbastanza sicuro che non sia una trauffa senza però effettivamente avere una prova inconfutabile come una firma digitale.

Quando crei le tue chiavi pubbliche / private, carica la tua chiave pubblica su un key server come http://pgp.mit.edu/ e inserisci la chiave pubblica o l’impronta digitale della chiave sui tuoi siti di social media / e-mail. Vuoi che la tua chiave pubblica sia il più pubblica possibile in modo tale che sia conosciuta e verificabile da fonti certe.

per esempio, qui trovi la nostra chiave PGP per comunicare in sicurezza e accertarti che tu stia comunicando con noi.

Quando crei le tue chiavi pubbliche / private, assicurati di creare una password per la tua chiave privata. Anche se dovresti tenerlo per te, è comunque un software e quindi soggetto a malware che li trova e li invia agli hacker. Se sono protetti da password, sono in gran parte inutili per gli aggressori a condizione che abbiano una forte sicurezza.