Premessa

Partiamo dall’assunto che siamo pigri e, probabilmente, non abbiamo mai dedicato il tempo necessario a distinguere tra elementi informatici sicuri da quelli da cui starne alla larga. Se hai la sensazione che non si tratta solo di software ma, di qualcosa di più ampio, che supera il semplice contenitore delle nostre attività, sei nel posto giusto. Continua a leggere l’articolo.

BalziBox è un sito che si pone a metà strada tra il divulgativo e pratico se ti interessa la parte informatica puoi saltare il pippone iniziale cliccando qui.

Ci troviamo al centro di interessi opposti: da un lato l’utente utilizza i sistemi informatici per svolgere le proprie attività, dall’alto le aziende perseguono il profitto.

Nel nostro percorso di vita informatico abbiamo vissuto eventi traumatici – perdita dei contenuti – da cui sicuramente siamo stati un po’ tutti coinvolti. Le cause più comuni sono il disco danneggiato o la perdita di foto dal cellulare che non ci ha più permesso di rivedere i ricordi delle foto del nostro caro figlio appena nato.

Quindi, cosa abbiamo fatto? Beh, abbiamo creato uno zip con password per preservare qualche documento importante e ci siamo abbonati al cloud per dormire sonni tranquilli.

Siamo bersagliati da truffe informatiche. Chi dovrebbe prendersi cura di noi, ad esempio le banche, ci propongono continuamente newsletter e corsi gratuiti per difenderci da eventi che potrebbero farci perdere denaro. Questa informativa obbligatoria tutela fondamentalmente l’istituto di credito e ti dirà: “caro correntista io ti avevo avvisato, non sei stato attento e nulla ti è dovuto come risarcimento se hai perso denaro incautamente!

Esempio distorto tra privacy e crittografia

Cari lettori, vi porto a testimonianza un esempio concreto di caso d’uso distorto, un mix esplosivo che si nutre di crittografia e privacy farlocche.

Il medico di base rilascia un certificato, che viene inviato alla casella di posta del paziente. Il software prevede trasmissione del documento protetto da password; la password stessa, invece, viene inviata in chiaro in una successiva e-mail, il che rappresenta una fesseria di proporzioni bibliche.

Ancora…

Il certificato contiene sia la parte destinata al datore di lavoro (documento unico non separabile) sia una sezione per il paziente completa di diagnosi. Alcuni potrebbero sostenere che basta comunicare solo il codice del certificato al datore di lavoro ma, se quest’ultimo richiede la copia dell’allegato e poiché il documento non è divisibile, alla fine viene trasmessa anche la diagnosi.

Chi è un pò scaltro sa che è possibile editare con Libre Office il documento pdf cosicché il certificato che aveva come diagnosi: “sindrome psicotica da privacy ossessiva” può essere eliminata con spazio in bianco.

Esempio di come gli idioti mettono insieme processi inutili, mentre con questo articolo ci arrovelliamo il cervello per capire se esiste qualcosa di più moderno nel campo della crittografia.

Mi sentivo protetto nel castello

Se sei dell’idea che non hai nulla da nascondere e che ti fidi del software che usi, conta fino a dieci e leggi qui; ovviamente sei dei parere che il cloud è la soluzione ai tuoi problemi di conservazione dati allora devi necessariamente leggere qui.

Faccio alcune ulteriori considerazioni. Quante persone hanno pensato di generare una propria chiave di crittografia con PGP/GPG1, probabilmente nella cerchia delle persone che frequento, questo numero non supera le dita di una mano. Una conoscenza più diffusa di ciò che in informatica è una firma digitale2 con controllo dell’integrità si è avuta nella pubblica amministrazione, assieme a tutto il marciume digitale annesso e connesso. (Non è scopo di questo articolo approfondire questi concetti).

E se ad un certo momento dai un’occhiata fuori dal castello e scopri che il tuo GPG è un colabrodo di codice insicuro e pieno di vulnerabilità tale essere considerato archeologia informatica da evitare approfondisci .

Colpa di Marco Crotta 3 che nel suo video suggerisce un software chiamato age. Inizialmente mi è sembrato interessante ma, non ne comprendevo appieno il suo potenziale. Sono passato da un test superficiale a riconsiderarne l’utilizzo solo in un secondo momento, quando poi ho capito quanto fosse necessario. Devi avere una certa maturità sull’argomento per coglierne la reale portata. I commenti al video, provenienti da un contesto più esperto, non sembrano aver percepito l’essenza del messaggio sollevando dubbi sul motivo per cui si dovrebbe usare age anziché GPG.

age

Actually Good Encryption brevemente denominato age (con lettere minuscole) creato da Filippo Valsorda un Ingegnere Crittografico italiano con un CV notevole, ha deciso di lasciare il lavoro nel team di Go Goole per intraprendere nuovi percorsi come “professional open source maintainer”.

Diceva mia nonna chisto guaglione tene ‘a capa gloriosa 4

age è un progetto aperto sicuro, leggero e gratuito, che introduce un nuovo formato di crittografia. Si presenta come un reale e concreto sostituto di GPG, grazie anche all’utilizzo di algoritmi moderni valido per crittografia simmetrica che asimmetrica.

Riferimenti:

  1. Link al software
  2. Sito dell’autore

Installazione

Il programma è disponibile su moltissime piattaforme: Windows, macOS e Linux. Preferisco l’ambiente Linux, a causa dei takers insopportabili presenti negli attuali sistemi operativi.

Consiglio di installare l’ultima versione disponibile aggiornata prelevando direttamente i binari da Github , di seguito riporto i comandi da eseguire da terminale.

# ultima versione del programma
curl -JLO "https://dl.filippo.io/age/latest?for=linux/amd64"

# controlla la versione scaricata e modifica la variabile
AGE_VERSION="v1.2.1"

tar -xzf age-$AGE_VERSION-linux-amd64.tar.gz
sudo mv age/age /usr/local/bin/
sudo mv age/age-keygen /usr/local/bin/

## Controlla la versione installata
age --version
age-keygen --version

age con passphrase

Si tratta di crittografia simmetrica - si utilizza una sola chiave per criptare e decriptare i dati. Chi cifra il messaggio e chi lo decifra devono entrambi conoscere la stessa chiave.

# comando per cifrare un documento (formato binario)
age --passphrase --output output.txt.age input.txt

# comando per cifrare un documento (formato testo)
age --passphrase --armor --output output.txt.age input.txt

# oppure
age -p -o output.txt.age input.txt
age -p input.txt > output.txt.age

# comando per decifrare un documento
age --decrypt --output input.txt output.txt.age

# oppure
age -d -o input.txt output.txt.age
age -d output.txt.age > input.txt

age con una coppia di chiavi pubblica/privata

Si tratta di crittografia asimmetrica - utilizza due chiavi correlate: una chiave pubblica, fruibile da chiunque per cifrare il messaggio, e una chiave privata, custodita esclusivamente dal destinatario, necessaria per decifrarlo.

Genera la chiave pubblica e privata senza password.

# mostra la chiave pubblica e privata nel terminale
age-keygen

# genera e salva la coppia di chiavi
age-keygen -o private.txt

# oppure
age-keygen > private.txt

Genera la chiave pubblica e privata con password.

# genera e salva la coppia di chiavi
age-keygen | age -p -a > private.age

# elimina la password salvando la chiave in modo leggibile
age -d private.age > private.txt

Risultato di generazione coppia chiavi non protette da password, utilizzato come esempio.

$ age-keygen 
# created: 2025-10-17T09:00:00+01:00
# public key: age1j0t50snfg3uj3faecysjsvvfmkq603gpphjczg646t0px89wjezqaxmqa2
AGE-SECRET-KEY-1FQHR26K7QYQKS7GJZAVGQ3UVQR634RKVPZSEZ5NZKJWYQVS4QGUSX34T88

Per cifrare un file bisogna trascrivere la chiave pubblica del destinatario -r in alternativa possono esserci uno o più destinatari recuperati da un file -R. Il comando -a armor se inserito permette di ottenere l’output in formato ASCII PEM/armored avrà solo caratteri stampabili (A‑Z, a‑z, 0‑9, +, /, = e le intestazioni —–BEGIN AGE ENCRYPTED FILE—– … —–END AGE ENCRYPTED FILE—–.

# per cifrare un file con la chiave pubblica di esempio
age -e -a -r age1j0t50snfg3uj3faecysjsvvfmkq603gpphjczg646t0px89wjezqaxmqa2 \
    lorem_ipsum.txt > lorem_ipsum.txt.age

# per decifrare il file di esempio
age -d -i private.txt lorem_ipsum.txt.age > decrypt.txt

Conclusioni

Per poterne gustare appieno, è necessario rimboccarsi le maniche, creare i propri script di backup e sperimentare le innumerevoli implementazioni disponibili gratuitamente sul web.

  1. PGP (Pretty Good Privacy) e GPG (GNU Privacy Guard) sono sistemi di crittografia a chiave pubblica. Il mittente utilizza la chiave pubblica del destinatario per cifrare il messaggio, rendendolo leggibile solo al possessore della corrispondente chiave privata. ↩︎

  2. Ho visto documenti considerati firmati digitalmente mediante la scansione della firma apposta sul PDF, non in aziende qualsiasi, ma in realtà informatiche. ↩︎

  3. Marco Crotta è content creator di BlockChain Caffè.  ↩︎

  4. Modo di dire napoletano “questo ragazzo ha la testa gloriosa” persona intelligente, superiore alla media. ↩︎